BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

黄宙:做好研发安全要多问“为什么”
录制于:

| 受访者 黄宙 关注 0 他的粉丝 作者 InfoQ 关注 7 他的粉丝 发布于 2016年7月12日 | QCon北京2018全面起航:开启与Netflix、微软、ThoughtWorks等公司的技术创新之路!
12:34

个人简介 黄宙,苏宁云商 IT 总部资深安全专家,高级架构师,安全行业从业十余年,注册信息安全专业人员 CISP。2004 年开始全职从事安全行业,关注安全漏洞与安全产品技术领域研究。先后于中国电信、IBM 从事安全研发工作,现在苏宁 IT 总部担任高级架构师职务,对苏宁易购网络安全、Web 应用安全、信息安全领域进行安全重构,持续改进与优化苏宁 IT 总部安全能力,努力将传统安全技术、互联网安全技术结合,并与大数据、风险控制、业务安全领域,进行跨界安全融合。

QCon是由InfoQ主办的全球顶级技术盛会,每年在伦敦、北京、东京、纽约、圣保罗、上海、旧金山召开。自2007年3月份首次举办以来,已经有超万名高级技术人员参加过QCon大会。QCon内容源于实践并面向社区,演讲嘉宾依据热点话题,面向5年以上的技术团队负责人、架构师、工程总监、高级开发人员分享技术创新和最佳实践。

   

1. 各位InfoQ的网友大家好,现在我们是在QCon2016北京现场,作客专访间的是苏宁云商的黄宙。您是一个资深的安全从业者还有CISP的注册认证,您认为目前安全人才的主要流向是在哪里?

黄宙:第一个是流向BAT这种大型公司,第二个是新兴的拿到A轮、B轮的创业公司,再来就是往地区性的发展,比如北上广这些一线城市,像二线城市人才都往那跑。

   

2. 黑产大概占多大比例?现在是越来越多还是越来越少?

黄宙:黑产的是越来越多,从传统的黑产到升级版的黑产,从传统的盗Q币之类的黑产升级到薅羊毛刷单作弊这样的新型的黑产。

   

3. 您怎么看待3Q大战对整个安全行业的影响?

黄宙:3Q大战从积极的角度来说,我的理解是让它让安全放大了,第一个让大家娱乐化,第二个让大家更重视它。

   

5. 随着各种安全问题的曝光,各个互联网公司尤其是比较大的互联网公司都组建了自己的安全应急响应中心,苏宁云商在这方面有哪些布局?

黄宙:我们已经在去年10月份建立了自己的SRC,也通过SRC的运营认识了不少安全的从业人员,就像我PPT里写的“白猫临时工”。

   

6. 你们安全团队是怎么组建的?

黄宙:我们安全团队分成两块,一部分是外部招聘,像我这种互联网上招来的,还有一种是内部培养,传统的员工做能力转型,他原来是做质量管理或者其他领域的同事,由于岗位的需要他需要做人生能力的二次学习。

   

7. 但是有一个观点,说类似于安全这种人才是很难培养出来的,大部分都是自己有兴趣爱好自学的,你们在安全人才培养方面有哪些可以分享的经验吗?

黄宙:我认为自学是可以的,第一个是兴趣爱好,他学得会更快,还有一个是我现在用的办法,就是激励他,或者讲得难听点是“挑刺儿”,给他挑刺儿,完成不了会有风险,有可能转岗降薪,立马效果非常明显。

   

8. 在您看来,研发团队尤其是产品研发,他们需要做哪些调整来应对现在移动互联网的安全威胁?因为之前PC互联网时候安全威胁已经有很多安全公司服务做得很好,但是移动互联网安全问题正在逐渐的爆发,没有一些很好的解决方案,您觉得研发团队应该怎么去做?

黄宙:研发团队需要从移动的两个层面来说,因为移动既包含了互联网web层面的安全,也包括移动客户端本身的安全性。它是一个B端和C端的混合体,手机上安装的APP既是C端又是B端。像B端web方式是比较成熟的,C端的话因为需要由传统安全,传统行业比较重视从客户端挖掘漏洞,所以原来做传统客户端安全的转向移动互联网安全,会更方便、更快捷,漏洞的原理和展现其实是一个道理的。

   

9. 研发这边能做的事情好像比较有限?

黄宙:研发这边是和做正常WEB安全防护一样的,客户端要增加逻辑上的安全控制。

   

11. 这个加固防御不能全指第三方来做啊,自己什么都不做吗?

黄宙:苏宁易购自己也在做这样的开发,但是这个活不是我接的,所以我具体回答不了。

   

12. 你们有没有接入第三方的安全服务,比如像乌云有一些众测,你们有没有这种测试?

黄宙:我们采购了漏洞盒子的服务,几家都招投标谈过。

   

13. 现在其他公司也把越来越多的应用部署在云端,你们是自建的云系统,云端安全是怎么做的?

黄宙:云端安全分WEB应用层和主机网络层两块,WEB应用层我们在云端做了访问型的云WAF拦截和控制,另外一方面,在客户端上我们也像阿里一样做了客户端的安全,把客户端放的文件拖回来做分析,然后来检测。

   

14. 去年有几个安全事件被曝出来,分别是苹果XCode Ghost事件和百度SDK的安全问题,说它是“后门”也行,说它是“不当的配置”也行,你们是怎么应对这种类似于突发的安全问题的?

黄宙:突发只是这个事情的突发,但是从我们来看其实是一个持续性监测的问题,我们在社交网络上也认识很多安全圈的研究人员,当他知道将要爆发或者已经开始爆发的时候会优先通知我们,另外,我们也和一些互联网安全公司也有商业上的合作。同时,我们也加入一些地下黑产的论坛、黑客论坛,去关注和收集这些信息情报。

   

16. 还有一个是风控这个事情,您把风控思想引入到研发安全里面去了,很多研发安全的思维方式是像打漏洞补丁一样,风控思想引入到研发安全领域您是怎么想的?

黄宙:风控思想引入到研发安全就是在传统安全防御的角度往前多走一步,多问一个“为什么”、“怎么做”,通过这种方式,当他有一个需求或者有一个工作的时候,会有一个人或一个声音质询它,让他来自圆其说。

   

17. 我举个例子,比如我是一个安卓开发,我开发了APP的某一个新版本着急上线,你这边告诉我说,为了安全的加固我应该再做某些额外的工作,这时候我很抵触的,这种时候你们怎么做?

黄宙:我们这时候比较简单粗暴,就是把这个app拿过来测测看,如果有问题但还必须要上线的话,请你的项目总监签个字,然后边上线边去修。因为发布周期有几天,不是做完之后立马就能上架的。

   

18. 先是灰度发布,然后再逐渐?

黄宙:对。上线之后,它有H5和本身的,如果是H5的话我们在应用防火墙上可以对它临时做补丁。

   

19. H5还是比较好做的。另外,因为做电商,电商本身会做很多数据挖掘的东西,你们怎么样把数据挖掘引入到研发安全里面去?

黄宙:我们自己内部建了一个类似于威胁感知或者漏洞挖掘的原型系统,会把研发所有的数据拖回来,测试功能请求拖回来,拖回来之后做安全检测,检测完后会产生报告,报告再反馈给研发总监,通过这种方式。

   

20. 我感觉你们更像是通过各种政策或者制度来做这种安全的东西。

黄宙:先通过技术找到它的问题,然后再推给他的老板,让他的老板去做。因为软件的版本更新和漏洞修复并不是安全人员告诉研发人员后他自己就会去修,他修复需要排计划、排周期。你告诉他有个漏洞,但是软件人员会告诉你“我的项目中没有排这个,请你跟我的项目经理、我的boss谈,他给我排了这个任务我才会做。”流程上我必须发给他的老板。

   

22. 那这个谁说了算?或者怎么取这个平衡?

黄宙:这个平衡是我们CTO办公室做最终裁定。

InfoQ:谢谢,我的采访就到这了

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT