在刚刚过去的春节里,朋友圈晒饭的人少了,晒“鸡”的人多了。
互相送祝福更少不了一句“苟”年大吉,一语双关,人头不在多,拿第一则行,全程苟着。
当然今天要聊的并非吃鸡游戏攻略大全,而是保障我们顺畅吃鸡的安全力量。
我们知道,游戏外挂会严重损害游戏的公平环境。正常玩家遇到外挂,有时恨不得分分钟砸掉手机。
而目前,运营者已基本都会选择云端来部署游戏,“这就意味着,云端的业务安全是游戏体验最重要的护航力量。”腾讯云业务安全中心总监周斌说道。
时间倒退至最初,周斌还是负责腾讯后台开发的人员。随着腾讯业务的发展,传统网络安全的应用场景局限性开始凸显。2007年,与业务场景更为贴近的安全团队应运而生,周斌也是在此时从业务团队转向安全团队,主要负责负责QQ空间安全项目。
2010年,3Q大战后,腾讯推出一套开放体系,其中就有开放平台,而开放平台的第一个承载体即在QQ空间上,可以说开放平台实际就是腾讯云的前身。
“我与腾讯云的缘分始于QQ空间安全项目,到空间衍生出来的开放平台,再到开放平台衍生出来的腾讯云,环环相扣。”
深耦合——业务脱离安全
谈到从业务转型安全时,周斌个人并不认为是技术生涯中一个很大的拐点。
“作为技术工程师,我在大学时候就比较喜欢做一些与立项、破解相关的事情。所以从开发转向安全时有储备的背景知识,并不陌生。”
而现实却是,做业务与做安全的思路完全不同。做业务的是要保证所有用户稳定运营,而做安全是要在正常业务中找出恶意的部分进行解决,同时还要保证整个业务不出问题。简单理解为前者是在顺毛,后者则是逆着毛生长方向从中挑刺。
怎么样才能将业务与安全结合在一起又不受对方所累?腾讯提出了一套深耦合式安全架构。
通常来说,常规的业务逻辑采用一二三四,各环节顺序相扣的模式。弊端在于只要中间任一环节出现问题就有可能造成整个业务系统的瘫痪。比如曾有报道,某人为了报复前公司挖断了公司的电光纤或者机房断电都导致了企业服务器中断,正是因为每个业务环节都要连接机房。
为了解决这种情况,安全公司往往需要对机房进行容灾,以及相应的扩容机制,保证其服务能够正常。
所谓深耦合即是要打破这种常规的顺序相扣模式,将安全运营从业务运营中脱离出来,采用并行处理方式,既保证正常进行安全系统的对抗,也保证恶意的情况能够被实时拦截。
相当于,业务走自己的阳关道,安全走自己的独木桥,安全防御与业务部门就变成一个脱节的过程。而两个部分的数据又是一步互通的机制,以此形成深耦合的架构。举例来说,即使机房断电了,公司业务仍可正常运作,但在断电几分钟之内,可能出现恶意攻击。
“这也是用最小的代价换取整个架构的运营正常。”
周斌告诉雷锋网,腾讯在最初处理自研业务时候就以此架构去设计,并延续至今。腾讯云也采用了这种深耦合架构搭建云上安全系统,确保其能够运营正常。
开放平台——公有云服务
房子搭好后才能往里面请人。
马化腾曾在2007年左右提出一个理念,叫做“我们把半条命交给合作伙伴”。
在此之后,腾讯将以QQ空间为代表的社交平台做成接口,开发者可以利用腾讯开放平台提供的 Open API 机制去调用用户的关系链名单(也就是寻找你的好友一起玩耍),开发有创意的社交游戏及实用工具。
“在这一过程中有个现实问题,走出机房之后,用户系统与我们的系统之间必会出现网络延迟问题。所以我们开始考虑,是不是腾讯也可以配置云服务器,以此帮助客户提升性能和效率。”
也就是在此时,腾讯开始为开放平台的用户提供云服务器。随着业务的逐步发展,用户群的愈发壮大,腾讯也开始给一些不在开放平台的用户提供云服务器,再后来就演化成了今天的腾讯云。实际上开放平台就是一个公有云的服务,只是其客户群仅限进驻了腾讯开放平台的企业而已。
递给这些企业上云梯子后更重要的事情来了,守护云上服务器的安全。
“最开始时候我们只做了入侵、抗D、云WAF、入侵、防护、主机安全等必备产品,逐步的我们才开始在后台去做扩充。”
2008年,开心农场火爆全国,不少社交游戏开始进入腾讯开放平台。腾讯也提供了常见的入侵、抗D等防火墙类游戏用户在意的业务。除此之外,也首次提供了反外挂安全服务。
有意思的是,当年写开心农场反外挂系统的team就是周斌负责的。他告诉雷锋网编辑,写第一个版本的反外挂程序时他加班了一个星期,之后又在此基础上迭代了很多版本,添加了时序分析,用户画像等逻辑内容。
彼时,腾讯云顺理成章地提出了第一个非基础安全的产品,也就是业务安全产品——反外挂。
之后,随着整个公有云结构的爆发,用户的类群不断增多,诸如电商之类的客户开始兴起。
周斌告诉雷锋网,在此过程中不同类型的用户开始提出除了基础网络安全以外,他们还需要更多与业务相关的安全解决方案。
“我们开始考虑,能否将自身的能力做输出?于是我们开始沿着用户的需求,将基于数据的黑产识别等实时拦截的架构能力,包装成方案,对外作产品化提供给用户使用。”
发展到今天,腾讯云业务安全这条线开出不少枝叶,比如针对金融行业的反欺诈以及电商行业的整体风控解决方案,包括注册、验证码、防刷,数据审计等整套解决方案;比如移动安全APP的加固;比如人机交互识别,反欺诈识别,钓鱼网站连接等等。
也就是说腾讯云的安全主线有两条,一条是基础安全,一条是业务安全。
而每条路上都有不少守护法器,在基础安全方面,包括抗D的高防,云WAF,主机安全,漏洞扫描等成型的产品,甚至包括专家服务,以及态势感知这些能力。
在业务安全方面就更多了,基于电商、O2O、银行,然后还有众多大型企业,甚至包括互金,快消、视频这些行业都有整套解决方案。
“杀手锏”怼黑产
阴阳本就相生相依,在众多企业纷纷上云背后黑灰产也在暗处滋生。
“近年游戏黑产的DDoS攻击非常疯狂。在做抗D产品过程中,我们发现不少黑产手上的资源是重合的,换句话说,攻击A客户和攻击B客户有很多相同资源。”
周斌告诉雷锋网,这说明存在专门的黑产团伙对诸多企业进行攻击,所以在2017年的时候,腾讯云安全团队联合腾讯“守护者计划”团队协助警察蜀黎揪出了某些黑产团伙。
还记得去年刷爆朋友圈的网安部门跨境完整打击黑客攻击犯罪全链条事件吗?没错,神助攻就是腾讯云了,通过 DDoS 攻击链分析、调查取证和溯源分析等工作,协助警察蜀黍抓捕了一个叫做“暗夜”DDoS的攻击团伙,其暗戳戳猫在老挝、柬埔寨等地方,通过远程遥控国内的服务器进行攻击。
在打击多个黑产以后,用户本身受攻击的概率明显下降,要知道被干掉的“暗夜”曾在DDoS攻击黑产圈占50%的份额。
当然,打击黑产的过程并不容易,除了找到对方的漏洞进入对方,更是挑战了腾讯云对黑产团伙的识别和画像等能力。
周斌也告诉雷锋网,腾讯云目前的安全团队,不仅只有攻防相关的同事,团队中还藏有一个“杀手锏”小组,这一小组由来自海外各大名校的博士团队组成,致力于构建混合神经网络,将腾讯云现有的能力以及积累的数据和实时的对抗,构建一个实时的识别系统,帮助其快速识别黑产。
至于这个杀手锏威力如何,那就要看腾讯下一次扒出黑产团伙的速度了。
雷锋网(公众号:雷锋网)宅客频道,专注先锋科技领域,讲述黑客背后故事。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/112546.html