黑产,用户隐私安全的天敌。如何有效且高效的打击黑产,如何保护用户隐私安全,是新环境下电商平台的重要课题。这里的新环境,主要有这么几个方面,其一,用户数量几何式增长。相对于十几年前有限的用户量,目前以京东为代表的电商平台动辄都是数亿级的用户基数,基数越大,挑战越大。其二,黑产的“武装”日趋高精。譬如,在电商平台开始加强AI布局的同时,黑产其实也在进行AI攻克安全体系的研究。其三,生态效应的联动。用户、第三方商家、海量的SKU、订单量的激增、日趋多样化的服务内容,每一个环节若有疏漏,就有可能给黑产以洞可钻。
这种形势下,电商平台保护用户隐私安全的能力就成为其基础能力,也是核心能力之一。那么,电商平台应该如何切实保护用户隐私安全?如何有效打击和防止黑产钻漏洞,甚至如何变被动防御为主动出击?京东安全已然以多维组合拳给出答案。在日前举行的第五届“首都网络安全日”系列活动之“北京国际互联网科技博览会”(简称CSA大会)上,京东安全就大秀安全保护“肌肉”。
Facebook为互联网行业敲响警钟
前段时间的Facebook隐私泄露事件,足以让整个互联网行业警醒。以Facebook为代表的一些互联网平台在隐私安全保障上有纰漏,而对于互联网平台而言,纰漏就是危及平台生命和用户财产安全的大敌。Facebook事件给互联网行业敲响警钟。
如果不将平台安全做的滴水不漏,黑产甚至更可怕的别有用心的组织就可能让平台失去用户信任。而信任是平台与用户建立连接的基石。如京东首席信息安全专家李德浩所言:“京东的核心竞争力是用户的信任,保障用户的信任和隐私也是京东安全最重要的一环。”而在谈到用户隐私保护时,李德浩还坦言道,“这不只是法律问题,更是道德问题。在我们的价值观里,用户隐私神圣不可侵犯,任何有悖于此的事京东永不会做!”
可以说,Facebook为互联网平台用户隐私安全保护给出了一个颇具意义的负面样本。而在整个全球互联网络中,有更多的Facebook在经受着用户隐私的泄露而浑然不知,这未免让人不寒而栗。
京东在做的,是以超越黑产能力之上的全链条用户隐私安全保护,通过内部的高效机制和多部门的协作联动,让隐私泄露无火可生、无米可炊。这看起来很简单,但却是一个十足不简单、极为复杂和高深的课题。而之所以京东在这方面做得比较好,一方面是企业价值观上就夯实了用户隐私安全保护的根基,全员有保护用户隐私的意识,同时京东充分尊重用户的知情权、选择权,用户可以对数据进行充分的控制,并且还可以选择删除相关隐私数据。另一方面,则是通过技术上的先行和机制上的预警防范,以及对全球互联网黑产趋势的持续跟踪和研究,让京东安全成为一名拥有一身软硬融合功夫、持续为京东平台和京东用户安全赋能的“守门员”。
京东安全的大招
京东安全的“大招”主要可以归纳为三大方面。
其一,从系统底层布局先进反盗号系统和个人敏感信息脱敏,把好保护用户账号的第一道关。这其中,由于相同帐号多网站注册、信息泄露等原因,用户帐号存在被盗取的风险。在盗取账号后,黑产会进行账号恶意操作,电商领域比较常见的是领券、盗刷和盗用。为保护用户帐号,减少帐号被盗后所带来的风险,京东自主开发了开发反盗号系统,基于大数据分析及设备指纹等技术实现对盗号盗刷的监控和防范。同时,为保护用户数据安全,京东除了在各业务系统中要求敏感数据落地加密之外。还率先定义了数据脱敏规范。在任何情况下,除非必须,所有对数据的使用都必须采用信息安全部定义的脱敏技术对敏感数据脱敏,从而最大限度保障了数据在传输、存储和使用上的安全,避免因为环境等因素的不安全而导致用户隐私信息的泄露。
其二,在此基础上,构建事前、事中、事后的全过程用户隐私安全保护体系。其中,事前充分利用京东的大数据建模能力来对帐号被盗等情况进行预测,同时结合多源的威胁情报等信息,对异常行为提前进行判断和分析。事中则是基于京东自主设计的高性能灵活的策略规则引擎,实现业务规则与引擎的解耦合,随时可以随着黑产技术特征的变化而进行快速规则调整,从而实现对外部异常的快速响应。而事后,京东系统还将联动各类异常数据,包括帐号体系数据、黑产数据等,进行关联分析和异常排查,将发现的更多异常用户帐号进行安全处置,扩大安全防护面积,保护更多用户的利益。在整个过程中,京东自研的设备指纹技术和多维度的黑产库等核心技术发挥着重要的支撑作用。
其三,在前瞻性安全技术研究上持续发力。早在2016年,京东安全就成立硅谷研究院;2017年,成立攻防实验室。通过不断地模拟演练,让自己成长得比黑客快,从而让黑客无从下手。上述几个方面的联动,实现了让黑客不能做、不想做、不敢做,从而形成京东安全三道防护门。除此之外,京东安全还十分注重关于黑产威胁情报的收集工作,知其所知,想其所想,才能防患于未然。
京东是一家技术公司,安全也应该是无界的
实际上,跳出用户隐私安全去高屋建瓴又切实的落实保护能力,京东安全是无界的。这就如京东集团董事局主席兼首席执行官刘强东提出的无界零售理念,无界不仅仅是对京东电商运营的模式创新和边界扩展,而且从用户隐私安全保护的角度来说,安全也应该是无界的。
一个例子是,目前京东已将AI安全技术应用到智能家居的安全防护上,实现了AI对抗AI,漏洞自动扫描和修复功能。这种AI对抗AI,实际上正是京东安全的无界之作。何为边界?如果黑产没有边界,那么安全就更应该没有边界。京东安全正是基于这种无界理念,去打破边界,进行超出传统意义上用户隐私安全保护的范畴,去抢在黑客前面占据攻防合一的安全保护机制。这种无界的思维和无界的安全保护路径,锻造了京东安全的强大攻防实力,不仅仅是对于面上能看到的安全隐患和人脑可以想到、做到的安全保障去下功夫,而且还拥诸如AI这样的前沿技术去提早布局、未雨绸缪,此正是京东安全的过人之处。
就在4月12日,刘强东出席2018中国“互联网+数字经济峰会”并发表主题演讲。谈到:“我们(京东)不是一个电商公司,我们是一个用技术来打造供应链服务的公司,是用技术为我们的品牌商提供供应链服务的!这就是为什么我们花了十几年时间投资建设物流体系的原因。”
其实,刘强东的技术公司论,不仅仅局限在供应链上,用刘强东的无界理念去理解和重新定义安全,正是作为一家技术公司的京东的本分和进击所在。作为一家技术公司,这其中很大一部分工作的推进正是安全驱动的。以技术赋能安全,以AI对抗黑产AI,以安全保障电商平台和各相关服务的正常运转,以打破边界去布局无界安全,这让京东安全的想象空间变得更大。而京东安全在首都网络安全日“秀肌肉”,恰是说明其安全能力和体系得到了行业的认可,是电商领域乃至整个泛互联网行业安全建设的典范。
举报/反馈

易北辰

29.9万获赞 1.2万粉丝
畅销书作者、科技评论家
作家,北大文学学士,科技领域爱好者
关注
0
0
收藏
分享