对话京东安全首席架构师：电商平台构建安全防护体系关键点

近年来，在不断发展的互联网技术和因疫情而兴起的“宅家经济”的共同推动下，电商平台已成为各大零售企业争相“抢滩登陆”的主战场。为了吸引更多消费者关注和购买，各类福利如促销活动和优惠券也随着上线。

然而，随着营销活动和打折力度的不断增加，针对营销活动的恶意攻击也逐渐成为网络黑产获取非法利益的主要手段。“薅羊毛”等恶意攻击时有发生，不仅让真正的用户无法正常参与营销活动，也极大程度上提升了企业的获客成本。如何通过安全防护体系分辨真假用户、阻止网络黑产的恶意侵扰，是企业和电商平台都需要关注的问题。

如何精准识别正常用户和虚假用户？企业怎样才能建立适合自身的安全防护体系？如何通过安全防护能力消除安全风险与隐患？本期腾讯安全《CSO面对面》栏目对话京东安全首席架构师耿志峰，以京东为实例向大家分享企业建立安全防护体系时需要关注的要点。

耿志峰是谁？ 耿志峰，京东安全首席架构师，负责京东产品与基础设施安全、数据安全和蓝军建设等工作，具有多年大数据安全、威胁情报、黑产对抗等经验，是大数据安全、企业安全架构设计和攻防对抗等领域专家。

Q1: 互联网公司与电商公司的安全策略有什么不同的侧重点？京东建立安全防护体系，最核心的目标是什么？

耿志峰：安全可以分为基础设施安全和运营安全两个部分。所有业务都会用到的服务器、网络、容器等基础设施，以及产品从设计、研发、上线，到部署和运行的全生命周期的安全管理，还有以数据为中心的审计和保护，都能算作基础设施安全，而各个公司的基础设施安全策略基本上是相同的，都能算作基础设施安全，不会有太大的区别，只是业务体量和复杂度的区别。

但运营安全就不一样了，因为运营的安全策略会跟着业务走，业务的不同会产生不同的安全问题，用到的安全策略也不一样。以京东为例，京东是以供应链为主的技术服务提供者，所以就会有电商、支付、云、物流这样的场景。比如像7FRESH这样的线下场景，京东就需要考虑线下业务都有哪些场景、要通过哪些手段确保线下业务的安全，而这些是其他没有线下业务的企业不用考虑的。

由于京东的业务种类和场景比较大而全，所需要的安全防护体系就要求比较全面，最核心的目标就是不断提高安全运营的效率，保障用户数据的安全。

Q2：在企业安全负责人的视角，您如何看待大型购物节带来的挑战？需要采取哪些手段对虚假用户进行精准识别？

耿志峰：大型购物节带来的挑战一共有两个。首先，由于电商企业在大型购物节投入的补贴和优惠力度都会大大增加，导致同一时间涌入平台的用户数量骤然增加，寻利而来的网络黑产会在这段时期内对平台进行密集攻击，使对抗强度和频率进一步提升。

第二点大型购物节提供的用户服务和优惠是个性化的、千人千面的，产生的黑产攻击的方式也是多种多样的，我们要在不同的场景下，为不同的用户提供个性化服务，就需要保障在这个过程中，精准的识别到或预防不同类型的黑产攻击。业务的复杂和黑产的多样是个挑战。

举例来说，用户会在618等大型电商节中领到各种优惠券，而这些是针对不同人群、不同产品提供的，而网络黑产则会通过虚假账户去薅取优惠券，如何精准识别虚假用户并阻止其违规抢券，把实惠给到用户，是保障运营安全的关键。

因为参与攻击的网络黑产的人数一定是远远大于安全人员人数的，所以应对他们攻击最有效的办法，并不是关注网络黑产可能会进攻的所有业务和场景，而应该将安全前置，即在业务或产品设计时就考虑安全因素，这样才能自动化地解决这些安全问题，从根本上消除网络黑产薅羊毛的可能性。

Q3：在应对黑产的过程中，大数据会发挥什么样的价值？

耿志峰：在对抗黑产时，数据量越多、维度越多，就能更清楚地知道是谁在用什么方法攻击用户的哪些资产，所以大数据在对抗黑产的过程中是十分重要的。如果通过大数据定位到正在进行攻击的黑产，那么就能挖掘出这个人还用什么样的其他方式、关联了哪些团队在对你发起攻击，牵起萝卜带上泥，因为黑产是有团伙性质，也是有上下游的。如果能通过这种方式把关联的黑产团伙全挖掘出来的话，就能对这些黑产形成一个面上的阻挡和防范，大幅提升防御工作的效率。

不过大数据在实际应用中，也会遇到一些难题，主要就是数据量太大。因为与正常业务流量相比，黑产攻击的流量在总体流量中的占比还是比较低的，如果想通过计算所有数据来分析黑产攻击行为的话，投入和收获其实是不成比例的。

还有一个问题就是某一家公司看到的数据只是一个片段，我建议在确保数据安全的前提下，积极与其他公司进行合作，形成联防。每家企业都有各自的黑产画像以及攻击流量的特征，联合就能更全面的看清楚黑产。

Q4: 请问您如何看待安全前置的重要性？京东是否有相应的安全管理手段？

耿志峰：这个问题非常好，解决一个安全问题的时间不一样，所要耗费的解决成本也是不一样的。打个比方，如果在产品或业务设计初期就考虑到安全问题并预先设置解决方法的话，解决成本可能是10元；但是如果这个产品或业务已经上线了，那么解决成本可能会达到1000元或更高。

而有一些难度比较高的安全问题，只能在前期才能解决。比如逻辑漏洞问题，本身就是由于业务的逻辑才产生的，使用外部的安全产品很难实现对这类安全问题的检测、发现和防御。只有在业务设计阶段就考虑了安全因素，才能杜绝这类安全问题。

最后，很多企业在发展初期不注重安全，等到发展起来以后已经有很多业务和IT资产了，此时再去解决这些业务和资产中存在的安全问题就非常复杂了，因为既要确保业务正常运营发展，又要应对风险，不是一件简单的事情。所以安全越前置，企业在解决安全问题的时候才能保证业务不受其影响，解决的效率也会越高。

Q5: 如何通过充分的安全能力，消除电商平台上的安全风险与隐患？

耿志峰：从风险控制角度看，我们所有的产品、所有的业务都有一个起点，可以理解为一个扇形，从起点一直往外长。一方面是安全能力前置，能在设计阶段就别等到上线后，一方面是安全的控制点前置，例如控制点在内存就比网络边界靠近起点。安全能力是越往起点方向靠，能够覆盖的面就越大。

从风险预测角度看，核心是建立自攻防的体系，验证防御的有效性。例如体系化挖掘漏洞的能力，威胁情报获取、预警和反制的能力。

Q6: 大型企业应该如何建立建立全面、充分、弹性的安全体系？小型企业要如何确保安全防御能力并有效降低成本？

耿志峰：大公司纵然投入多，然而要面对的安全问题也多。对于比较大型的公司来讲，一定要投入巨大的精力从根本上解决问题，也就是我之前所说的扇形理论。

而对于小公司来讲，可能在初期很少甚至没有在安全上进行投入。我建议可以通过购买市面上成熟的各类安全产品在关键节点进行布防，缓解安全问题。

Q7: 您如何看待云原生安全这类新概念、新技术的应用价值？

耿志峰：对于云原生安全的定义可谓是众说纷纭，我在看待云原生安全问题的时候，主张具象一些看。比如从服务器层面上看，在操作系统、镜像、网络等内置了安全设计，不再需要安全类的产品，例如各云厂商都会有网络隔离，都会有去密码登录，这种就是原生的。如果说在操作系统上装一个HIDS，再检测入侵做阻断，这部分就是后期运营补充进去的安全能力，不属于云原生。

Q8: 电商领域是否有必要引入外部的安全能力？

耿志峰：虽然京东自建了基础和业务安全能力，但在打击黑产层面，我们与外部是有着广泛合作的。

安全的领域非常多，全部都非常深入地做并不现实，我们会花最多的精力在最需要关注的问题上，比如数据安全，而在邮件安全、服务器安全等领域会同业内进行较多的能力合作。

希望能够与腾讯深入合作，打通安全链条，形成对黑产更加紧密的联防联控机制。