現(xiàn)在位置:主頁 > 國內(nèi) > 京東首席安全專家 Tony Lee:戰(zhàn)斗在最激烈的戰(zhàn)場

京東首席安全專家 Tony Lee:戰(zhàn)斗在最激烈的戰(zhàn)場

作者:編輯 ? 時間:2018-07-12 ? 瀏覽:人次

3月 22 日,雷鋒網(wǎng)編輯見到了京東安全掌門人 Tony Lee,那天,是他加入京東的第 571 天。

歷經(jīng)賽門鐵克、微軟后,2011年,Tony 從美國歸來,創(chuàng)建了安全寶,直至安全寶的大部分業(yè)務(wù)被百度收購,Tony 成了百度云安全首席架構(gòu)師。但是,一年多后,Tony 的陣地就轉(zhuǎn)向了京東。其中只有一個原因,Tony 說,他在尋找一個最激烈的戰(zhàn)場。

對行業(yè)發(fā)展失望

“縱觀行業(yè)過去20年的發(fā)展,安全博弈是不成功的,來到京東,我想是不是可以做點事情,能夠真正解決一些問題。”

Tony 對安全行業(yè)的現(xiàn)狀有些失望。

首先,大公司靠著長年積累和投入,建立了安全能力,有話語權(quán),但小公司卻沒有這種安全能力,在“一視同仁”的信息安全威脅前,顯然小公司處于劣勢。其次,市場提供的安全服務(wù)大多是單點建設(shè),并不能完全解決一個企業(yè)面臨的安全問題。

Tony 認為,國外的開源氛圍濃厚,國內(nèi)雖有少量大公司在安全開源技術(shù)上有所涉獵,但遠遠不足,他希冀的是,一個在安全上有所需求的企業(yè)能在開源平臺(技術(shù))上進行定制,就能適應(yīng)企業(yè)自己的框架和需求。

比如,TensorFlow 最初由谷歌大腦小組的研究員和工程師們開發(fā)出來,用于機器學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)方面的研究,但這個系統(tǒng)的通用性使其也可廣泛用于其他計算領(lǐng)域。

他希望可以在京東提煉出一種安全能力,無論最終以怎樣的形式呈現(xiàn),對安全行業(yè)發(fā)展產(chǎn)生影響。“對京東來說,我們并不靠賣技術(shù)賺錢。很多公司靠做技術(shù)賣一個東西給你,我們更崇尚的是對互聯(lián)網(wǎng)的貢獻和影響力。”

尋找最激烈的戰(zhàn)場

但是,這事為什么在百度或其他地方不能做,卻被他認定可以在京東完成?

年少的 Tony 喜歡守在電視機前,看美國電視臺 CSPAN 專門播放國外辯論。他一看就是幾個小時,因為“有一些人與生俱來對一些東西比較有傾向性,他對終極意義的東西比較感興趣”。Tony 覺得,從終極問題可以倒推事情的本來面目,從而可以找到自己的路徑。也因此,Tony不會繼續(xù)滿足于在相對成熟的平臺工作,他想要的是從 0 開始,披荊斬棘。

如果去一個相對成熟的平臺,什么都很光鮮,看上去很專業(yè)。但是,這都建立在前人的成就上,所面臨的問題也更固化。而安全行業(yè),穩(wěn)定就意味錯失很多問題和戰(zhàn)斗的機會——沒有經(jīng)歷大量的戰(zhàn)斗,無法培養(yǎng)出以一敵百的力量。

Tony 認為,他找到了理想的戰(zhàn)斗地:“因為京東現(xiàn)在就是一個最大的盤子,海量的數(shù)據(jù)和豐富的業(yè)務(wù)場景,會面臨各種各樣的問題,數(shù)據(jù)安全、IoT安全、AI安全、賬號安全、業(yè)務(wù)安全等,而隨著無界零售等新業(yè)務(wù)模式的飛速發(fā)展,在這里還可能遇上你不曾想到的最前沿、規(guī)模最大、最激烈的安全問題,就跟打仗一樣,最激烈的戰(zhàn)場就在這里?!?/strong>

建立不甘平庸的“安全軍隊”

Tony 入局京東時,就在尋找“創(chuàng)造先行”的人。每面試一個人,他都會問對方:“你愿意從 0 開始和我做起來嗎?”

這個問題,Tony 問了很多人。

組建團隊的過程并不容易。一是人就這么多,二是京東龐大的業(yè)務(wù)安全的戰(zhàn)場就在這里,來的人和這個新生團隊都要在短時間內(nèi)扛住壓力,直面這個已經(jīng)存在的戰(zhàn)場——無數(shù)安全威脅盯著的電商帝國。

首先,這類安全人才本來就很稀缺。

Tony 尋找的真正做安全的人需要有逆向思維,“Think outside the box”,這種人不多,幾年之前,學(xué)校甚至都沒有相關(guān)信息安全專業(yè),正規(guī)的安全訓(xùn)練是缺失的。現(xiàn)在,很多從事安全行業(yè)的人才其實是安全愛好者,從初中、高中開始就對這個行業(yè)傾注了心力,但是堅持下來的人不多。Tony 希望,具備這種思維、真正熱愛安全的人能跟隨自己“內(nèi)心的聲音”,像保存火種一般加入這個“軍隊”中來。

其次,適合甲方業(yè)務(wù)安全的人才更稀缺。

雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))編輯和阿里安全曾經(jīng)的掌門人陳樹華有過一次對話,這位同樣身處電商帝國的 P10 級牛人感嘆,對電商帝國的老板們而言,他們關(guān)心的從來不是網(wǎng)站有沒有被 DDoS,而是今天的店鋪是否正常,首發(fā)的手機有沒有被羊毛黨薅走,這是這些公司至關(guān)重要的業(yè)務(wù)安全點,這樣的安全都是圍繞業(yè)務(wù)做。

“業(yè)務(wù)安全是業(yè)務(wù)擺在前面,不是安全業(yè)務(wù),所以要懂業(yè)務(wù),今天懂業(yè)務(wù)的在哪兒?誰懂業(yè)務(wù)呢?”陳樹華說。

還有一位甲方業(yè)務(wù)安全負責(zé)人曾說,他費了好大力氣才把從乙方企業(yè)招來的安全人員一個個培養(yǎng)成甲方所需要的人。

“很多人在乙方公司做安全產(chǎn)品,轉(zhuǎn)到甲方還可以做些技術(shù),但有多少人能在甲方公司把甲方安全做好?甲方安全人才不是一般的缺失。”Tony 說。

相應(yīng)的管理人才就更少了。

Tony Lee 大學(xué)學(xué)的電子工程與計算機,后來又取得了相關(guān)碩士學(xué)位,主攻數(shù)據(jù)挖掘,還算“搭邊”,“美國很多安全負責(zé)人甚至是音樂、律師出身,可以看出這種稀缺性。”

Tony 一邊尋找在技術(shù)、管理能力上與之相匹配的人,一邊“要求很高”。 他曾經(jīng)把一封內(nèi)部郵件轉(zhuǎn)給京東安全的所有人,希望大家都有“拒絕做螺絲釘”的意識。

“螺絲釘來這里會很難受,因為我們總是要求他,這個你為什么不做,那個我們要管的,你趕緊上啊,你坐著干嘛?” Tony 時時刻刻都有從 0 開始的創(chuàng)業(yè)緊迫感,他要求,加入這個團隊的人要有“主人公”意識,不是你的事你也愿意去管。

直到京東安全的人數(shù)比開始時翻了 5 倍,Tony 稍微松了一口氣。

戰(zhàn)斗在最前沿

“軍隊”和“戰(zhàn)場”都有了,Tony 不滿于現(xiàn)狀,他想要戰(zhàn)斗在最前沿,通過追溯問題本源,來發(fā)現(xiàn)解決問題的路徑。

這也是他慣有問題倒推思路。為什么會有安全問題?弱點跟風(fēng)險起源在什么地方。如果存在漏洞,漏洞又從哪兒來?是不是在前期研發(fā)、設(shè)計考慮的時候不夠周全?他希望,從源頭上提升京東安全的水平。

保障源頭安全能力是基礎(chǔ),在“行軍”過程中又要根據(jù)戰(zhàn)勢及時調(diào)整戰(zhàn)術(shù)。因此,更要關(guān)注安全與京東業(yè)務(wù)的貼合:首先是保衛(wèi)核心數(shù)據(jù)安全,這是底線。他還看無界容錯,關(guān)注大量數(shù)據(jù)交換的安全指數(shù)。比如京東關(guān)注的智能家居,物流里的無人機、無人車、無人倉儲等新技術(shù)是否足夠安全?

除此,數(shù)據(jù)挖掘背景出身的 Tony Lee 自然很在乎數(shù)據(jù)。他想構(gòu)建出如 TensorFlow 一般威力的平臺、框架,或者輸出智能安全能力。

“intelligence”可能是他要做的事情的精準“定義”。一方面,它代表“智力”,一方面,它強調(diào)“情報”,而情報背后就是數(shù)據(jù)。

因此,他在京東主推了一項基于硬件加密的數(shù)據(jù)加密加速技術(shù),希冀能滿足“京東業(yè)務(wù)體量所要求的性能和穩(wěn)定性極高的要求”,同時發(fā)揮京東的數(shù)據(jù)優(yōu)勢,在不觸碰用戶隱私的前提下,促成客戶相關(guān)項目的合作。

而面對就在眼前的“戰(zhàn)火”,他繼續(xù)推進應(yīng)用在風(fēng)控中的人機識技術(shù),提升在反薅羊毛的整個鏈條上的攻防能力和大數(shù)據(jù)分析能力。

為了做“IoT 安全”,找到硬件的風(fēng)險點,他推動國外高校研究機構(gòu)與京東合作,開發(fā)基于硬件層的自動化 Fuzz 工具。

去年 12 月,京東安全峰會上,Tony Lee 宣布京東將成立安全攻防實驗室,聚焦智能化、人工智能、IoT、云安全。今年,他的目標又擴充了一些,除了美國的京東安全研究院,他想在中國也成立一個研究院。

這個不安于行業(yè)現(xiàn)狀的掌門人在京東朝前走了 571 天,他還將繼續(xù)向前,站在最激烈的安全戰(zhàn)場前沿。

轉(zhuǎn)載請保留原文鏈接:http://parkingblocks4less.com/a/guona/20180712/9149.html上一篇:上一篇:中國移動推出一號雙終端,智能穿戴設(shè)備共享手機號碼
下一篇:下一篇:沒有了