🚧支付宝网络安全防御体系

序言

网络安全常常给人一种神秘感，甚至有很多从业者通过保持神秘来彰显自己的能力。人类天生对未知充满崇拜，就像魔术一样，眼前发生的惊奇让人感到震撼，直到揭开真相，才发现原来并没有想象中的那么复杂。

回想起自己的安全之路，如果说成长最快的一段经历，莫过于当年的乌云平台。那时，我目睹了许多优秀的白帽子，凭借奇思妙想把看似毫无关联的风险点串联起来，成功地实现了对各大企业内网的渗透，轻松访问各种敏感数据。那一刻，我仿佛拥有了超能力，觉得自己能够在网络中随意穿梭，查看互联网企业的内部数据。

如果配备专业安全工程师的大互联网企业都容易遭到入侵，那么众多中小企业的安全状况可想而知，堪忧至极。大企业犯的错误，往往会成为中小企业的重蹈覆辙。

正如蚂蚁集团致力于实现金融普惠，我们的安全团队也在为实现“安全普惠”而不断努力。对于许多企业来说，安全仍然是一种奢侈品。我们认为，安全不应是闭门造车，而应通过开放、互动交流以及快速的迭代优化来应对各种风险。我们将深入探讨安全的目的、价值、范式、最佳实践与有效性。

希望通过这篇文章，能将自己多年来的经验凝聚成文字，帮助所有从事安全工作的人，无论是安全工程师，还是CISO、CTO、CRO、CEO。如果我的分享能在某个时刻启发你，或为你带来一些安全工作上的帮助，我将不胜荣幸。

---

网络安全认知

困扰我们做不好安全的很重要的一个因素，不是能力，是认知。

安全的成因源自于产品设计与研发实现过程中未考虑好预期外的行为处理。

安全的能力与危害，真实的网络安全事件

网络安全是一个随着互联网技术发展而起来的行业，有很多新的技战术，但与所有安全一样，战略是极其相似的。比如军事、生物安全、核安全等等。

建立一个正确完整的网络安全认知，是走向正确的安全道路至关重要的一步。

网络安全和合规是一件事。

网络安全和数据安全是一件事。

应用安全、基础设施安全、数据安全、IoT安全等最终做法都会趋于一致。

所有公司的安全建设都会趋于一致。

安全并不是独立存在的，是由于变化产生的。

业务是第一安全责任人。

兵者，国之大事，生死攸关，不可不察也！

善战者，无赫赫之功。

兵马未动，粮草先行。

没有绝对的安全，安全是相对的。

万物都存在安全风险。

安全的本质是对抗，对抗的本质是成本。

安全没有一招鲜，需要多层纵深防御。

安全水位是一个不断变化、此消彼长的过程，维持某个安全水位是有成本的。

安全程度是建立在被保护的目标价值上。

安全是助力业务发展，而非成为裁判。让业务快速发展起来是首页目标，成功了再去解决负债。

安全不仅仅是安全团队的责任，业产研是主要责任人，但安全团队要为最终结果负责。

安全的目的

常见的网络安全攻击方法

• 抢购（抢红包/抢票/抢券）
• 机器行为（爬虫/扫号/撞库/爆破/刷量）
• 通过漏洞窃取控制权限、数据、资金，让服务不可用
  • 让某个网站不能打开
  • 查询/更改任何网站你的数据
• IoT
  • 定位某个人身份、位置
  • 窃取某个人短信、电话
  • 控制其手机、电脑、摄像头、汽车
  • 复制某个人手机卡、门禁卡、工牌、车钥匙
  • 伪造某个人人脸、声音、照片、视频
  • 伪造GPS

网络安全有效性

现有安全体系有效性到底怎么样？

首先，让我们思考一个问题：放下安全领域的专业背景，从一个局外人的视角来看，我们现有的安全体系的有效性究竟如何？

行业安全防护现状不容乐观。相信在座的许多人都经历过十年前的“乌云时代”，我们都目睹了无数白帽子轻松“漫游”各大企业内网，仿佛置身无人之境。时至今日，十年后的现状并未有太大改观。在各大企业的SRC中，我们依然可以看到不断出现的高危漏洞奖励，不少业余的白帽子通过挖掘漏洞仍能获得百万级收入。在HVV中，通用的0day漏洞和复杂的入侵手法导致许多企业被淘汰出局。除了这些可控风险外，我们还经常在公开或私下场合听闻各种APT事件，这些事件导致国内外企事业单位遭受数据泄漏和资金损失，例如最近的中国工商银行遭受Lockbit勒索软件攻击的事件。即使是那些未遭受过APT攻击的企业，如果组建了自己的安全红队进行红蓝对抗演练，结果往往也是以红队成功窃取数据或资金告终。

甚至攻击方法都没有太大变化。尽管攻击成本有所上升，但这并未根本上解决入侵成功的问题。不同于过去，当时仅凭借各种安全工具的扫描就能轻松攻破许多网站。也不再像以前那样，黑客可以轻易在内网中横行无忌而不被发现。尽管容易解决的问题已得到处理，但对于更为复杂的安全难题，我们几乎没有实现重大突破。如果一个经验丰富的安全专家专注于某家企业，运用各种手段，只要给予足够长的时间，他们几乎总能成功侵入并窃取数据。这意味着，目前许多看似安全做得很好的企业，其实只是表象。他们的安全水平尚未经受严格的验证，很可能是依赖运气走到现在的。

攻防的不对等性显而易见。一旦发现风险，其原因往往单一明确。然而，一旦漏过风险，可能的理由则数不胜数。攻击者只需发现单一漏洞即可成功，而防御方必须全面防护，不留任何破绽。每次遭遇外部报告的漏洞、数据泄露事件或红蓝演练的突破时，在内部复盘过程中，我们总能看到各方人员站在自己的立场上，提出看似无懈可击的理由。这常常导致责任推诿的情况，最终仅留下针对单点问题的待办事项。然而，各种安全事件依然在不断发生，循环往复。

情况并没有得到明显好转，但每个人又都非常努力。战术上的勤奋掩盖了战略上的懒惰，战略上有哪些突破可能？

到底有哪些因素影响网络安全有效性？

产生漏洞风险的原因实在太多了，从防守视角看到底有哪些关键因素呢？

• 安全责任范围是否明确？为了避免在安全建设过程中出现风险遗漏，使团队更加专注地进行安全建设，需要明确团队的职责范围。每个人对安全以及安全范畴的理解往往都存在差异。常见的安全领域包括网络安全、数据安全、业务风控、内容安全、反欺诈安全、反洗钱安全以及生态安全等。除了大方向，也应明确子安全领域的安全责任范围，比如应用安全和基础设施安全，它们就存在交叉部分，若无法明晰边界，可通过设立联合项目组的方式进行统筹工作，确保不会因为存在工作边界而导致的风险遗漏。
• 安全目标与指标的正确性？安全目标代表了安全团队努力的方向，如果方向错了，那么一切努力都白费了。根据我和众多企业交流的经验，发现如果方向对了，最终大家做的事情是相似的，只是达成的时间存在差异。按照常理，在实际企业安全建设过程中，安全团队的主要任务是控制风险。然后，在现实情况下，安全团队受各种因素影响其目标各不相同。会发现很多安全团队中很多人所做的事情对于控制风险并没有太大帮助，每个人都按照上级指示做事，原始驱动安全建设的因素五花八门，有为了合法合规、有为了内部指标好看、有为了行业影响力、有为了单点突破。更加让人担忧的是，安全不出事就都认为没事，一出事就是大事。造就了各种安全建设的方式都能“活下来”，但一旦面临高强度的真实威胁，安全风险就会暴露无遗。除了明确正确的安全方向外，还需要清楚的知道需要面对何种等级的安全威胁，是针对漏洞扫描器的非针对性扫描、业余白帽子、资深白帽子、竞争对手，还是黑客组织。除了控制实际安全风险层面，越来越多的企业意识到安全也是一种竞争力，比如支付宝的“你敢付，我敢赔！”，这体现了安全团队在更高层面的业务价值。
• 安全体系的完备性与合理性？在确定了安全团队的责任范围和目标之后，需要开始针对面临的安全威胁设计安全体系。很多安全管理人员是从白帽子转变而来的，需要有一个清晰明确的认识。我们总说不知攻焉知防，但这不是让我们用攻击的方式来进行防守工作。直到现在还有很多企业仅依赖黑盒方式进行渗透测试、安全扫描的方式来进行风险发现。攻击者找到一处风险就能突破成功，防守方如果用类似的方式，必然会导致大量遗漏。我们用攻击者的优势去防御，就将自己和攻击者拉到同一起跑线上。应充分利用好甲方自己的优势：信息不对称，内部信息更加透明清晰，应用行为更加可控。这样才能让我们在对抗攻击者时处于优势地位。此外针对我们所面临的安全威胁，需要从风险控制类型以及风险控制阶段、安全保障体系等多方面回答现有安全体系的完备性与合理性。风控控制类型方面，能解决已知风险，那未知风险呢？能解决增量风险，那存量风险呢？能解决软件风险，那硬件风险呢？能解决可控风险，那不可控风险呢？能解决外部攻击风险，那内鬼风险呢？能解决有特征风险，那无特征风险呢？风险控制阶段方面，是否有事前安全威胁的识别、安全意识的提升、上线前的风险规避机制、上线后的安全防护、风险利用时的感知与止血，以及红蓝演练的持续检验，甚至时事后的溯源和司法打击等。除了技术和运营层面，还需要考虑规章制度制定、安全专项预算以及安全领导小组等风险控制的保障体系。
• 安全资源投入度与重点风险匹配程度？在明确了安全责任范围、安全目标以及安全体系后，需要投入相应的安全资源来实现这些目标。当安全资源与安全目标严重不匹配时，可以通过降低目标或调整优先级和拉长时间周期等方式来应对，并与老板们对齐认知。除了加强安全资源的投入，结合企业所面临的安全威胁，确定安全资源投入的优先级更加重要。当资源投入与当前关键优先风险不匹配时，虽然也能取得一些成绩，但对整体安全水位的提升有限，攻击者仍有较大可能轻易地盗取数据和资金。
• 安全能力与风险匹配程度？当安全资源投入与重点风险匹配后，还需要关注实现层面的安全能力与风险的匹配程度。常见情况是，对于一个新的漏洞类型，之前的安全措施完全没有防护能力。或是知道有这个漏洞类型的存在，却没有相关的安全能力进行发现和拦截。当安全能力与安全风险匹配度不一致时，就会不断出现新的意料之外的情况。
• 安全能力与运营有效性？当具备了对应安全风险的安全能力后，需要确保这个能力和策略的有效性以及是否覆盖到了所有需要防护的资产。是否能在资产变更上线前就默认覆盖安全能力，真实环境中各种非标情况是否能覆盖，面对真实威胁发生时各种能力是否还能持续保持有效？
• …

面对如此众多影响安全有效性的因素，再加上庞大且复杂的业务场景，影响全局安全性的潜在薄弱点数量急剧增加。同时，高价值数据和巨额资金的存在使我们面临各种等级和形式的威胁。

以蚂蚁集团为例，我们拥有数十种安全产品、数百名安全专家，并运营维护着数万项安全策略。在安全实践的方方面面，每个人对于如何实施安全措施、每个安全产品如何发挥其功能都有各自的见解。在这种情况下，是否存在一种指导原则，能够让大家对安全的认识和实现达成一致？

这些安全能力需要覆盖数千个域名、数万个应用、数十万个接口以及数百万个容器，其最终目的是保障数亿用户的数据安全和万亿级的资金安全。在涉及各种编程语言、各种运行环境和各个开发阶段的背景下，是否有一种技术手段能够实现突破，解决这些复杂的安全挑战？

自动化检验

SRC

紫军

蓝军

HW

真实安全事件

网络安全组织保障

一次完整的攻击链路

安全防御最佳实践

不战而屈人之兵：战略威慑

一切的基础：安全资产

基于交叉数据的资产采集

基础安全平行切面的资产透视

资产的理解程度

从不同细分安全方向到抽象融合

应用安全、移动端安全、IoT安全、基础设施安全

默认安全

• 风险越早解决，成本越低。

攻击面管理

自动化安全扫描

漏洞管理

基于安全平行切面的可信纵深防御

威胁感知与响应

安全情报

威胁感知

威胁对抗

溯源打击

前沿研究与行业贡献

安全赛事、安全漏洞、安全会议、安全出版物、安全论文、安全创新专利、安全标准、安全趋势

Changelog

• 2025-01-25 在 Annual Review for 2024 中，将完成本书作为2025年目标。
• 2025-02-21 完成序言，同时思考整体结构和关键点。