阿里釘釘張作裕:由內而外,以數據安全賦能業務

2019-06-03 175882人圍觀 ,發現 5 個不明物體 人物志

*全文為嘉賓本人口述,FreeBuf僅做整理,無任何修飾或故事化,原味呈現最真實的企業安全人心聲

前言

中國有4300萬中小企業組織,目前市場上的軟件服務企業只為大約10萬家大型企業服務,而小型企業分散,平均生存周期約2年,為了在社會資源投入到中小企業服務領域時產生最高的性價比,需要一個能夠聚合公眾的共性需求,公平、透明、高效的生態共享平臺,幫助企業在社會資源利用、企業辦公協同等多個維度上站在同一個起跑線出發。

在移動時代的大背景下,企業級服務對信息安全要求發生了劇變,要為各種類型的企業打造同一條起跑線,需要解決嚴峻的信息安全挑戰。大量的信息交互、大量的終端應用、大量的數據傳輸,企業在許多環節都有可能主動或者被動地泄密,平臺上中轉的數據會涉及到很多個人的隱私以及商業的機密等,一旦出現泄密,對企業組織就意味著財務、數據、管理和戰略安全面臨威脅,所以企業級平臺需要將安全技術放在最核心的位置,對安全的重視程度一定要超過健壯性、穩定性、高性能。

自2015年面市以來,阿里釘釘上承載的企業、組織數量已超過700萬,儼然已成為一款航母般的企業級社交和服務平臺。釘釘的安全舵手是如何帶領團隊一路乘風破浪,為海量企業保駕護航?本期安全大咖專訪連線阿里釘釘安全負責人張作裕,請他聊一聊如何由內而外,以數據安全賦能業務。

張作裕,阿里巴巴釘釘安全負責人,曾擔任美麗聯合集團信息安全總監,負責蘑菇街、美麗說安全體系建設。擔任Sobug安全技術總監,負責安全產品設計及研發工作。在《黑客X檔案》社區擔任技術版主、管理員。創業期間擔任多家企業安全顧問,有多年企業風險治理體系建設經驗。

內功——社區版主到創業者和管理者

《黑客X檔案》是張作裕最早接觸到黑客技術的雜志之一。從某種意義上說,黑X的故事就是一代黑客的故事,它見證也帶領了千禧年間中國黑客的變遷。在張作裕的技術積淀和成長之路上,也有它的影子。

從一開始學習《黑客X檔案》上的文章到擔任社區管理員這一轉變,始于2006年我在《黑客X檔案》上第一次的投稿,自此之后與X友的線上/線下交流不斷豐富,每段經歷都對往后的工作影響很大。當年線下聚會的不少伙伴已然是國內互聯網企業中的中堅力量,還有不少是企業的安全負責人。

在談起這段歲月的時候,筆者能夠看到這段時光給予張作裕的獨特烙印,包含著他在這數年間的奮斗、思考和選擇?;蛟S是這個黃金時代造就,讓他在投身于企業安全建設這一領域之初就能有超越不少同行者的視野和少有的人文關懷,在之后的很多業務決策上的思考中會透出安全意識,甚至對風險意識的優先判斷成為固有的思維模式。

后來,在Sobug的創業過程中,他接觸到了很多對安全有著迫切渴望的企業,但渴望的背后往往是血淋淋的事故。

當企業家把事故當作故事講給你聽的時候,能從他們的眼中看到不少的自責。

從那時起,張作裕意識到讓更多企業少犯錯、幫助企業實現業務成功,是做企業安全的核心意義。

期間,也認識了不少一起創業的安全人。與之前自己的創業經歷一樣,每一個創業者的能力與素養都在自己踏上創業的征程開始就發生改變了。我自己因為公司需要而變得更加全面,要像黑客破解軟件一樣破解自己公司遇到的問題。同時也必須要像家長對孩子一樣,忍受和解決公司出現的一切問題。與其說創業是挑戰自己的過程,不如說創業者最初的勇氣更為可嘉。

在北京、上海出差與投資人談投資是他在創業期間最難忘的經歷。因為作為一個安全創業者,除了要講清楚公司能夠立足市場的原因,還要有不少的安全講解鋪墊。往往在這些溝通中,投資人提出的問題是資本市場對安全最多的看法和疑問。像每個安全從業者一樣,要解釋清楚安全之于業務的價值,需要不少技術以外的東西,這也應該是現在安全負責人在企業中調動資源去推動安全發展的必要能力。

結束在Sobug的創業歷程后,張作裕來到了蘑菇街,彼時的蘑菇街安全能力還較為孱弱,在他的幫助下,蘑菇街搭建了自己的安全體系,之后又在蘑菇街與美麗說合并進程中完成了整體安全架構的重構,從零開始建設美麗聯合集團的風險管理體系、應急響應體系、應用安全防護體系。

到了蘑菇街,讓我從創業者一下子回到企業,用創業的心態在企業繼續做事情,這是讓我覺得創業歷程中最有收獲的一點。

去年,張作裕加入了阿里巴巴安全部,根據組織需要擔任阿里巴巴釘釘安全負責人。他向筆者談及在釘釘的安全工作時,用到了“夢想”這個詞:

幫助更多的企業提升自己的安全能力,是我作為安全人的夢想。釘釘在企業服務上是阿里巴巴2B戰略的排頭兵,目前也是國內最大的企業智能移動辦公平臺,數百萬企業使用釘釘做數字化辦公,實現企業的數字化轉型。這讓我們很驕傲,也讓我們感覺到肩上的責任很沉重,所以在未來規劃中,我們還要對釘釘的安全服務進行重點投入。

招式——死磕數據安全

做安全就像是練功,只有死磕到極致,才能求得正果。在張作??磥?,企業安全建設還是需要圍繞安全三要素“發現”、“阻斷”、“復盤”,深耕體系和規則:豐富發現能力、提升阻斷能力、增強復盤能力,這是第一步,風險及威脅的感知是建立在基礎能力可以充分依賴的平臺上完成的。對于自身產品,在未來的攻擊趨勢上的變化要有充分的準備,用戶與系統的交互應該像人與人對話一樣,禮貌地拒絕和不接受妥協也能做出態度強硬的安全產品。

大多數中小企業面臨的問題都會在釘釘的客戶中出現,很多企業單位遇到的問題都是以數據安全為主,隨著端和交互技術的發展,越來越多的用戶對自己的信息保護訴求越來越強烈,企業也對自己的客戶數據有著更高的要求。阿里釘釘的安全技術不是從0到1的,而是基于阿里安全體系的基礎安全基礎獲得了很高的起點,通過企業級服務特別是企業社交領域的垂直安全技術深耕快速形成了優勢。

數據安全架構

很多系統建設的初級階段,用戶對產品的數據需求是較為一致的,基本圍繞在系統主要或核心功能周圍,數據能夠產生的風險也在基本的傳輸和存儲上。但隨著用戶角色的增加,產品上出現了管理者,且管理者也是用戶的情況下,不難想象針對管理者的數據安全需求也可能成為他所在組織的安全需求,部分需求甚至有可能矛盾。在此基礎上,如果再出現新的業務角色如開發者,對于使用用戶權限、使用管理者權限、使用平臺權限等需求時,就會產生非常多的交叉風險。而往往這些風險是最容易出現數據透出的地方,不同的存儲環境和不同的傳輸環境讓用戶、管理者、開發者的數據安全沒有得到基本保障。

從業務到人,從不同的業務角色進行分區,如釘釘有用戶、組織管理者、ISV及開發者,用戶畫像的分類決定這些用戶在除了本身業務以外有可能存在的關聯屬性。根據新的業務增長,我們能夠發現,越復雜的用戶形態,越容易出現的數據安全問題越不易被發現。

針對釘釘的安全痛點,張作裕透露他們的做法是通過將數據的存儲和傳輸進行規范化治理,保證了數據在存儲和傳輸上的基本要求,在開發者業務應用不出問題的前提下,良好的數據存儲及傳輸管控是保障ISV數據安全健康度的基本能力。

作為純國產的企業服務平臺,如果守不住數據安全和隱私保護的生命線,那么本土優勢就會蕩然無存,用戶的信心可能流失得更快。釘釘在2018年主要針對用戶隱私保護進行了重點投入,尤其是在端安全上,針對二方、三方SDK進行了權限透明化梳理,設計并研發了用戶隱私保護SDK,并快速完善SDK能力,設計原理可以理解是將SDK放置在其他二方、三方SDK底層,對于任何組件的權限獲取,釘釘都會在應用內由用戶確認才會放行調用,保證了用戶隱私的使用得到了用戶的充分確認。

很多時候我們感知到隱私數據疑似被惡意使用,大部分還是源于軟件對于隱私使用和授權還不夠清晰,沒有說明白為什么使用就去調用,這是讓用戶覺得自己的隱私使用的授權權力被剝奪。除此之外,釘釘在開放平臺的探索也在一直進行中,隨著釘釘開放平臺能力的逐步升級,絕大多數企業希望通過開放平臺對接自己的系統,但不少企業系統存在著多多少少的漏洞和設計缺陷,在與客戶的合作中,我們深深的發現這類問題不在少數,釘釘除了標準化開放能力外釘釘安全也在幫助企業內部系統盡可能多的修復問題。

張作裕透露,在未來的規劃中,釘釘安全打算引入新的合作伙伴來一起幫助企業進行安全建設,構建一個開放“釘釘安全”企業安全服務平臺,完善第三方應用上線審核流程及標準,通過發布ISV準入要求以及PHP、JAVA、H5等安全開發規范,以共建合作的方式為第三方ISV以及企業開發者建立和培養安全梯隊,為釘釘應用市場開發者及企業提供安全保障能力。 同時在生態治理中進一步明確生態應用上架和審核規范,推進針對每個應用的人工審核機制的實施,對釘釘的生態應用進行數據標注,目標是幫助更多的企業越來越安全,也是在幫助更多的安全企業體現自己的技術價值,保證用戶數據安全。

張作裕認為數據安全仍然會是安全行業里占比較大的一個熱點,而且隨著事件、技術的發展,未來對數據的定義也會更加明確。數據的歸屬、使用都會在未來發展中逐步標準化。新技術帶來的風險主要是在IoT安全上,未來設備數的累積、寬領域的應用,會讓IoT能夠產生的威脅從量變到質變。

向上教育

產品的安全說到本質上是對用戶信息的負責,服務提供商需要認真履行對客戶信息嚴格保護的承諾,保護用戶隱私。就用戶隱私而言,大部分用戶對于軟件要獲取的個人信息部分,認為是不透明的,或者說軟件本身沒有說明得很透徹的,比如手機相機權限使用后對于相冊存儲的使用等,這是大部分用戶覺得協議被獲取后心里不放心的地方,加之一些謠言或猜測,用戶對軟件的信任感就會下降。

對于企業中產品設計著在安全意識上的影響尤為重要,安全管理工作中很重要的一部分是對核心管理層的安全教育,讓企業的重要崗位成員都能在各自工作的思考中增加對安全的理解和配合。企業管理者的心智教育也取決管理者本身的水平能力,優秀的管理者是不應該在安全原則問題上與CRO產生分歧的。只有大家都在意識上對安全重視,才能做出好的產品,對用戶負責的產品。

團隊建設——穩當前行的基石

釘釘自成立以來始終堅持和認同信息安全在業務發展中的戰略地位和對業務的支撐作用,建立了規范的信息安全管理組織架構,設立安全管理委員會,下分安全產品團隊和安全運營團隊。 其中安全產品團隊主要來自集團安全部,全面負責釘釘業務客戶端、傳輸通信以及服務端的防御產品研發、接入、監控、加固和風險識別、評估、處置等工作。

安全運營團隊由集團安全部以及釘釘各產品線相關人員組成,主要負責安全技術運營以及業務合規檢測和審計,通過各類異常信息計算、分析、建模、預警,快速響應業務系統潛在的網絡運行風險,并在不斷對抗中,推動優化各項安全措施。

釘釘是一家活力旺盛的創業型互聯網公司,張作裕剛加入就幫助釘釘組建釘釘安全團隊,并推動基礎安全工作先開始,逐步繪制完成整個釘釘的風險大圖,針對企業服務及IM主要場景進行安全能力的加固。

安全團隊建設的初期,我們非常需要全面的風險評估,針對已經或即將產生的安全問題進行歸類,針對業務場景容易讓業務出現直接嚴重影響的業務進行排序,了解業務總裁、創始團隊的明確戰略,通過戰略上業務排序與風險排序,明確急需治理的風險問題。僅憑整體風險評估排序進行風險治理,是在我們做安全管理時很容易出現的決策失誤,這會在業務結果導向的企業中很難和業務總裁的戰略方向達成一致,這對團隊資源的保障,業務結果的認同度上都會出現分歧。

張作裕表示在安全團隊的建設過程中,應當對團隊的工作分解分為三個基本部分,安全管理方向、業務風險治理方向、致命問題處理方向,就像醫院要具備基本的管理班子、常規門診和急診。一般來說,安全壓力較大或人手緊缺的安全團隊中,安全管理由安全負責人來主要負責,其余的業務安全與安全技術的分法較為常見,也是目前絕大多數企業的做法,但攻擊者往往不會僅單純的黑或者灰,這使的在這種分法下對于成熟型安全團隊會感到本該合作拿到更好的結果沒有拿到,這也是不少問題在事后復盤時發現最有機會突破的地方。

安全人是一群非常有想法,并愿意付出實踐的極客,對待問題充滿著好奇和自己理解下應該有的樣子,也許是企業中最難“管”的一波人,但是往往因為他們的獨立思考,才是幫助公司應對挑戰的重要能力。

此外,為快速響應業務,釘釘事業部建立了靈活的Scrum小組,按需與集團安全部經過多年沉淀的安全技術、安全業務、安全生態以及數據安全等安全能力無縫對接,快速復用集團全鏈路的動態防御體系,全力保障釘釘業務安全穩定運行。 針對特殊時期以及業務需要,建立各種各樣的工作小組,如安全架構評審小組、數據隱私治理小組、應用安全專項攻關小組,docker安全小組,加強跨團隊協調溝通,快速響應釘釘各種業務需求。

人才方面,為支撐組織的安全運營,阿里巴巴為全體員工建立“客戶第一、團隊合作、擁抱變化、誠信、激情、敬業”的價值觀和“聰明、樂觀、皮實、自省”的人才理念,這種價值觀和人才理念的影響已經以顯而易見的方式滲透至釘釘安全團隊的建設。

不論是釘釘還是阿里巴巴,我覺得都會看中有責任心、皮實的安全工程師,除了對風險敏銳的感知能力,眼界的要求也更長遠。阿里的土話有一句叫“因為相信所以看見”,能夠“看見“是阿里管理者最基本的要求。

后記

信息安全未來的路還有很長一段要走,業務形態的變化越來越多,對信息的收集欲望也越來越強烈,從業務角度來講,越多的專屬信息意味著越多的定制和更好的服務。安全上保證數據的使用規范,保證數據的歸屬權,控制好數據的使用權,是一條難走又必須走的路,安全人的工作已經和數年前的防御者不同,已經走向前臺,走進業務,已經在公正獨立的思考下幫助企業業務發展了。

*FreeBuf官方報道,未經許可禁止轉載。

底圖.gif

這些評論亮了

發表評論

已有 5 條評論

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php jizzz