在剛剛過去的春節裡,朋友圈曬飯的人少瞭,曬 " 雞 " 的人多瞭。
互相送祝福更少不瞭一句 " 茍 " 年大吉,一語雙關,人頭不在多,拿第一則行,全程茍著。
當然今天要聊的並非吃雞遊戲攻略大全,而是保障我們順暢吃雞的安全力量。
我們知道,遊戲外掛會嚴重損害遊戲的公平環境。正常玩傢遇到外掛,有時恨不得分分鐘砸掉手機。
而目前,運營者已基本都會選擇雲端來部署遊戲," 這就意味著,雲端的業務安全是遊戲體驗最重要的護航力量。" 騰訊雲業務安全中心總監周斌說道。
時間倒退至最初,周斌還是負責騰訊後臺開發的人員。隨著騰訊業務的發展,傳統網絡安全的應用場景局限性開始凸顯。2007 年,與業務場景更為貼近的安全團隊應運而生,周斌也是在此時從業務團隊轉向安全團隊,主要負責負責 QQ 空間安全項目。
2010 年,3Q 大戰後,騰訊推出一套開放體系,其中就有開放平臺,而開放平臺的第一個承載體即在 QQ 空間上,可以說開放平臺實際就是騰訊雲的前身。
" 我與騰訊雲的緣分始於 QQ 空間安全項目,到空間衍生出來的開放平臺,再到開放平臺衍生出來的騰訊雲,環環相扣。"
深耦合——業務脫離安全
談到從業務轉型安全時,周斌個人並不認為是技術生涯中一個很大的拐點。
" 作為技術工程師,我在大學時候就比較喜歡做一些與立項、破解相關的事情。所以從開發轉向安全時有儲備的背景知識,並不陌生。"
而現實卻是,做業務與做安全的思路完全不同。做業務的是要保證所有用戶穩定運營,而做安全是要在正常業務中找出惡意的部分進行解決,同時還要保證整個業務不出問題。簡單理解為前者是在順毛,後者則是逆著毛生長方向從中挑刺。
怎麼樣才能將業務與安全結合在一起又不受對方所累?騰訊提出瞭一套深耦合式安全架構。
通常來說,常規的業務邏輯采用一二三四,各環節順序相扣的模式。弊端在於隻要中間任一環節出現問題就有可能造成整個業務系統的癱瘓。比如曾有報道,某人為瞭報復前公司挖斷瞭公司的電光纖或者機房斷電都導致瞭企業服務器中斷,正是因為每個業務環節都要連接機房。
為瞭解決這種情況,安全公司往往需要對機房進行容災,以及相應的擴容機制,保證其服務能夠正常。
所謂深耦合即是要打破這種常規的順序相扣模式,將安全運營從業務運營中脫離出來,采用並行處理方式,既保證正常進行安全系統的對抗,也保證惡意的情況能夠被實時攔截。
相當於,業務走自己的陽關道,安全走自己的獨木橋,安全防禦與業務部門就變成一個脫節的過程。而兩個部分的數據又是一步互通的機制,以此形成深耦合的架構。舉例來說,即使機房斷電瞭,公司業務仍可正常運作,但在斷電幾分鐘之內,可能出現惡意攻擊。
" 這也是用最小的代價換取整個架構的運營正常。"
周斌告訴雷鋒網,騰訊在最初處理自研業務時候就以此架構去設計,並延續至今。騰訊雲也采用瞭這種深耦合架構搭建雲上安全系統,確保其能夠運營正常。
開放平臺——公有雲服務
房子搭好後才能往裡面請人。
馬化騰曾在 2007 年左右提出一個理念,叫做 " 我們把半條命交給合作夥伴 "。
在此之後,騰訊將以 QQ 空間為代表的社交平臺做成接口,開發者可以利用騰訊開放平臺提供的 Open API 機制去調用用戶的關系鏈名單(也就是尋找你的好友一起玩耍),開發有創意的社交遊戲及實用工具。
" 在這一過程中有個現實問題,走出機房之後,用戶系統與我們的系統之間必會出現網絡延遲問題。所以我們開始考慮,是不是騰訊也可以配置雲服務器,以此幫助客戶提升性能和效率。"
也就是在此時,騰訊開始為開放平臺的用戶提供雲服務器。隨著業務的逐步發展,用戶群的愈發壯大,騰訊也開始給一些不在開放平臺的用戶提供雲服務器,再後來就演化成瞭今天的騰訊雲。實際上開放平臺就是一個公有雲的服務,隻是其客戶群僅限進駐瞭騰訊開放平臺的企業而已。
遞給這些企業上雲梯子後更重要的事情來瞭,守護雲上服務器的安全。
" 最開始時候我們隻做瞭入侵、抗 D、雲 WAF、入侵、防護、主機安全等必備產品,逐步的我們才開始在後臺去做擴充。"
2008 年,開心農場火爆全國,不少社交遊戲開始進入騰訊開放平臺。騰訊也提供瞭常見的入侵、抗 D 等防火墻類遊戲用戶在意的業務。除此之外,也首次提供瞭反外掛安全服務。
有意思的是,當年寫開心農場反外掛系統的 team 就是周斌負責的。他告訴雷鋒網編輯,寫第一個版本的反外掛程序時他加班瞭一個星期,之後又在此基礎上迭代瞭很多版本,添加瞭時序分析,用戶畫像等邏輯內容。
彼時,騰訊雲順理成章地提出瞭第一個非基礎安全的產品,也就是業務安全產品——反外掛。
之後,隨著整個公有雲結構的爆發,用戶的類群不斷增多,諸如電商之類的客戶開始興起。
周斌告訴雷鋒網,在此過程中不同類型的用戶開始提出除瞭基礎網絡安全以外,他們還需要更多與業務相關的安全解決方案。
" 我們開始考慮,能否將自身的能力做輸出?於是我們開始沿著用戶的需求,將基於數據的黑產識別等實時攔截的架構能力,包裝成方案,對外作產品化提供給用戶使用。"
發展到今天,騰訊雲業務安全這條線開出不少枝葉,比如針對金融行業的反欺詐以及電商行業的整體風控解決方案,包括註冊、驗證碼、防刷,數據審計等整套解決方案;比如移動安全 APP 的加固;比如人機交互識別,反欺詐識別,釣魚網站連接等等。
也就是說騰訊雲的安全主線有兩條,一條是基礎安全,一條是業務安全。
而每條路上都有不少守護法器,在基礎安全方面,包括抗 D 的高防,雲 WAF,主機安全,漏洞掃描等成型的產品,甚至包括專傢服務,以及態勢感知這些能力。
在業務安全方面就更多瞭,基於電商、O2O、銀行,然後還有眾多大型企業,甚至包括互金,快消、視頻這些行業都有整套解決方案。
" 殺手鐧 " 懟黑產
陰陽本就相生相依,在眾多企業紛紛上雲背後黑灰產也在暗處滋生。
" 近年遊戲黑產的 DDoS 攻擊非常瘋狂。在做抗 D 產品過程中,我們發現不少黑產手上的資源是重合的,換句話說,攻擊 A 客戶和攻擊 B 客戶有很多相同資源。"
周斌告訴雷鋒網,這說明存在專門的黑產團夥對諸多企業進行攻擊,所以在 2017 年的時候,騰訊雲安全團隊聯合騰訊 " 守護者計劃 " 團隊協助警察蜀黎揪出瞭某些黑產團夥。
還記得去年刷爆朋友圈的網安部門跨境完整打擊黑客攻擊犯罪全鏈條事件嗎?沒錯,神助攻就是騰訊雲瞭,通過 DDoS 攻擊鏈分析、調查取證和溯源分析等工作,協助警察蜀黍抓捕瞭一個叫做 " 暗夜 "DDoS 的攻擊團夥,其暗戳戳貓在老撾、柬埔寨等地方,通過遠程遙控國內的服務器進行攻擊。
在打擊多個黑產以後,用戶本身受攻擊的概率明顯下降,要知道被幹掉的 " 暗夜 " 曾在 DDoS 攻擊黑產圈占 50% 的份額。
當然,打擊黑產的過程並不容易,除瞭找到對方的漏洞進入對方,更是挑戰瞭騰訊雲對黑產團夥的識別和畫像等能力。
周斌也告訴雷鋒網,騰訊雲目前的安全團隊,不僅隻有攻防相關的同事,團隊中還藏有一個 " 殺手鐧 " 小組,這一小組由來自海外各大名校的博士團隊組成,致力於構建混合神經網絡,將騰訊雲現有的能力以及積累的數據和實時的對抗,構建一個實時的識別系統,幫助其快速識別黑產。
至於這個殺手鐧威力如何,那就要看騰訊下一次扒出黑產團夥的速度瞭。
雷鋒網宅客頻道,專註先鋒科技領域,講述黑客背後故事。
