生活在网络帝国里的人们,对安全的担忧如今已经到了群情激昂的地步。
2018年,伴随黑产攻击手段的迭代更新,人们忽然发现每个人都在阳光下裸奔,一向被视为安全禁区的个人隐私可以随时被觊觎、被窃取。而最令人忿忿又恐惧的是,你的手机、银行卡、各种常用APP都有可能被隐形的“第三只手”游刃有余地操控。换言之,黑客正以无比惊人的速度更新升级,只为能全面嵌入我们的生活,坐享其成。这注定使得安全博弈不再是某家公司、某个机构单方面的事,而是整个互联网行业无从逃避的问题。
就像京东安全首席信息安全专家Tony Lee不止一次强调的:区块链、IoT、AI是未来的基础设施,但这些技术顺利发展的前提一定是打好安全基础。为此,京东安全在过去的365天里已逐步从服务于京东内部延伸至推动整个社会隐私保护的高度。国际化创新、极客信仰、人才孵化,也自然成为属于京东安全的2018关键词。
国际化创新,为让安全服务成为互联网社会的基础设施
道高一尺,魔高一丈,安全博弈的甲乙双方永远都在侦查与反侦察的边缘较量。
有信息安全专家指出,在各种监控与管制下成长起来的黑产,眼下已逐渐从单一个体向群体化、规模化发展,不单形成分工细致的成熟产业链,且在暗黑技术上也已达到了实时更新的程度。从互联网使用者的角度看,会明显发现各种匪夷所思的个人信息泄露更多样也更频繁了,所以也便出现了“群体性安全焦虑”,而这种焦虑丝毫不亚于对SARS病毒传播的恐慌。
作为国内最大的网络零售商之一,京东拥有近3亿活跃用户,自然需要不断在网络安全业务方面布局发力,以保障其用户的数据安全和平台业务的运行安全。同时,AI、IoT等网络新技术的集中爆发也为互联网公司安全建设提出了全新挑战。
“安全需要未雨绸缪,而不是事后修复。所以现在京东安全一方面做基于业务的安全,另一方面也要做最新的安全研究。”事实上,Tony Lee口中的安全研究已初见成果,不单针对AI安全、黑产对抗、IoT安全研究,专门在硅谷设立安全研发中心,同时还在国内成立京东牧者安全实验室,主做IoT安全、区块链安全等研究项目,这些都是在为不久的将来人、货、场无界连接的新零售时代提前做准备。
据了解,截至目前京东安全已完成了七大部署,除了数据中心、智慧物流、大数据安全、账号业务安全等,还有IOT安全、AI安全、区块链安全等新兴方向。除了专注自身业务安全,也在全球范围内积极推动技术开源、安全社区方面的建设,并不断对外输出网络安全新理念,赋能给第三方去使用这些技术。
很显然,京东安全在过去一年里不断深化的国际化创新,皆为实现一个目标,就是让安全服务在未来也能像水和电那样,成为互联网社会里便捷易用的基础设施,最终建立更广泛的全球网络安全统一战线,真正打造一个安全无界的商业新生态。
极客信仰,实现第四次零售革命下的安全无界
构建全球范围内的网络安全命运共同体,推动整个社会隐私保护的步伐,对于京东安全而言,从来都不是一句空口号,甚至已经成为它的信仰。那句始于Tony Lee的“做安全要有不相信感”的话,也逐渐成为网络安全从业者的职业座右铭。
事实上,这句话还是Tony Lee在今年HITB安全峰会上提出的。京东安全之所以花大力气将本届HITB安全峰会带到中国,是从心底不想将安全研究打上地域化标签,因为安全是看长远的,欲获取短期效益不太现实,其真正的价值或许在未来五年、甚至十年才会显现。只有网络生态里的每一个“小我”都在努力改变自己,汇聚在一起才有可能改变世界。俨然在今年的峰会上,“主话筒”始终握在到场的各位国际极客手中,大家心怀“极客信仰”,在分享最新的网络安全技术和网络安全攻防经验过程中,达成合作互通的共识。
关乎信息安全问题,从来需要的都是默默“实干”。所以为掌握国际最前沿的安全技术与资讯,京东安全在2018年,不仅仅把极客们请进中国,也坚持自己走出去:今年4月,京东在参与RSA大会(美国信息安全大会)期间,联合30余家中美知名安全专家、学者、投资人举办了TOP MINDS EXCHANGE (安全大咖高端交流)活动;紧接着,又先后参加全球顶尖的黑客大会DEFCON和BlackHat,并发布了一些关于AI安全、IoT安全的研究成果。
在DEFCON大会上,来自京东安全的JD-Omega战队,与来自微软、谷歌、腾讯、清华大学等国际知名的高水平战队团队会师拉斯维加斯,在GeekPwn拉斯维加斯站的CAAD CTF展开技术切磋。而AI解析技术在安全领域的应用研究荣获CCS最佳报告,据悉CCS报告投中率为16.6%,京东安全的研究项目最终以400:1的比例被评为最佳报告,这些都足见京东安全的技术实力与在全球范围内推动建立与完善网络安全生态的决心。
可以说,随着第四次零售革命围绕人、货、场三个核心发生变化,每一个互联网领域的从业者都难以独善其身,只有心怀极客信仰汇集全球智慧,才能实现真正意义上的安全无界,毕竟安全永远是我们畅谈未来生活的前提条件。
人才孵化,实现从学习到工作的无缝对接
如果说当今社会除了信息安全还最缺什么?那答案一定是网络安全的守护者了。尤其面对层出不穷的黑产势力,才愈发意识到专业人才上的缺口。
此外,据一位行业人士讲,直到黑产危机四伏的今天,99%的工程师设计程序还依照从前的套路,即写程序的首要目的是实现某种功能,能实现功能就是成功,却鲜有人会研究写出的程序是否有问题,驱动组件会否存在安全隐患等等。当工程师本人都不曾建立安全意识,其开发出的产品又怎能确保安全呢?
所以,必须在工程师尚未长成前,用新思维孵化他们,影响他们。这一点,京东安全又一次走在前列。继2017年与国内各高校合作成立攻防实验室后,今年继续深化人才孵化战略,启动“走进校园”系列活动,这中间既包括西安电子科技大学、西安交通大学等在内的中国高校,同时京东安全在美国也有培养人才的布局,目前已经与包括斯坦福、伯克利、宾州州立大学等在内的多所高校建立重要合作,结合实际应用场景和数据,在人工智能、IoT等前瞻技术研究上推动产学研项目落地。
用一位行业人士评价京东安全的话说,做安全首先要有战略思维,不能总是发现问题再解决问题,而要透过现象看本质,从源头上杜绝问题的发生,人才储备同样如此,只有用追本溯源的思考方式从校园切入,才能实现从学习到工作的无缝对接,继而形成完整的人才输送闭环。这一点看,京东安全的路子是走对了。事实上,走进高校只是京东安全人才孵化计划的一小步,未来其还将与更多国内外高校展开合作,为在校生提供实习平台,为安全人才提供向上空间。相信在人才流源源不断地滋养下,黑产终将成为互联网生态发展过程中的某个特定历史阶段。
就像穿越黑障,当克服心理生理与技术上的多重阻碍后,迟早有天会欣慰见到久违的那缕光。相信,已经不远了。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。