34
阿裏移動安全陳樹華:安全的最高境界是無感知
導語:這是篇近萬字的采訪,探尋了阿裏移動安全負責人陳樹華如何從從零開始,打造阿裏生態中最具重要一環——安全產品的文章。
在采訪中,陳樹華解釋了自己為什麼要從騰訊來到阿裏,他認為,阿裏有做真正安全產品的好土壤,能夠把安全和業務深度融合,捍衛用戶的價值。更為具體地來講,那就是360手機衛士、騰訊手機管家等隻是泛安全,隻能解決一部分問題,解決不了深層次的問題。
對於如何成功打造阿裏錢盾和聚安全這兩款產品,陳樹華稱,這個歸功於三方麵:一個是,團隊吃苦,有創造力;其次是阿裏高管非常智慧,有足夠的耐心,並且奉行“你比我懂這件事,那我就不插手”原則;最後一個則是跟阿裏確定的戰略有關——阿裏巴巴隻是這個團隊產品的一個重要客戶,而不是唯一客戶,這激發了團隊創業者心態,能為實現自己的夢想,而更加拚搏。
不過在筆者看來,產品的成功,跟陳樹華在技術管理上獨到的管理是分不開的。比如,不想引進太多牛人(並不是不招),更多想培養自己的明星;培養團隊,讓團隊成員從事挑戰性的事情,讓他們能夠始終走在行業前麵;打造彪悍地團隊文化——吃苦耐勞的精神、追求極致的產品觀、認同感和執行能力。其中,彪悍的團隊最為最重要,因為這是創新的基礎,“任何一個創新,一定是創新者反複思考、不斷錘煉,最後才能有創新。”陳樹華如是說。
吸引到人才加入,這支阿裏安全團隊是不是有什麼特別好的方法?陳樹華說:“特別好的方法沒有,其實吸引人才更多的是靠你要做的事情。薪水什麼的,BAT等大公司都給得起,所以絕對不是吸引人才的主要原因。”對於安全從業人員來說,使命感和成就感是吸引人才非常重要的因素。
在這次采訪中,陳樹華重點強調了一件事——安全是業務。原因是,在一切高速互聯發展的今天,整個業務形態都發生了大變化,安全已經從傳統的安全向業務安全轉變。如果始終抱著等長大了再做安全,那麼很有可能等不到長大那一天。比如說某行業排名靠前的旅遊產品APP,他們做活動從來不敢超過24小時,原因就是怕黑產來把紅包全刷走。然而,如果它有了全麵的安全策略,業務運營完全不需要做這樣的妥協。
陳樹華也就當下移動安全上的挑戰發表了自己的看法。他認為,當下移動安全最難以解決的問題是:掌握在壞人手中的手機和IOT。現在的黑產幾乎能定製所有環節,在這種情況下,要知道黑產在幹壞事,還要能防住他,這是一個非常大的挑戰。另外,移動安全麵臨的更大的挑戰是IOT繁榮起來之後,一切更加不可控。比如智能設備那麼多,都要去防,這對安全團隊是多方麵的挑戰。
他還認為,培訓機構的那群“小黑客”給安全行業帶來了很多誤解,讓人認為,攻防是安全的全部,並且這群“小黑客”的情況,也很容易讓人為安全行業沒前途。但實際上安全更重要的是體係建設,而安全建設是一個比較難的過程。陳樹華很看好安全的未來,因為安全已經成為業務,並且決定著很多公司能否走遠,所以安全人員的路隻會越走越寬。
最後,他還就去年支付寶取消手勢解鎖做出了解讀,“安全產品最高境界就應該在無感知的情況下保護到用戶,這是我們一直的追求。”他認為,這是一種安全和用戶體驗的平衡 ,隻有自信的產品才敢這麼做。
以下是本次采訪正文:
在杭州阿裏巴巴西溪園區的圖書館裏,我見到了陳樹華。和上次采訪趙海平時不同,圖書館裏出人意料的熱鬧,但在這個有點嘈雜的環境下,見到陳樹華後我瞬間平靜了下來,因為我知道麵前這位看起來不起眼,但言談舉止很沉穩的人值得深挖。
陳樹華是阿裏巴巴移動安全部負責人,阿裏聚安全、阿裏錢盾等產品創始人,移動互聯網安全體係建設開拓者,也是國內最早的一批移動安全專家。10年前,他加入趨勢科技,發現了諸多係統安全漏洞,並主導了業界第一代Android平台自動化病毒分析係統、第一代Android沙箱係統、國內第一版Mac OS殺毒引擎等研發項目。2012年加入騰訊,任職騰訊T4級安全技術專家,建設並完善了手機管家的殺毒引擎、分析係統及漏洞處理機製。2014年加入阿裏巴巴安全部負責組建移動安全團隊,以行業內革命性的速度完成了麵向個人和麵向企業兩個方向的移動安全產品體係搭建。
“這是行中(陳樹華的花名)和移動安全部門第一次公開接受采訪。”阿裏的朋友事前這麼介紹。之前聽極少還擔心陳樹華不善於表達,但擔心是多餘的,采訪進行的非常順利,表達清晰、小幽默、平易近人以及技術人那種特有的書生氣質,是我對這位阿裏移動安全部門老大的印象。
“任何一個創新,一定是創新者反複思考、不斷錘煉,最後才能有創新。”“內部培養三個明星,對團隊的貢獻,一定是遠遠大於引進一個明星。”“培訓機構培養的小黑客,一定程度上誤導了大家對安全的認識,以為安全隻有攻防”“安全的最高境界是無感知。”……兩個多小時的專訪中,陳樹華聊了個人發展曆程、開發項目的往事、阿裏移動安全部門、技術管理心得以及對當下移動安全現狀的看法。
和《三體》作者劉慈欣同一個專業
陳樹華畢業於東南大學電氣工程係,這是和《三體》作者劉慈欣一樣的專業,畢業之後,一般都會被分配到電廠、供電局或者國家電網這樣的鐵飯碗單位。原本應該在強電、配網領域發揮才能的陳樹華,為什麼最終會“跑”到計算機安全領域?在筆者看來,是興趣、愛鑽研以及他開明的父母使然。
高一下學期開始學Basic,這是陳樹華第一次接觸當時還被叫做“微機”的電腦,他覺得這東西很神奇——“太有意思了。”然而每次上機都要排隊,過程太過於煎熬,他渴望有一台屬於自己的電腦。而在那個寒假,陳樹華便擁有了一台微機。這台微機是5000元,在當時(1994年)這樣的價格可以買好幾平方的房子,“但在我父親眼中,這東西未來肯定會流行,並且會發揮重要作用。”陳樹華透露。海闊憑魚躍,天高任鳥飛,在那段時間,陳樹華還寫了一個小遊戲,不過由於高考的原因,後來便沒接觸。但正是源於他父親的先見之明,“計算機”開始在這位對世界充滿求知欲的少年心中埋下了種子。
大學畢業之後,陳樹華並沒有選擇去國網這種鐵飯碗企業,而是選擇去了中興通訊?。在那裏,他開始深度接觸到Linux:先是通讀Linux源代碼,接著慢慢切入到整個Linux內核;由於對係統非常清楚,陳樹華同時也開始嚐試著將Linux運用到程控交換機上。
完全鑽研係統底層,對於他人可能顯得比較枯燥、也很艱難,但對這位愛鑽研的年輕人而言,那是如魚得水。當時的同事說:“經常看到陳樹華抱著一本很厚的書慢慢看,像一些大型操作係統源碼,都能看完。”
移動安全之路:每一步都能趕上 諾基亞對他開放源碼
帶著對係統底層的興趣和執著,陳樹華後來去了趨勢科技,在那裏他正式踏上移動安全之路。
移動端當時流行的操作係統是Windows CE和諾基亞的塞班,一開始很好做,但後來陳樹華就頭大了。因為移動端係統越來越多,光一個諾基亞就出來若幹個操作係統,每出一個係統他都要通讀一遍。
“而且這些都沒有源碼。”陳樹華說,這是最具挑戰性的地方,不僅需要將代碼還原出來,而且每個月都要評估一個操作係統——能不能做?能做就要給安全解決方案。這種非常具有挑戰性的工作,激發了陳樹華的鬥誌,他全力以赴進行研究,而這也練就了他特殊的本領——看操作係統源碼的時間,比誰都快。似乎正是這種本領,讓趨勢科技當時在國內獨領風騷——第一個做Android安全、開發出第一代Android沙箱係統、第一個做Mac OS殺毒引擎。
盡管沒有諾基亞塞班係統的源碼,但後來陳樹華也能憑著感覺,知道在哪深挖。雖然很吃力,但諾基亞每出一個係統,他們都能緊隨其後推出安全解決方案。諾基亞看他們每次都能跟得上,於是簽了保密協議,將源碼“開放”給他們,趨勢科技因此也成了為數不多能拿到近似完整代碼的公司之一。
對於源碼的開放,陳樹華還特別解釋了下,“最核心的代碼,還是需要我們去諾基亞公司。他們會把我們關在一個屋子裏,在那裏隻能讀,不能做任何筆記,讀完就回去。”
“這麼多年,終於看到一個國內的兄弟了”
回顧主導開發業界第一代Android平台自動化病毒分析係統、第一代Android沙箱係統、國內第一版Mac OS殺毒引擎等研發項目時,陳樹華還提到了一些有趣的細節。
開發Mac OS殺毒引擎時,由於蘋果的係統不開源,因此進行一些研究就顯得很困難。做Mac OS內核驅動時,國內沒有人能問,甚至能看的書也不多,國外也不知道找誰請教,陳樹華隻好用自己的名字在蘋果社區提問。突然有一天,蘋果上的一個哥們高興壞了,高興的原因不是陳樹華的問題給了他什麼靈感,而是這麼多年終於看到一個中國人,一個來自國內的兄弟。陳樹華解釋說:“在當時,國內蘋果電腦還沒流行起來,開發者很少,而且大多是在應用層上做開發。”
盡管那位高興壞了的朋友,並沒有解決陳樹華的問題,但通過各種曲折、摸索,他們還是慢慢的把Mac OS殺毒引擎做了起來,成為國內第一個Mac OS殺毒軟件。
Mac OS開發過程盡管很艱難,但對於這位國內最早一批的移動安全專家而言,最難的並不是Mac OS,而是iOS。“iOS比Mac OS還封閉。”陳樹華指出,Mac OS的Mach和BSD體係還對外開放,但iOS就完全封閉,你隻能一點一點地去做研究。
從騰訊到阿裏,是因為這裏有做真正安全的土壤
2012年,陳樹華加入騰訊,在騰訊任職T4級別的安全技術專家,建設並完善了手機管家的殺毒引擎、分析係統和漏洞處理機製。
在騰訊的那兩年,陳樹華坦言,最大的收獲來自產品思維和文化。陳樹華之前一直在傳統的IT企業,對互聯網的玩法了解不多。但在騰訊,陳樹華學會了如何做產品、如何經營用戶、以及如何去挖掘需求……
對產品上的認知、用戶的認識,這種和技術本身無關的東西,給陳樹華帶來的幫助甚大。在內功原本深厚的前提下, “招式”上的進步,將陳樹華帶到另外一個更高的境界,仿如打通任督二脈一般。
2014年,陳樹華選擇離開騰訊,來到阿裏。對於為什麼離開騰訊,他表示阿裏有做真正安全產品的好土壤。
陳樹華坦言,在騰訊的工作很愉快,“一個是手機管家用戶量已經上來,另外一個是安全體係也基本建設好了。”他選擇離開更多的是專業角度的考慮。騰訊擅長打造C端的用戶產品,而阿裏長於做平台和生態。陳樹華認為,阿裏存在著做真正安全體係的好土壤,能夠把安全和業務深度融合,捍衛用戶的價值。
一個人撐起所有,阿裏移動安全的艱難起步
陳樹華進入阿裏的時間是2014年1月份,那個時候阿裏移動安全團隊一共就不到10個人。這些人是從各個部門抽調過來,其中隻有兩個人具有移動安全背景。
這對陳樹華而言,是一個莫大的挑戰。這種挑戰和困難存在於兩方麵:一個是,人員缺口非常大,要想方設法招人,而且招來就要能做事;另外一個是他要在短時間內做出成果,因為大家的期望都很大。
為了解決人員上的挑戰,陳樹華每周都要到處飛。有一次賽門鐵克裁員,“當時高興壞了,興衝衝地跑過去。”但結果不理想,沒有找到合適的人才。“的確是裁員,但裁下來的優秀員工都直接給了去美國的機會。”現在說起這事,陳樹華也覺得沒搶到人才是個遺憾。筆者當天在圖書館洗手間都看到了阿裏安全內部招聘的海報,他們招人的努力可見一斑。
一邊招人,一邊打磨產品。2014年的上半年,幾乎每個月都會有人問“事情順利嗎?”,雖然明知道是關心,但也帶來無形的壓力。陳樹華沒有急著和大家說明進展,“你不可能隻拿一個PPT和別人溝通思路,當務之急是拿出成型的產品。”
6月底的時候,阿裏移動安全的三個項目:漏洞掃描、保鏢、殺毒引擎對內發布,奠定了阿裏移動安全的基本方向。
阿裏錢盾和聚安全的成功得益於:團隊、放手和創業心態
在這三個項目中,最讓陳樹華自豪的是殺毒引擎。因為正常的一款殺毒引擎沒有兩三年的積累很難出來,而他們的隻用了不到半年就完成研發——創下了行業記錄。對於殺毒引擎的能力,陳樹華介紹說,“在2014年9月份AV-TEST國際測試中,我們拿了滿分,跟360、安天持平。”陳樹華還介紹,和其他安全廠商相比,阿裏移動安全的殺毒引擎更加專注於電商和支付安全,比如發現和攔截針對支付寶、淘寶的各種風險,以及識別仿冒APP等。
後來,他們又在三個項目的基礎上繼續完善,在2014年10月底正式對外推出了麵向企業用戶的整合方案阿裏聚安全,和麵向個人用戶的手機安全防護產品阿裏業務錢盾。目前,阿裏移動安全產品已經覆蓋近4億終端?。
這麼短的時間就打造出兩款成功的安全產品,主要是得益於哪些因素?
“第一個是團隊,這群人非常能吃苦,有創造力,這是能夠一炮打響的最核心因素。”陳樹華首先肯定到;其次,是整個阿裏的高管非常智慧,給了足夠的耐心——我不懂,你比我懂,那我就不應該插手。“如果你不懂,但插手了,這件事可能真的會黃掉。”他說,“過程中間大家雖有不斷的疑問,但沒有人插手業務。”這在整個過程中貫徹的很好。
這也跟產品一開始確定的策略有關:在所有產品上,內部和外部都一致,服務好阿裏巴巴的同時,也要服務好整個生態。把阿裏巴巴當作一個重要客戶而不是唯一的客戶來服務,正是這種創業者心態激發了團隊為了實現自己的夢想,而更加拚搏。
和陳樹華共事多年的資深安全專家丁健生則認為,陳樹華的人脈和領導組織能力是其中最關鍵的因素。“依靠他的人脈,移動安全部門在一年裏就拉起一百多人能打‘硬仗’、有產出的隊伍。他也很有領導力,該發狠的地方發狠,該放手的地方放手。做事給方向後,過程基本不幹預,方向苗頭、形勢不對時,又會幫一下。”
技術團隊管理上:不想引進太多牛人,更多想培養自己的明星
一個團隊要想能征善戰,做出成績,除了需要領導做出正確決策之外,也需要優秀的團隊成員配合和良好的內部氛圍,那麼陳樹華在人員招聘、內部培養機製以及團隊技術上是怎麼做的?
“你要說好,我也不知道有多好。”在回答這個問題時,陳樹華有點謙虛。但又很快給出他們的做法,“我們歡迎業界的牛人,但更希望培養自己的明星。如果能在內部培養出三個‘明星’,對團隊的貢獻一定是遠遠大於引進一個‘明星’。”
陳樹華說,當然招“星”計劃也一直在做,但更多地努力是通過各種途徑培養“本土明星”。具體做法,一個是通過各個點進行磨煉,另外個是做背景知識的大量補充。
各個點進行磨煉,就是讓團隊成員在不同領域切入。“對於每個切入領域,我們又有要求——必須在那個行業裏進入前三名。”他強調,這非常關鍵,“因為隻有切入不同領域,才能保證我們每一個人都有巨大的成長機會。”另外一個,是通過各種沙龍、內部定期的技術分享、安全峰會等為團隊補充養分。此外,陳樹華也鼓勵大家走出去,因為技術隻有不斷探討才能進步,而且跟蹤行業發展情況,也能反饋給整個團隊。
“我們做的事很多都具有挑戰性,走在行業前麵。”陳樹華認為,從某種程度上來說,這是最大的一個培養機製,“我們會把行業裏非常多的方向放進來,隻要你想去做,隨時都可以做,並得到完全的支持。”
在團隊技術文化上,陳樹華提倡四點:吃苦耐勞的精神、追求極致的產品觀、認同感和團隊合作。
“沒有誰一定比誰聰明,憑什麼你能做出來,別人就做不出來?”因此,陳樹華一開始就跟團隊強調,“我們不拿出比別人更吃苦耐勞的精神,就無法趕上別人,趕上了也不可能領先太久。”所以他一直在打造彪悍的團隊文化。
打造彪悍的團隊有兩點:極致的產品觀和認同感。“這是從騰訊帶過來的。對產品一定要精益求精,一件事不能做兩遍,因為它是對時間最大的浪費。”陳樹華對產品上這麼要求。在認同感上,他延伸出兩個要素:激情和執行能力。“如果對於要做的事不認可,或者說內心沒有非常強烈的認可,你沒有動力堅持。”
陳樹華認為創新非常重要,而創新則需要認可和激情做基礎:“任何一個創新,一定是創新者反複思考、不斷錘煉,最後才能有創新。”阿裏移動安全開始階段,也是通過激情不斷突破,他說。光有認同還不行,陳樹華還強調執行能力,任何一件事,在規定的時間內必須要一次完成,這個沒有任何妥協的地方。這位花名取自於易經,意為中間態、調和態做事的行中稱:“定目標的時候你可以商量,但是定下來之後,沒有任何商量餘地。”
最後是團隊精神,一定是團隊作戰,而不是個體。“在個人能力上你可能是明星,但是不依靠團隊絕對成不了事清。任何一個好產品一定不是一個人做出來的。”
至於團隊的新鮮血液補充上,他們看重三個要素:對行業的熱愛、學習能力和正確的價值觀。尤其是正確的價值觀,因為今天的阿裏安全人員掌握了公司命脈——所有的業務數據。陳樹華稱,“麵試人的從業經驗、背景等都不重要。學曆也沒有必然的關係,哪怕是高中生,隻要上麵三要素符合,我們也要。”
“那吸引人才加入,你們有什麼特別好的方法?”
“特別好的方法沒有,其實吸引人才更多的是靠你要做的事情。薪水什麼的,BAT等大公司都給得起,所以絕對不是吸引人才的主要原因。”對於安全從業人員來說,使命感和成就感似乎是吸引人才非常重要的因素。
安全就是業務
對於很多企業來說,安全可有可無,但是對於阿裏而言,集團的共識是:安全就是業務。
“阿裏的業務需要安全貼身護航,”陳樹華舉例說明,“比如包裹險,這個保險沒有進行風險防護之前虧損,但進行保護之後不再虧損,最重要的是,打擊了靠炒空包裹賺錢的那群人。”
有些企業可能還覺得安全隻是附屬品,要先考慮業務生存才有資格考慮安全,但實際上現在如果不從一開始就把安全融入業務,很有可能直接影響生存。“你總以為安全的事兒等長大了再做也來得及,實際是沒有安全體係,你很可能等不到長大那一天,”陳樹華舉了一個很有說服力的例子,“比如說某行業排名靠前的旅遊產品APP,他們做活動從來不敢超過24小時,原因就是怕黑產來把紅包全刷走。”如果它有了全麵的安全策略,業務運營完全不需要做這樣的妥協。”
在一切高速互聯發展的今天,整個業務形態都發生了大變化,安全已經從傳統的安全向業務安全轉變。過去的安全——數據中心安全等仍然存在,但業務安全卻到了非常重要的地位,“從個人認知角度來看,不論是市場規模,還是問題的嚴重性,都遠遠超過傳統的企業安全。因為黑灰產的本質是逐利的,圍繞業務下手的非法獲利更大,所以挑戰也更嚴峻。”
雖然安全如此必要,但對於一些公司,養一支專業齊全建製完備的安全團隊的確有些奢侈。“阿裏有全麵的安全能力,而且我們的能力都是多年實戰出來的。安全無法獨善其身,需要全社會共同提高防範,所以我們通過易用的安全產品把這種能力分享出去。”陳樹華道出為什麼推出阿裏聚安全的原因。
阿裏聚安全是阿裏安全所有能力的輸出口,是我們通過多年互聯網安全的經驗積累。我們發現傳統企業安全是以係統為中心的方案,通過保護企業的各類物理或者邏輯的係統,來保障企業的信息安全。但在互聯網時代,企業安全的需求有了較大的改變,麵對開放的邊界,海量的賬號,無法控製的外部終端,傳統安全已經無法滿足。
阿裏聚安全是針對傳統安全無法防護的互聯網風險推出的一整套安全解決方案,包括以保護企業App為基礎的移動安全服務,以實人認證為代表的下一代認證服務,針對違規星係的內容識別服務,以及互聯網業務風險的檢測與控製服務。它擁有一整套的安全流程規範,涵蓋設計、開發、測試、發布、上線、運營等互聯網業務的各個流程中,對於安全需求較小的互聯網業務,可以直接使用成熟的產品;對於安全特別關注的企業,例如說金融行業,也提供了全程的安全谘詢服務。
在設計階段,阿裏聚安全可以從App以及業務等多個緯度提供指導,例如整個通訊協議的選擇、業務邏輯的關係等;到了代碼開發階段,會提供安全編碼規範指導,成熟的各種安全控件以及各類業務安全的調用接口供開發者使用;在上線前,進行自動掃描或者人工審計,發現潛在的問題。上線後不是結束,而是一個開始,企業可以監控APP是否被惡意攻擊、破解或者仿冒,可以監控垃圾注冊、活動作弊、賬號盜用等各類業務風險,可以監控用戶提交的內容是否違規,也可以通過實人認證提升用戶可信度。總之互聯網業務中常見的各類問題,都能夠在聚安全找到解決方案。
移動安全的機會不在小公司,而在騰訊、阿裏這樣的公司
在移動安全To B領域有很多公司,比如說愛加密、梆梆、同盾、通付盾…,大公司則有騰訊、360、百度。對於這些技術解決方案,陳樹華有什麼看法?
他認為,盡管有一些小公司也提供移動安全解決方案,但像聚安全這種主流的技術解決方案隻此一家。不論是百度、360,還是騰訊,他們很大的一部分收入都是來自終端,移動安全發展滯後嚴重。騰訊也隻是剛提出一個雲安全概念;而360沒有真正的移動互聯網產業在手上,它暫時還看不清楚,所以360重點還是在企業內部安全。
陳樹華很誠懇也很擔憂地說:“行業裏到現在沒有更好的方案出來,這是可怕的一件事情。我們希望行業有成長,但就今天來看,移動業務已經遠遠超前於當下的安全,移動輕量化已經非常明顯。”“這不是說有360手機衛士、騰訊手機管家,就能解決問題的,這隻是泛安全。”陳樹華覺得,這隻能解決一部分問題,解決不了深層次的問題。
陳樹華還指出移動安全一定是基於對業務的理解非常清楚的情況下,才能做出好產品。因此像傳統的安全公司賽門鐵克、趨勢科技等無法進入這個產業,“連互聯網化都沒達到的一個公司,很難理解移動互聯網業務。”
傳統安全公司轉型存在巨大難度,小公司實力又不足以承擔這樣的角色,“小公司估值會有10倍20倍成長,但是跟行業發展相比,速度太慢。”所以移動安全隻能由騰訊、阿裏這樣的先行者把這件事承擔起來。
移動安全上的挑戰:掌握在壞人手中的手機、IOT繁榮是安全“災難”
談到當下移動安全最難以解決的問題,陳樹華認為有兩點:掌握在壞人手中的手機以及IOT。
有些手機不可控,特別是黑產手上的手機。“他們不僅僅是有幾部手機,而是一排牆上全部掛滿手機。不是一個人做事,而是一個團隊,還形成了一個產業。他們甚至連硬件、Rom都可以定製,上麵的App自己能篡改……”在黑灰產幾乎能定製所有環節的現狀下,陳樹華表示:“要知道他在幹壞事,還要能防住他,這是一個非常大的挑戰。”
陳樹華還憂心忡忡地說,移動安全麵臨的更大的挑戰是IOT繁榮起來之後,一切更加不可控。“iWatch可以支付,但SmartWatch上那麼多東西,那麼多途徑,都要去防,這對安全團隊是個挑戰。”這種挑戰一個是知識儲備,一個人能懂多少,不可能所有方麵都很牛逼,總有一個瓶頸。另外一個是未來IOT那麼多設備,究竟要成立多大的團隊才能盡在掌握?“這是另外一個維度的挑戰,我們的體係越來越龐大。”
那如何解決這些挑戰?陳樹華表示,他們的做法一個是提前在人員上補強,另外一個是能力和意識上進行加強,但這還遠遠不夠。他稱,“僅憑阿裏顯然不足以解決所有問題,我們隻是一個安全能力輸出,還需要所有安全人朝一個方向努力。”以一個無序的狀態去做效果並不大,所以陳樹華的團隊也在做標準化的工作,“通過推動一些標準,建立起更規範的動作,讓大家一起去朝好的方向努力,這樣才有希望。”否則,很難解決當下的挑戰。
中國安全行業現狀:培訓機構的那群“小黑客”壞了很多事
采訪中,陳樹華還提到一事——對去年移動安全挑戰賽的結果比較失望。這是一個旨在讓大家認識阿裏的安全技術,同時也促進行業成長而舉辦的賽事。比賽除出了五道題,冠軍參賽團隊也隻做出兩道,
“為了能把獎發出去,我們放寬了要求,隻要參賽隊伍給出解題思路就算通過,在這種情況下,冠軍也才做出了兩題。”這讓陳樹華非常失望,黑灰產越來越猖獗,但移動安全行業的從業人員素質沒成長。這位頗有危機感的移動安全行業領軍人物認為,如果站在國家層麵,我們國家的移動安全領域在今天仍然落後。
他也思考,認為主要是培養機製的問題。具體體現在,一個是高校裏麵,從事安全方向的教育者很少;第二個是,老一代的安全人員裏,非計算機專業的人特別多,這說明培養機製是肯定存在問題。
另外,很多人對安全的認識存在很大誤解,強調安全就是兩個方麵:進攻和防守。並且,社會化培養會選擇從最容易的方麵進行著手——就是進攻。陳樹華談到,外麵的培訓班,都在培養類似黑客這種性質的人,但這些人對於安全整個體係的搭建,幫助可能非常小。
“從當下來看,整個安全行業,絕對不是外麵辦幾個培訓班,就能把素質拉起來的。”培養攻防人才,能夠幫助做滲透測試,有其存在價值,但不能以偏概全,以為這就是安全的全部。安全更重要的是體係建設,而安全建設是一個比較難的過程,需要時間沉澱。“培訓班這種模式沒辦法培養建設者,培養了一批小黑客。”
而且這群“小黑客”也讓所有人誤認為安全就是破壞,“現在很多拿出來講的都是破壞的事跡,而不是建設的例子。”大家經常看到很多人在走傳奇人物路線——XX破了XX操作係統,就會有認識誤區。另外,“小黑客”的可替代性太強,“我隨便叫一個人過來,教兩個小時,也可以去進攻,隻是過程長短,能找到多少問題的事。”所以薪資很低,導致大家都形成一個錯誤的認知——安全行業沒前途。
盡管社會上對安全有諸多誤解的地方,但陳樹華還是很看好安全的未來。原因是,安全已經成為業務,並且決定著很多公司能否走遠,所以安全人員的路隻會越走越寬。
談支付寶取消手勢解鎖:安全的最高境界是無感知
去年7月份,支付寶做了一件比較有爭議的事情——將手勢解鎖取消。當時很多網友批評這一做法,表示沒有安全感。對於取消手勢解鎖,陳樹華舉雙手讚成,因為這是一種安全和用戶體驗的平衡 ,隻有自信的產品才敢這麼做。
“我們比任何一個用戶都擔心安全,錢丟了是要賠償的,做決策的背後一定是經過深思熟慮。”陳樹華接著解釋取消的原因,當安全水平已經達到一定高度時,去掉驗證不會引起資損上升,這時手勢解鎖已經是一種累贅。通過取消多餘的操作來提升用戶體驗,降低用戶的打擾度。“安全產品最高境界就應該在無感知的情況下保護到用戶,這是我們一直的追求。”他說
被問到2015年印象最深刻的安全事件時,陳樹華提到了影響數億用戶的XcodeGhost事件。這是一個新的攻擊方式,通過開發工具編譯器本身感染應用,然後再去感染其他,對於手機安全威脅來說是一個全新的模式,意義重大。
XcodeGhost事件,從無人關注到民間爆炒,再到國家力量開始介入後,才有了警醒:今天的編譯器是不是被人插入一段什麼代碼,無從知曉。這件事讓國家的認知發生了一個巨大的變化,“用著別人的開發工具、操作係統,就沒有資格談國家安全。”陳樹華說,這確確實實讓國家產生了觸動。
專注才能有好效率
這位平時偶爾也看《陳二狗的妖孽人生》、《二號首長》等網絡小說的技術牛人,在工作效率上是否也有什麼好的方法和我們分享?
陳樹華稱,做產品,極致才能出好產品,對於個人,專注力才能有好效率。回到今天,各種會議太多,真正有效解決問題的時間太短。這就要求一個人要對事情有深刻的認識和學會取舍,“如果自己的事情更重要,老板的會都可以不去。”但很多人就沒有取舍,隻要有會就參加,並且老板越大就越願意。“他唯一的權衡是誰職位高,沒有去權衡事情是該做,還是不該做。”陳樹華強調,大家應更多從事情角度出發,而不是從人的角度出發,從人的角度出發,他認為不會有多少專注,效率也就不高。因此要想提高效率,要學會辨別事情和取舍。
結束語:期盼阿裏移動安全部門能對行業有巨大貢獻
在采訪最後,筆者詢問陳樹華,移動安全部門從14年到今年1月份,差不多有兩年,你有沒有什麼不滿意的地方?他回答,有兩個地方不滿意,一個是部門發展速度慢了下來,另外一個是阿裏移動安全部門還沒能象阿裏帶動生態那樣,對安全行業產生巨大的貢獻。
這位話不多,但句句實在的阿裏人非常誠懇地稱,在阿裏做安全有很多優勢的地方——因為阿裏對安全投入不設上限,隻要是用戶關心的,就是安全要做的。但今天整個行業安全形勢非常嚴重,且愈演愈烈,阿裏安全還沒能發揮應用的作用和影響力,推動整個行業發展。 “這不僅對阿裏很重要,在國家層麵也很需要,但我們做得還遠遠不夠。”
“那你們接下來怎麼做?”
“三個點。一,服務好阿裏巴巴;二,布局好IOT產業;三,一定要做到對行業有貢獻。”對於第三點,這位外表平實、語速平穩的安全大牛又強調了下:“生態安全,我們會持續做下去。”
作者介紹:自由撰稿人,
來源:百家號
原文鏈接
最後更新:2017-07-18 20:35:42