第一届数字化转型•产业互联峰会在雁栖湖畔成功召开
不满足于做“桶底”是“安全人”的唯一“活路” ——CISO专访唯品会信息安全高级总监黄承
2017-12-04  来源:CISO发展中心

导语:本期访谈的主题聚焦在电商安全,说到电商,其安全防护的重点较之传统企业也稍有不同。电商安全不仅要关注传统企业所关注的安全问题,而且还需更加关注其业务安全。本期我们邀请到了唯品会信息安全高级总监黄承做为本期嘉宾,为大家分享唯品会的安全实践之道。以下是来自CISO发展中心对访谈内容的整理:

CISO主持人:想必大家之前都听过“1元订购特斯拉”的新闻,当时正是由于特斯拉在线提交订单业务存在安全漏洞而导致白帽子用1元钱成功订购一辆特斯拉。这也足见电商安全建设有多么的重要。众所周知,唯品会是国内知名电商,在B2C电商行业中排名第三。而且从成立到上市仅仅用了3年多的时间,业务发展之快的同时,其安全建设肯定也经历了从无到有再到优的演变。首先,就请黄总简要介绍下唯品会安全的建设之路,大致可分为几个阶段,以及每个阶段都取得了哪些成就?谢谢!

黄承(唯品会):大家好,我是唯品会老黄,很荣幸受邀与大家一起交流有关安全的话题。唯品会安全的建设之路大致是四个阶段:1、选择性的被动防御,局部救火;2、全面防御(安全管理+技术体系);3、主动防御(全局管控,产品、技术、运营);4、自修复阶段。

首要的是组织结构的设计(策划和设立),它是最终成败的先决条件。每个阶段其实都包含了一个比较复杂的历程,甲方的安全工作开展难度是很大的,尤其是业务快速发展的企业,安全和业务的冲突会被放大。四个阶段,唯品会目前处在自修复阶段,也就是安全组织对安全问题的动态性特点,具备了一套自行处置和修复的能力。

CISO主持人:好的,多谢黄总。四个阶段:选择性被动、全面、主动、自修复,看的出来是递进且越来越成熟的体系。同时可以看出,目前唯品会在安全方面做了很多工作并且做得很到位。有好多企业连全面防护还没做到位,更不用说自修复阶段了。那么,请问黄总,作为国内知名电商,唯品会在数据安全方面,是如何保证数据安全的呢,尤其是用户数据(个人及订单信息等)?

黄承:过奖了,我们还在路上。安全管理+安全技术,包括流程、技术管控(流转分发、存储、调用、跟踪),其中用户数据是最核心的数据信息。在保证数据安全上没什么神招,我们的安全技术和管理是和业务方的需求、产品设计、开发、上线运行、业务运营同步的。基本上所有的环节都有埋点和技术控制点,唯品会把业务运营实现过程比喻成一个供水或排水系统一样,必须设置监测和检修口,否则带来的灾难时不可中断或处置的。

数据管控分为用户输入的数据、系统间产生的数据以及输出的数据,其中用户数据与我们的业务运营核心数据的重要性是同等的,在防护等级上更高于业务数据,这是监管的要求也是最敏感的信息。对用户数据的防护包括数据的传输、存放、调用和废止等环节。具体的技术实现细节不便说,但简而言之就是链路的保护、存储的加密、伪码使用以及分发流转的管控和追踪审计。

CISO主持人:谢谢黄总,看来唯品会在管理和技术上没少下功夫呀,的确,数据安全保护得从“管理+技术”两方面着手,不仅仅是为了合规需要,要想真正切实保护到位,就得从这两大方面入手,如黄总所说,无论什么管理或技术手段都要与业务目标保持一致。尽管如此,在信息安全建设的道路上,无论是阿里、还是京东或者其他电商,都或多或少踩过一些坑。那么,黄总对于唯品会来说,在安全建设之路上,曾经踩过哪些可供其他行业或企业借鉴的坑以及唯品会是如何应对的呢?

黄承:可能是之前的职业经历中坑踩得太多了,痛感敏感度降低了。但回头看看,还是有很多地方需要特别注意的。安全从一开始就要明白,如何能不仅仅成为垃圾桶的桶底?必须全技术→全业务→全运营链路的管控和高度参与,最终目标是成为一个具有运营属性的部门。有一点可能很重要:安全工作需要择机而入,这和强势不是互斥的。是一开始就一定是在坑底,这坑底绝对不美好,慢慢推土,怎么样从坑底慢慢爬上来,不管姿势多狼狈,出坑的时候注意形象就行了,我的意思是一定要在前面布好局,否则后续的局面去扭转会很痛苦。

布局的内容就是,安全整个组织不仅指信息安全部、组织结构的规划和设计,还要逐步参与到全业务运营支撑的技术支撑体系中去,再后来是如何参与到运营中去,但是这些都需要一开始布局事就要考虑,哪怕事后证明不够成熟,但是一开始考虑好了,你的技术和管理的开展方式才能有依据。一定记住,安全部门首先和运维部门达成良好合作是起点。

CISO主持人:嗯,很多企业的安全部门就是在运维部门下面或者在一个部门。刚刚黄总提到的“全技术、全业务、全链路的管控和参与”,总结得很全面很简练。黄总的“择机而入”,让我想起了“事件驱动”,很多安全措施就是靠安全事件来驱动的,掉坑里了,知道疼了,才会想办法参与其中并对其管控,这也要求起初要有一个很好的布局。

黄承:我们的组织架构师信息安全委员会,下设信息安全办公室,有法务、内审、资产保护、信息安全四个成员部门,由于安全有技术资源,对其他三个部门的日常工作开展可提供有力的支持。

CISO主持人:看来,信安部门的地位还是挺高的,单拎出来了,赞一个。

电商谈安全,必然会谈到业务安全。这是因为做电商,对于做黑灰产的人群来说,他们会绞尽脑汁儿、尝试各种办法去利用业务逻辑上的漏洞谋取利润,使用的方法包括但不限于垃圾注册、盗号、薅羊毛、刷单、已知组建漏洞等等。那么,请问黄总:唯品会在业务安全上,是如何应对外部入侵、撞库、盗号、刷单、刷券等业务风险的呢?

黄承:我们可能都会焦虑这些问题的直面而来,这些问题没有根治之说,我相信是会继续下去的顽疾,这些问题的根源何在?明白“庆父不死,鲁难未已”的含义,从这些风险产生的源头入手,也就是业务和运营特点。其次才是技术手段的渗透,之所以称之为渗透,就不是指采用后期的或者说外围的锲入的方式开展安全工作。

对于如何治理这些问题或者说应对这些问题,其实我前面已经给出唯品会的做法了,即:

必须建立全面管控,先决条件是要有埋点、控制点(有监测和检修口),对安全后续具备可管控的手段是首要的。其实业务运营部门也一样需要这些点,帮助他们处置业务运营过程中的问题或事故。

埋点和监控点何时去做?那就是在我所说过的最开始规划的时候就要先考虑的,在业务需求提出、产品设计、开发、上线阶段埋入,新的系统如此,老的系统通过迭代实现。说了一圈,就是这些问题是我们安全风控工作的一部分,隶属于业务安全团队的工作,这项工作一直在进行。

CISO主持人:很多企业都有自己专门的风控团队。“庆父不死,鲁难未已”很形象的比喻,只是目前搞黑灰产的那些“庆父”难以彻底灭绝,是个持续的顽疾,所以必须建立全面的监控,通过在系统中埋点加以控制。

目前,做电商的企业不在少数,而拥有自己的SRC(安全响应中心)的电商企业却并不多,而唯品会作为全球最大特卖电商,为了给用户切实营造一个安全的购物环境,于2015年9月成立了自己的SRC(VSRC)。那么,请问黄总:对于电商企业来说,要想建立自己的SRC,需要哪些条件和准备?如何才能持续运行下去呢?谢谢

黄承:我们没有在更早的时候成立SRC,是有原因的。

目前,SRC的建立如雨后春笋般,SRC不应该只是个漏洞收纳箱,或者只是信息反馈通达到内部安全团队的一个传声筒,既然是对外建立联络和信息交互的平台,就需要在内部有完整的联动机制来支持它,并且是与安全内部的产品及技术团队(尤其是评测团队)协同的。如果是这样的机制,那么就不用去考虑如何持续运行下去的问题,因为它是安全部门的组织架构中必须存在的构件。唯品会是在15年看到具备了上述条件和资源了,才成立SRC的。

CISO主持人:谢谢黄总,黄总说的太赞了,SRC不能仅仅是一个漏洞收纳箱、传声筒,而是需要有完整的联动机制来支持它。上面提到过业务安全问题是电商企业的重中之重,为确保业务安全,电商企业务必会采用部署适合自己业务的风控系统,以便缓解上面提到的种种业务风险问题。那么,电商的业务风控系统是自研好还是外采好呢?不同规模或者不同行业的企业应该如何选择风控系统?

黄承:如果用采购能解决的问题为什么还要做自研?目前多是自研+外采结合的方式。

风控系统主要由风控模型(包括处理引擎)和风控策略组成,基础模型具有一定的通用性,结合行业的适用性可以做些优化或者说改进,策略则是和行业特点,准确说是业务类型和运营方式有着紧密的关系,不同行业差异较大。另外,基础数据是风控的基础,基础数据的获取依赖于我们前面说的埋点以及基础架构和业务等大数据。有同仁提过一个问题,说老黄:我们企业规模不如XXX,所以我们基础数据少,所以风控一定做的不如XXX...."。我不是很认同这个论断,基础数据到了一定体量,更多的数据不会为模型学习或风控提供更多的帮助了。

CISO主持人:谢谢黄总,目前主要还是自研+外采结合的方式,这倒是可以供其他企业借鉴一下了。的确,风控系统无外乎 “引擎+规则”,有了引擎再加上适合自己业务的策略规则即可。还有一个问题可能有的企业关心部署方式了。如果在意数据的隐私性,可能会采取本地部署,要么就是部署云端了。

我们知道唯品会一直在坚持不断完善自身安全体系与信息安全技术,增加信息安全投入,卓力打造一套纵深防御,风险可控的信息安全管理体系,切实保障消费者的信息安全,为过亿会员打造更优质的购物体验。那么,在访谈环节的最后,请问黄总:如何才能建立切实有效的电商安全体系呢?电商安全体系与传统行业的安全体系又有何异同?

黄承:从理论适用角度上来说,电商安全体系与传统行业安全体系没有差别;现实中,由于电商的业务特性会将很多场景放大到极致或者说由于极端场景的出现,将矛盾放大到前所未有。经验主义在电商会遭受严峻的挑战,结合业务、运营可能是不满足于做“桶底”的唯一“活路”。逐步演变成为一个具有业务和运营属性的安全组织可能是安全目前可见的最好“出路”。也就是说,这个体系是做出来的,写出来、说出来都没有用,可能电商安全不太和咨询公司合作也有这个考虑吧。

CISO主持人:理论上,电商安全体系与传统行业安全体系没有差别;实际中,电商业务的特殊性会使其遭受很严峻的安全挑战。总之,就像黄总所说,体系是做出来的主要看效果,非常感谢黄总今天带给大家的有关电商安全的实践分享,下面就是互动环节啦,各位群友可以根据自己感兴趣的问题或针对刚才黄总分享存在疑问的,都可以进行提问了哈!

互动问答精彩节选:

问题:

1)如何平衡用户体验和安全性

2)如何平衡业务系统稳定和安全更新的矛盾

黄承:首先,是先入为主的想法,安全不是去管控别人,是管控风险,风险是谁的?只是安全的吗?那就要命了,要让业务部门听到、看到、最后才是想到,这个风险也是他们的,这样没有对立的可能。

安全的人懂业务吗?懂运营吗?先说近一点,懂开发和产品设计吗?都不懂,要不靠边站,要不赶紧学,弯下腰,今天不弯腰,以后一直弯着,我是这么给团队说的。