“BAT队”阿里网安:告别4年“裸奔”变身“神盾局”
不久前,阿里巴巴对国内网络安全公司韩海源的收购,引发了业界的讨论——阿里为何会收购一家安全公司?
事实上,作为互联网行业的先行者,以阿里巴巴为代表的互联网巨头们,布局网络安全业务已久。阿里巴巴的安全部门也被人们称作是阿里巴巴最神秘的部门“神盾局”。阿里的网络安全算盘是什么?“神盾局”又是如何运作的?
近日,《每日经济新闻》记者(以下简称“NBD”)专访了阿里巴巴安全研究实验室总监云舒,他大学本来学的是经济类专业,却因为喜欢网络安全而果断肄业,投身网络安全的浪潮中。在2009年阿里云成立之初,他加入阿里,负责云安全设计。2014年阿里成立了安全事业部,云舒又加入其中,负责安全研究实验室的工作。
阿里网安曾裸奔4年
NBD:网络安全是一个要花钱但不容易赚钱的业务,所以很多公司最初对网络安全不重视,阿里是否也经历过这样的阶段?
云舒:阿里是1999年成立的,但直到2002~2003年才有安全方面的人才进来,中间大概四五年时间处于网络安全裸奔状态。最开始是大家不了解有网络安全这个东西,后来知道了,但觉得是花钱的东西不愿意去做。后来重视了又肯花钱了,但也经过一两年的时间才完全做起来,直到现在做得比较好的这个阶段。
当初,我们在公司也会做一些安全策略、制度建设方面的东西,还有员工出来吐槽说,阿里的安全部权力很大又管得很宽,所以阿里的安全建设是用强力手段来推动的。
阿里的安全部也曾是一个比较边缘的部门,到现在才成为地位很重要的一个部门,职员有1000多个,首席风险官直接汇报给集团CEO。而且,经过了长时间的建设,我们已不仅仅是一个部门的概念了,更像是一个安全公司,连做安全产品销售的职务都有。
NBD:阿里是如何建设自己的网络安全人才队伍?
云舒:近年来,阿里持续用重金网罗全国的顶尖“白帽子”群体,可见如今对安全人才非常重视。除此以外,我们还会到高校去寻找人才。我也时常到全国各大高校去宣讲,看到不少同学都对网络安全行业充满热情。
但我们在招募的过程中,也确实发现大学里信息安全专业学科才刚刚起步,学校教的偏理论、缺少实践课程。所以我们也经常和学校沟通,和很多高校联合起来做阿里巴巴技术联盟,去引导学生,带领他们走有实际效果的方向。
生产物联网安全产品
NBD:阿里安全研究实验室主要做哪几方面的业务?
云舒:首先是研究最新的攻击和防御手段,这块是我们一直保持不丢的业务,也是根基。
在此基础上,我们会看未来3~5年的行业方向,围绕这个方向去做研究。比如我们看到可穿戴设备和智能家居是未来的一个重要方式,这技术趋势就是从PC到移动端到物联网的必然发展结果导致的,所以我们现在做物联网智能家居的安全产品,目前已经有几个国内大型智能家居企业和我们合作,用我们的安全产品。
另外,现在很多安全服务都是针对技术层面的,业务层的风险控制被忽视掉了。举例而言,如果有人在网站上恶意注册账号、恶意点赞等,就会扰乱你网站的正常业务和信用体系。比如某些音乐网站,就可以通过操作大量账号投票的方式,把一个音乐顶上去。防止恶意操纵的方式,就是业务层的风险控制,而管理员对这种业务层的行为了解得比较少。
阿里有维护淘宝10多年的经验,对淘宝、支付宝交易的风险控制有充分的优势,所以我们也会通过机器、模型、策略等方式,来做业务层的安全服务,现在国内能做这块的还不多。
NBD:看来阿里的安全业务,已不仅是保护阿里自己平台上的客户了,还可以外延到更广阔的市场上去赚钱?
云舒:没错,我们的阿里云盾就有相当不错的收入,但具体多少现在还不能说,也许明年就可以说了,总的来说安全业务能给阿里带来可观的收入。