第一次見到“哲哥”(大家都這么叫王哲),完全沒有圈中大佬架子,甚至還有點反差萌。誰會想到,眼前這個大男孩兒,竟是當初宜人貸第一位安全工程師……
本期極匠:王哲
宜人貸安全兼運維總監,加入宜人貸6年,宜人貸第一位安全工程師,CISSP,行業安全專家。從最開始的“兼職”信息安全團隊,到互聯網金融首個SRC -宜人貸安全應急響應中心的建立。以下就是本次專訪王哲意外收獲到的故事,有關宜人貸信息安全團隊的那些事兒。
1
有愛,不懼未來? ?“夢想體驗師”與“夢想守護者
宜人貸作為中國互聯網金融海外上市第一股、互聯網金融行業的頭部平臺,從前沿科技到技術創新,諸多方面都代表了行業里的最高水準,一直引領著行業的發展。如果說宜人貸是“夢想體驗師”的樂園,那么背后的信息安全團隊則是大家的“夢想守護者”。6年來,整個團隊為了更好的履行“夢想守護者”的職責,磨礪前行!
2
“夢想守護者”初體驗
大家知道,2011年12月,宜人貸就進入平臺的搭建研發。而在2012年3月,宜人貸網站正式上線后,伴隨著“夢想體驗師”的加入,網站便受到來自網絡攻擊的干擾。在當時行業都還沒意識到安全重要性的時候,王哲已經開始籌備“夢想守護者”團隊。
當時,整個行業遇到的主要還是漏洞問題。那個時候的網站,在現在看來,跟“裸奔”無異。一沒做過任何測試,二沒任何防護措施。在這樣一個大背景下,整個行業基本上是漏洞滿天飛。當時如果哪個網站沒被“黑過”,都不好意思說自己是搞互金的。
再后來,王哲便開始組建初期的“信息安全團隊”,一支由系統運維、應用運維人員組成的“兼職小組”應運而生。因為缺乏專業的安全知識,為此還專門配備了專職的WEB安全工程師。“夢想守護者”,初見雛形。
3
“夢想守護者” 刷怪升級
團隊建立后,王哲他們開始梳理遇到的網絡攻擊行為。經過分析,團隊發現所有攻擊行為最終的目的主要是2個:
1、?多數是白帽子,并沒有惡意。他們只是想證明自己的能力,并幫企業發現安全問題。白帽一般不會碰企業的數據;
2、另一種,疑似競爭對手或者黑產團伙,目的直奔數據
像白帽子這種還好,包括在烏云上也可以看到一些漏洞。只是,當王哲他們團隊發現漏洞在烏云上曝出來的時候,這個漏洞可能已經被人利用過很多次了,再補救其實已經晚了。
面對攻擊,一開始團隊只是想,怎么被動地抵御攻擊。再往后發展,當企業要開始建設安全能力的時候,就需要站在更高一層去考慮安全問題,構思安全體系的建設。
期初,團隊很簡單的認為,只要做好滲透測試、搭建一些防護設備就能解決一切。但是做到一定階段之后就發現還遠遠不夠,大家突然意識到,做安全不僅僅是防個攻擊這么簡單,團隊需要一個明確的安全目標,比如:
安全這塊的技術,我是依賴于第三方,還是依賴他的同時發展自己的安全的研發能力,包括合規要做到什么程度,用戶的數據保護要做到一個什么樣的程度。
所以,一定要有一個戰略性的安全目標,以及明確的安全結果。然后沿著這個目標去做的時候,比如再遇到類似“要不要自研”這種問題,選擇就變得容易多了。
另外,面對突發事件,王哲表示,關鍵有兩點:
1、做好管理,有標準化的流程,包括應急制度和方案;
2、團隊能力和執行力,比如我們接到一個外部情報,走標準流程,先評估漏洞的嚴重程度、漏洞如果被利用會造成什么問題,然后統計有哪些系統受漏洞影響,最后在這個基礎上我們再去做變更,當然也要走變更流程,這個機制挺復雜的,但是多經歷幾次事件和攻擊之后,大家就都知道怎么去做了。
4
“夢想守護者” 大佬養成
從期初的動蕩不安,到現在“3.15網貸服務質量TOP10”當擔第一。在王哲的帶領下,宜人貸這支“夢想守護者”隊伍逐漸成長成一支能夠打硬仗的隊伍。在王哲看來,隊伍的快速成長原因離不開:
1、?未雨綢繆,在行業還未意識到安全重要性的時候,王哲與他的團隊已經進入“戰場廝殺”,并積累了寶貴的經驗。團隊的流程機制也相對更完善,很多事情都是反復改進過的,比如編碼規范,針對我們歷史出現的高發問題,我們已經改過好幾版了;
2、領導層的格局,因為宜人貸許多高層都有國外上市公司高管經驗,他們本身合規的意識就非常強,而安全也是合規中一個很重要的組成部分。所以無論在整體安全的目標、策略的制定還是制度流程的約束,王哲與他的團隊做得都是比較合理和清晰的,沒有高層的驅動,很多戰術是無法執行和落地的。所以為什么說安全跟是技術跟管理的結合,其實大家日常的安全工作中,很多問題是可以靠合理的流程和制度來優化的,并不一定完全依賴于技術。
王哲表示,當下企業做安全已經比過去幾年好開展多了。而對于當下許多企業普遍認為安全難做,王哲也給當下企業信息安全團隊一些建議提了三點建議:
首先,整體大環境比較好,越來越多的公司開始重視安全問題;
其次,合規也是非常好的推動力,比如《網絡安全法》的發布以及行業的監管要求等;
再來,優秀的第三方安全服務廠商也開始涌現,產品和服務的可選擇性比較多。
但是,對于一些暫時還沒有太多安全經驗的企業而言,在沒有形成一套屬于企業自身的體系和框架,沒有明確的目標的時候,面對的困難肯定是巨大的。因為安全這個東西是沒有上限的,沒有任何一個企業敢說我的系統是絕對安全的。
這種情況下,安全就會做得比較亂,沒有章法,自然也不能達到一個比較“理想”的安全狀態。所以一個比較合理的做法應該是基于企業的現狀,發展狀況,未來的目標,以及現在可以在安全上做的投入,來制定適合自己企業的框架。階段性的審視安全工作取得的成果,慢慢優化細節,安全就會越來越成熟。
拿預算來說,每年 200 萬的安全投入和每年投2000 萬的安全投入,能開展的事情肯定是不同的,要做的事情的優先級也就不一樣,自然計劃也就不一樣。從我的經驗來看,在安全這塊前期想做的比較完善,投入會占到IT總投入的 5%-10%,一般 5% 就夠了,這其實已經算比較高的比例了。
還有就是安全團隊有時候和公司的其他部門處于一種敵對狀態,比如發現了一個漏洞所以不能上線,永遠都是在跟別人“找麻煩”,這種心態和方式去開展安全工作,做到一定階段也會遇到瓶頸。其實安全團隊需要在公司展示你的價值,安全得能夠跟業務,跟研發,跟測試都能結合起來,把安全嵌入到他們的工作流程中會比較好開展,尋求共同的KPI,讓其他的部門了解這么做的重要性,利益點在哪,安全不是來給他們找事的。
比如大家需要跟兄弟部門講,為什么要設置這么多流程?是為了保護你的客戶數據,花錢買來的流量如果被黑產搞走了,其實損失是非常大的。安全絕對不是孤立的,明白這個很重要。
5
“夢想守護者” 創新成果
創新這塊,王哲表示,不能說整個團隊在行業內是領先的,只能說團隊一直在積極嘗試突破。比如,在去年王哲就開始著手業務安全風控的工作。包括流程和系統的開發,而這個在金融科技公司里,這塊兒自研的并不多。雖然沒有像第三方服務廠商那么完善,但在短期內是能滿足公司當前業務需求的,而且控制權是在公司自己手里,如果公司要去加一些功能需求相對會更容易一些。
從開發這套系統,到設計業務接入流程,再到最終運行以及生產環境,整個團隊得到了很多層面的鍛煉,這個經驗非常難得!
另外,王哲還透露了個比較有意思的嘗試。團隊針對內部的風險,做了一個辦公網安全平臺,是基于大數據和機器學習算法來做的。
舉個例子,假設團隊發現某個員工最近上網行為有些異常,同時又頻繁地訪問一些內部系統,下載一些公司的資料,非正常時段連接服務器。通過聚類算法,就會認定這個人有潛在泄露公司信息的風險。又或者是員工受到攻擊,比如中了木馬,這個平臺也能及時檢測到,包括沙箱檢測、DNS檢測等。
內部風險還是比較難做的,所以方方面面都得注意到。這個內網安全的相關議題,團隊最近也會在QCon上進行分享,解密宜人貸“保密局”。
同時,團隊也在跟進區塊鏈技術,但是并不是關注用區塊鏈去做安全,而是用區塊鏈應用或者技術本身有什么安全問題,也是未雨綢繆,作為一個前期的技術儲備。因為隨著技術和行業的發展更深入,問題肯定是越來越多的。打個比方,別到時候說公司要做智能合約了,你都不知道區塊鏈技術是什么,有哪些安全風險一點都不了解,那就很麻煩了。
談到區塊鏈技術在 Fintech 領域的應用場景時,王哲表示,目前業內有個想法是在做黑名單共享的時候可能會有一些應用場景,比如怎么共享一些IP的黑名單,但是目前也都在探索階段,還沒有看到很好的應用落地。
同時王哲還表示,對于每個業務場景可能會發生的安全問題,團隊都需要提前做好準備。對于每個威脅和攻擊切面,有些風險可以選擇在當前階段接受,但是不能連風險都感知不到。
6
把“夢想守護者” 未來擔當
談到未來的目標與安排,王哲保持著安全工作者一貫嚴謹的作風:
首先,繼續完善現有的安全框架,不斷提升整體安全水平,這個是會一直持續的過程;其次,迭代團隊自研的系統,功能方面要更豐富、產品化程度更高。
團隊想將多年的經驗成果進行輸出,幫助到更多的同行團隊,有機會能夠開源給大家。并且,王哲希望不只是提供個單一的小功能,而是能開源一整套解決方案,可以為金融科技行業、安全技術領域做點貢獻。
7
致敬 “夢想守護者” 團隊
寫在最后,從這次訪談中我們不難發現,一個企業,如果要打造一支能打硬仗的信息安全團隊離不開以下3點:
1、企業領導層決策,不管是什么類型和規模的企業想要做安全,都需要基于當前的情況和目標,制定一個清晰可執行的系統化方案和架構,并嚴格高效地執行,在這個過程中不斷迭代優化,才能不斷提升企業信息安全團隊的整體能力;
2、做好持久戰準備,安全這個東西是沒有上限的,沒有任何一個企業敢說自己的系統是絕對安全。在這個方面,王哲與團隊整整花了6年時間的探索,才有了今天的成績;
3、合理借力安全服務供應商,因為自研的成本非常高,短期內又很難看到成果。所以,針對一般的公司,王哲不太建議大家搞自研。自研一般是為了滿足企業100%的需求,而大部分商業化的產品其實已經能滿足企業80%的需求,剩下這20%的需求,是存在跟業務結合不上的,或者說企業自己的個性化需求,所以才需要自研。
王哲與他的團隊一直走在行業的最前面,不斷接受未知的挑戰。“不懼未來”在極驗看來并不是一個口號,而是宜人貸“夢想守護者”整個團隊的精神所在。同時我們也期待,在將來能夠看到王哲與他的團隊,給這個行業帶來更多的驚喜!
歡迎持續關注我們微信公眾號(geetest_jy),還可以添加技術助理微信“geetest1024”微信,一起交流進步!
