3月 22 日,雷锋网编辑见到了京东安全掌门人 Tony Lee,那天,是他加入京东的第 571 天。
历经赛门铁克、微软后,2011年,Tony 从美国归来,创建了安全宝,直至安全宝的大部分业务被百度收购,Tony 成了百度云安全首席架构师 。但是,一年多后,Tony 的阵地就转向了京东。其中只有一个原因,Tony 说,他在寻找一个最激烈的战场。
“纵观行业过去20年的发展,安全博弈是不成功的,来到京东,我想是不是可以做点事情,能够真正解决一些问题。”
Tony 对安全行业的现状有些失望。
首先,大公司靠着长年积累和投入,建立了安全能力,有话语权,但小公司却没有这种安全能力,在“一视同仁”的信息安全威胁前,显然小公司处于劣势。其次,市场提供的安全服务大多是单点建设,并不能完全解决一个企业面临的安全问题。
Tony 认为,国外的开源氛围浓厚,国内虽有少量大公司在安全开源技术上有所涉猎,但远远不足,他希冀的是,一个在安全上有所需求的企业能在开源平台(技术)上进行定制,就能适应企业自己的框架和需求。
比如,TensorFlow 最初由谷歌大脑小组的研究员和工程师们开发出来,用于机器学习和深度神经网络方面的研究,但这个系统的通用性使其也可广泛用于其他计算领域。
他希望可以在京东提炼出一种安全能力,无论最终以怎样的形式呈现,对安全行业发展产生影响。“对京东来说,我们并不靠卖技术赚钱。很多公司靠做技术卖一个东西给你,我们更崇尚的是对互联网的贡献和影响力。”
但是,这事为什么在百度或其他地方不能做,却被他认定可以在京东完成?
年少的 Tony 喜欢守在电视机前,看美国电视台 CSPAN 专门播放国外辩论。他一看就是几个小时,因为“有一些人与生俱来对一些东西比较有倾向性,他对终极意义的东西比较感兴趣”。Tony 觉得,从终极问题可以倒推事情的本来面目,从而可以找到自己的路径。也因此,Tony 不会继续满足于在相对成熟的平台工作,他想要的是从 0 开始,披荆斩棘。
如果去一个相对成熟的平台,什么都很光鲜,看上去很专业。但是,这都建立在前人的成就上,所面临的问题也更固化。而安全行业,稳定就意味错失很多问题和战斗的机会——没有经历大量的战斗,无法培养出以一敌百的力量。
Tony 认为,他找到了理想的战斗地:“因为京东现在就是一个最大的盘子,海量的数据和丰富的业务场景,会面临各种各样的问题,数据安全、IoT安全、AI安全、账号安全、业务安全等,而随着无界零售等新业务模式的飞速发展,在这里还可能遇上你不曾想到的最前沿、规模最大、最激烈的安全问题,就跟打仗一样,最激烈的战场就在这里。”
Tony 入局京东时,就在寻找“创造先行”的人。每面试一个人,他都会问对方:“你愿意从 0 开始和我做起来吗?”
这个问题,Tony 问了很多人。
组建团队的过程并不容易。一是人就这么多,二是京东庞大的业务安全的战场就在这里,来的人和这个新生团队都要在短时间内扛住压力,直面这个已经存在的战场——无数安全威胁盯着的电商帝国。
首先,这类安全人才本来就很稀缺。
Tony 寻找的真正做安全的人需要有逆向思维,“Think outside the box”,这种人不多,几年之前,学校甚至都没有相关信息安全专业,正规的安全训练是缺失的。现在,很多从事安全行业的人才其实是安全爱好者,从初中、高中开始就对这个行业倾注了心力,但是坚持下来的人不多。Tony 希望,具备这种思维、真正热爱安全的人能跟随自己“内心的声音”,像保存火种一般加入这个“军队”中来。
其次,适合甲方业务安全的人才更稀缺。
雷锋网编辑和阿里安全曾经的掌门人陈树华有过一次对话,这位同样身处电商帝国的 P10 级牛人感叹,对电商帝国的老板们而言,他们关心的从来不是网站有没有被 DDoS,而是今天的店铺是否正常,首发的手机有没有被羊毛党薅走,这是这些公司至关重要的业务安全点,这样的安全都是围绕业务做。
“业务安全是业务摆在前面,不是安全业务,所以要懂业务,今天懂业务的在哪儿?谁懂业务呢?”陈树华说。
还有一位甲方业务安全负责人曾说,他费了好大力气才把从乙方企业招来的安全人员一个个培养成甲方所需要的人。
“很多人在乙方公司做安全产品,转到甲方还可以做些技术,但有多少人能在甲方公司把甲方安全做好?甲方安全人才不是一般的缺失。”Tony 说。
相应的管理人才就更少了。
Tony Lee 大学学的电子工程与计算机,后来又取得了相关硕士学位,主攻数据挖掘,还算“搭边”,“美国很多安全负责人甚至是音乐、律师出身,可以看出这种稀缺性。”
Tony 一边寻找在技术、管理能力上与之相匹配的人,一边“要求很高”。 他曾经把一封内部邮件转给京东安全的所有人,希望大家都有“拒绝做螺丝钉”的意识。
“螺丝钉来这里会很难受,因为我们总是要求他,这个你为什么不做,那个我们要管的,你赶紧上啊,你坐着干嘛?” Tony 时时刻刻都有从 0 开始的创业紧迫感,他要求,加入这个团队的人要有“主人公”意识,不是你的事你也愿意去管。
直到京东安全的人数比开始时翻了 5 倍,Tony 稍微松了一口气。
“军队”和“战场”都有了,Tony 不满于现状,他想要战斗在最前沿,通过追溯问题本源,来发现解决问题的路径。
这也是他惯有问题倒推思路。为什么会有安全问题?弱点跟风险起源在什么地方。如果存在漏洞,漏洞又从哪儿来?是不是在前期研发、设计考虑的时候不够周全?他希望,从源头上提升京东安全的水平。
保障源头安全能力是基础,在“行军”过程中又要根据战势及时调整战术。因此,更要关注安全与京东业务的贴合:首先是保卫核心数据安全,这是底线。他还看无界容错,关注大量数据交换的安全指数。比如京东关注的智能家居,物流里的无人机、无人车、无人仓储等新技术是否足够安全?
除此,数据挖掘背景出身的 Tony Lee 自然很在乎数据。他想构建出如 TensorFlow 一般威力的平台、框架,或者输出智能安全能力。
“intelligence”可能是他要做的事情的精准“定义”。一方面,它代表“智力”,一方面,它强调“情报”,而情报背后就是数据。
因此,他在京东主推了一项基于硬件加密的数据加密加速技术,希冀能满足“京东业务体量所要求的性能和稳定性极高的要求”,同时发挥京东的数据优势,在不触碰用户隐私的前提下 ,促成客户相关项目的合作。
而面对就在眼前的“战火”,他继续推进应用在风控中的人机识技术,提升在反薅羊毛的整个链条上的攻防能力和大数据分析能力。
为了做“IoT 安全”,找到硬件的风险点,他推动国外高校研究机构与京东合作,开发基于硬件层的自动化 Fuzz 工具。
去年 12 月,京东安全峰会上, Tony Lee 宣布京东将成立安全攻防实验室,聚焦智能化、人工智能、IoT、云安全。今年,他的目标又扩充了一些,除了美国的京东安全研究院,他想在中国也成立一个研究院。
这个不安于行业现状的掌门人在京东朝前走了 571 天,他还将继续向前,站在最激烈的安全战场前沿。
雷锋网原创文章。