极匠专访 | 宜人贷王哲:6年来,只为做好一件事
第一次见到“哲哥”(大家都这么叫王哲),完全没有圈中大佬架子,甚至还有点反差萌。谁会想到,眼前这个大男孩儿,竟是当初宜人贷第一位安全工程师……
本期极匠:王哲
宜人贷安全兼运维总监,加入宜人贷6年,宜人贷第一位安全工程师,CISSP,行业安全专家。从最开始的“兼职”信息安全团队,到互联网金融首个SRC -宜人贷安全应急响应中心的建立。以下就是本次专访王哲意外收获到的故事,有关宜人贷信息安全团队的那些事儿。
1
有爱,不惧未来 “梦想体验师”与“梦想守护者
宜人贷作为中国互联网金融海外上市第一股、互联网金融行业的头部平台,从前沿科技到技术创新,诸多方面都代表了行业里的最高水准,一直引领着行业的发展。如果说宜人贷是“梦想体验师”的乐园,那么背后的信息安全团队则是大家的“梦想守护者”。6年来,整个团队为了更好的履行“梦想守护者”的职责,磨砺前行!
2
“梦想守护者”初体验
大家知道,2011年12月,宜人贷就进入平台的搭建研发。而在2012年3月,宜人贷网站正式上线后,伴随着“梦想体验师”的加入,网站便受到来自网络攻击的干扰。在当时行业都还没意识到安全重要性的时候,王哲已经开始筹备“梦想守护者”团队。
当时,整个行业遇到的主要还是漏洞问题。那个时候的网站,在现在看来,跟“裸奔”无异。一没做过任何测试,二没任何防护措施。在这样一个大背景下,整个行业基本上是漏洞满天飞。当时如果哪个网站没被“黑过”,都不好意思说自己是搞互金的。
再后来,王哲便开始组建初期的“信息安全团队”,一支由系统运维、应用运维人员组成的“兼职小组”应运而生。因为缺乏专业的安全知识,为此还专门配备了专职的WEB安全工程师。“梦想守护者”,初见雏形。
3
“梦想守护者” 刷怪升级
团队建立后,王哲他们开始梳理遇到的网络攻击行为。经过分析,团队发现所有攻击行为最终的目的主要是2个:
1、 多数是白帽子,并没有恶意。他们只是想证明自己的能力,并帮企业发现安全问题。白帽一般不会碰企业的数据;
2、另一种,疑似竞争对手或者黑产团伙,目的直奔数据
像白帽子这种还好,包括在乌云上也可以看到一些漏洞。只是,当王哲他们团队发现漏洞在乌云上曝出来的时候,这个漏洞可能已经被人利用过很多次了,再补救其实已经晚了。
面对攻击,一开始团队只是想,怎么被动地抵御攻击。再往后发展,当企业要开始建设安全能力的时候,就需要站在更高一层去考虑安全问题,构思安全体系的建设。
期初,团队很简单的认为,只要做好渗透测试、搭建一些防护设备就能解决一切。但是做到一定阶段之后就发现还远远不够,大家突然意识到,做安全不仅仅是防个攻击这么简单,团队需要一个明确的安全目标,比如:
安全这块的技术,我是依赖于第三方,还是依赖他的同时发展自己的安全的研发能力,包括合规要做到什么程度,用户的数据保护要做到一个什么样的程度。
所以,一定要有一个战略性的安全目标,以及明确的安全结果。然后沿着这个目标去做的时候,比如再遇到类似“要不要自研”这种问题,选择就变得容易多了。
另外,面对突发事件,王哲表示,关键有两点:
1、做好管理,有标准化的流程,包括应急制度和方案;
2、团队能力和执行力,比如我们接到一个外部情报,走标准流程,先评估漏洞的严重程度、漏洞如果被利用会造成什么问题,然后统计有哪些系统受漏洞影响,最后在这个基础上我们再去做变更,当然也要走变更流程,这个机制挺复杂的,但是多经历几次事件和攻击之后,大家就都知道怎么去做了。
4
“梦想守护者” 大佬养成
从期初的动荡不安,到现在“3.15网贷服务质量TOP10”当担第一。在王哲的带领下,宜人贷这支“梦想守护者”队伍逐渐成长成一支能够打硬仗的队伍。在王哲看来,队伍的快速成长原因离不开:
1、 未雨绸缪,在行业还未意识到安全重要性的时候,王哲与他的团队已经进入“战场厮杀”,并积累了宝贵的经验。团队的流程机制也相对更完善,很多事情都是反复改进过的,比如编码规范,针对我们历史出现的高发问题,我们已经改过好几版了;
2、领导层的格局,因为宜人贷许多高层都有国外上市公司高管经验,他们本身合规的意识就非常强,而安全也是合规中一个很重要的组成部分。所以无论在整体安全的目标、策略的制定还是制度流程的约束,王哲与他的团队做得都是比较合理和清晰的,没有高层的驱动,很多战术是无法执行和落地的。所以为什么说安全跟是技术跟管理的结合,其实大家日常的安全工作中,很多问题是可以靠合理的流程和制度来优化的,并不一定完全依赖于技术。
王哲表示,当下企业做安全已经比过去几年好开展多了。而对于当下许多企业普遍认为安全难做,王哲也给当下企业信息安全团队一些建议提了三点建议:
首先,整体大环境比较好,越来越多的公司开始重视安全问题;
其次,合规也是非常好的推动力,比如《网络安全法》的发布以及行业的监管要求等;
再来,优秀的第三方安全服务厂商也开始涌现,产品和服务的可选择性比较多。
但是,对于一些暂时还没有太多安全经验的企业而言,在没有形成一套属于企业自身的体系和框架,没有明确的目标的时候,面对的困难肯定是巨大的。因为安全这个东西是没有上限的,没有任何一个企业敢说我的系统是绝对安全的。
这种情况下,安全就会做得比较乱,没有章法,自然也不能达到一个比较“理想”的安全状态。所以一个比较合理的做法应该是基于企业的现状,发展状况,未来的目标,以及现在可以在安全上做的投入,来制定适合自己企业的框架。阶段性的审视安全工作取得的成果,慢慢优化细节,安全就会越来越成熟。
拿预算来说,每年 200 万的安全投入和每年投2000 万的安全投入,能开展的事情肯定是不同的,要做的事情的优先级也就不一样,自然计划也就不一样。从我的经验来看,在安全这块前期想做的比较完善,投入会占到IT总投入的 5%-10%,一般 5% 就够了,这其实已经算比较高的比例了。
还有就是安全团队有时候和公司的其他部门处于一种敌对状态,比如发现了一个漏洞所以不能上线,永远都是在跟别人“找麻烦”,这种心态和方式去开展安全工作,做到一定阶段也会遇到瓶颈。其实安全团队需要在公司展示你的价值,安全得能够跟业务,跟研发,跟测试都能结合起来,把安全嵌入到他们的工作流程中会比较好开展,寻求共同的KPI,让其他的部门了解这么做的重要性,利益点在哪,安全不是来给他们找事的。
比如大家需要跟兄弟部门讲,为什么要设置这么多流程?是为了保护你的客户数据,花钱买来的流量如果被黑产搞走了,其实损失是非常大的。安全绝对不是孤立的,明白这个很重要。
5
“梦想守护者” 创新成果
创新这块,王哲表示,不能说整个团队在行业内是领先的,只能说团队一直在积极尝试突破。比如,在去年王哲就开始着手业务安全风控的工作。包括流程和系统的开发,而这个在金融科技公司里,这块儿自研的并不多。虽然没有像第三方服务厂商那么完善,但在短期内是能满足公司当前业务需求的,而且控制权是在公司自己手里,如果公司要去加一些功能需求相对会更容易一些。
从开发这套系统,到设计业务接入流程,再到最终运行以及生产环境,整个团队得到了很多层面的锻炼,这个经验非常难得!
另外,王哲还透露了个比较有意思的尝试。团队针对内部的风险,做了一个办公网安全平台,是基于大数据和机器学习算法来做的。
举个例子,假设团队发现某个员工最近上网行为有些异常,同时又频繁地访问一些内部系统,下载一些公司的资料,非正常时段连接服务器。通过聚类算法,就会认定这个人有潜在泄露公司信息的风险。又或者是员工受到攻击,比如中了木马,这个平台也能及时检测到,包括沙箱检测、DNS检测等。
内部风险还是比较难做的,所以方方面面都得注意到。这个内网安全的相关议题,团队最近也会在QCon上进行分享,解密宜人贷“保密局”。
同时,团队也在跟进区块链技术,但是并不是关注用区块链去做安全,而是用区块链应用或者技术本身有什么安全问题,也是未雨绸缪,作为一个前期的技术储备。因为随着技术和行业的发展更深入,问题肯定是越来越多的。打个比方,别到时候说公司要做智能合约了,你都不知道区块链技术是什么,有哪些安全风险一点都不了解,那就很麻烦了。
谈到区块链技术在 Fintech 领域的应用场景时,王哲表示,目前业内有个想法是在做黑名单共享的时候可能会有一些应用场景,比如怎么共享一些IP的黑名单,但是目前也都在探索阶段,还没有看到很好的应用落地。
同时王哲还表示,对于每个业务场景可能会发生的安全问题,团队都需要提前做好准备。对于每个威胁和攻击切面,有些风险可以选择在当前阶段接受,但是不能连风险都感知不到。
6
把“梦想守护者” 未来担当
谈到未来的目标与安排,王哲保持着安全工作者一贯严谨的作风:
首先,继续完善现有的安全框架,不断提升整体安全水平,这个是会一直持续的过程;其次,迭代团队自研的系统,功能方面要更丰富、产品化程度更高。
团队想将多年的经验成果进行输出,帮助到更多的同行团队,有机会能够开源给大家。并且,王哲希望不只是提供个单一的小功能,而是能开源一整套解决方案,可以为金融科技行业、安全技术领域做点贡献。
7
致敬 “梦想守护者” 团队
写在最后,从这次访谈中我们不难发现,一个企业,如果要打造一支能打硬仗的信息安全团队离不开以下3点:
1、企业领导层决策,不管是什么类型和规模的企业想要做安全,都需要基于当前的情况和目标,制定一个清晰可执行的系统化方案和架构,并严格高效地执行,在这个过程中不断迭代优化,才能不断提升企业信息安全团队的整体能力;
2、做好持久战准备,安全这个东西是没有上限的,没有任何一个企业敢说自己的系统是绝对安全。在这个方面,王哲与团队整整花了6年时间的探索,才有了今天的成绩;
3、合理借力安全服务供应商,因为自研的成本非常高,短期内又很难看到成果。所以,针对一般的公司,王哲不太建议大家搞自研。自研一般是为了满足企业100%的需求,而大部分商业化的产品其实已经能满足企业80%的需求,剩下这20%的需求,是存在跟业务结合不上的,或者说企业自己的个性化需求,所以才需要自研。
王哲与他的团队一直走在行业的最前面,不断接受未知的挑战。“不惧未来”在极验看来并不是一个口号,而是宜人贷“梦想守护者”整个团队的精神所在。同时我们也期待,在将来能够看到王哲与他的团队,给这个行业带来更多的惊喜!
欢迎持续关注我们微信公众号(geetest_jy),还可以添加技术助理微信“geetest1024”微信,一起交流进步!