阿里钉钉张作裕:由内而外,以数据安全赋能业务

  • A+
所属分类:未分类

*全文为嘉宾本人口述,FreeBuf仅做整理,无任何修饰或故事化,原味呈现最真实的企业安全人心声

前言

中国有4300万中小企业组织,目前市场上的软件服务企业只为大约10万家大型企业服务,而小型企业分散,平均生存周期约2年,为了在社会资源投入到中小企业服务领域时产生最高的性价比,需要一个能够聚合公众的共性需求,公平、透明、高效的生态共享平台,帮助企业在社会资源利用、企业办公协同等多个维度上站在同一个起跑线出发。

在移动时代的大背景下,企业级服务对信息安全要求发生了剧变,要为各种类型的企业打造同一条起跑线,需要解决严峻的信息安全挑战。大量的信息交互、大量的终端应用、大量的数据传输,企业在许多环节都有可能主动或者被动地泄密,平台上中转的数据会涉及到很多个人的隐私以及商业的机密等,一旦出现泄密,对企业组织就意味着财务、数据、管理和战略安全面临威胁,所以企业级平台需要将安全技术放在最核心的位置,对安全的重视程度一定要超过健壮性、稳定性、高性能。

自2015年面市以来,阿里钉钉上承载的企业、组织数量已超过700万,俨然已成为一款航母般的企业级社交和服务平台。钉钉的安全舵手是如何带领团队一路乘风破浪,为海量企业保驾护航?本期安全大咖专访连线阿里钉钉安全负责人张作裕,请他聊一聊如何由内而外,以数据安全赋能业务。

张作裕,阿里巴巴钉钉安全负责人,曾担任美丽联合集团信息安全总监,负责蘑菇街、美丽说安全体系建设。担任Sobug安全技术总监,负责安全产品设计及研发工作。在《黑客X档案》社区担任技术版主、管理员。创业期间担任多家企业安全顾问,有多年企业风险治理体系建设经验。

内功——社区版主到创业者和管理者

《黑客X档案》是张作裕最早接触到黑客技术的杂志之一。从某种意义上说,黑X的故事就是一代黑客的故事,它见证也带领了千禧年间中国黑客的变迁。在张作裕的技术积淀和成长之路上,也有它的影子。

从一开始学习《黑客X档案》上的文章到担任社区管理员这一转变,始于2006年我在《黑客X档案》上第一次的投稿,自此之后与X友的线上/线下交流不断丰富,每段经历都对往后的工作影响很大。当年线下聚会的不少伙伴已然是国内互联网企业中的中坚力量,还有不少是企业的安全负责人。

在谈起这段岁月的时候,笔者能够看到这段时光给予张作裕的独特烙印,包含着他在这数年间的奋斗、思考和选择。或许是这个黄金时代造就,让他在投身于企业安全建设这一领域之初就能有超越不少同行者的视野和少有的人文关怀,在之后的很多业务决策上的思考中会透出安全意识,甚至对风险意识的优先判断成为固有的思维模式。

后来,在Sobug的创业过程中,他接触到了很多对安全有着迫切渴望的企业,但渴望的背后往往是血淋淋的事故。

当企业家把事故当作故事讲给你听的时候,能从他们的眼中看到不少的自责。

从那时起,张作裕意识到让更多企业少犯错、帮助企业实现业务成功,是做企业安全的核心意义。

期间,也认识了不少一起创业的安全人。与之前自己的创业经历一样,每一个创业者的能力与素养都在自己踏上创业的征程开始就发生改变了。我自己因为公司需要而变得更加全面,要像黑客破解软件一样破解自己公司遇到的问题。同时也必须要像家长对孩子一样,忍受和解决公司出现的一切问题。与其说创业是挑战自己的过程,不如说创业者最初的勇气更为可嘉。

在北京、上海出差与投资人谈投资是他在创业期间最难忘的经历。因为作为一个安全创业者,除了要讲清楚公司能够立足市场的原因,还要有不少的安全讲解铺垫。往往在这些沟通中,投资人提出的问题是资本市场对安全最多的看法和疑问。像每个安全从业者一样,要解释清楚安全之于业务的价值,需要不少技术以外的东西,这也应该是现在安全负责人在企业中调动资源去推动安全发展的必要能力。

结束在Sobug的创业历程后,张作裕来到了蘑菇街,彼时的蘑菇街安全能力还较为孱弱,在他的帮助下,蘑菇街搭建了自己的安全体系,之后又在蘑菇街与美丽说合并进程中完成了整体安全架构的重构,从零开始建设美丽联合集团的风险管理体系、应急响应体系、应用安全防护体系。

到了蘑菇街,让我从创业者一下子回到企业,用创业的心态在企业继续做事情,这是让我觉得创业历程中最有收获的一点。

去年,张作裕加入了阿里巴巴安全部,根据组织需要担任阿里巴巴钉钉安全负责人。他向笔者谈及在钉钉的安全工作时,用到了“梦想”这个词:

帮助更多的企业提升自己的安全能力,是我作为安全人的梦想。钉钉在企业服务上是阿里巴巴2B战略的排头兵,目前也是国内最大的企业智能移动办公平台,数百万企业使用钉钉做数字化办公,实现企业的数字化转型。这让我们很骄傲,也让我们感觉到肩上的责任很沉重,所以在未来规划中,我们还要对钉钉的安全服务进行重点投入。

招式——死磕数据安全

做安全就像是练功,只有死磕到极致,才能求得正果。在张作裕看来,企业安全建设还是需要围绕安全三要素“发现”、“阻断”、“复盘”,深耕体系和规则:丰富发现能力、提升阻断能力、增强复盘能力,这是第一步,风险及威胁的感知是建立在基础能力可以充分依赖的平台上完成的。对于自身产品,在未来的攻击趋势上的变化要有充分的准备,用户与系统的交互应该像人与人对话一样,礼貌地拒绝和不接受妥协也能做出态度强硬的安全产品。

大多数中小企业面临的问题都会在钉钉的客户中出现,很多企业单位遇到的问题都是以数据安全为主,随着端和交互技术的发展,越来越多的用户对自己的信息保护诉求越来越强烈,企业也对自己的客户数据有着更高的要求。阿里钉钉的安全技术不是从0到1的,而是基于阿里安全体系的基础安全基础获得了很高的起点,通过企业级服务特别是企业社交领域的垂直安全技术深耕快速形成了优势。

数据安全架构

很多系统建设的初级阶段,用户对产品的数据需求是较为一致的,基本围绕在系统主要或核心功能周围,数据能够产生的风险也在基本的传输和存储上。但随着用户角色的增加,产品上出现了管理者,且管理者也是用户的情况下,不难想象针对管理者的数据安全需求也可能成为他所在组织的安全需求,部分需求甚至有可能矛盾。在此基础上,如果再出现新的业务角色如开发者,对于使用用户权限、使用管理者权限、使用平台权限等需求时,就会产生非常多的交叉风险。而往往这些风险是最容易出现数据透出的地方,不同的存储环境和不同的传输环境让用户、管理者、开发者的数据安全没有得到基本保障。

从业务到人,从不同的业务角色进行分区,如钉钉有用户、组织管理者、ISV及开发者,用户画像的分类决定这些用户在除了本身业务以外有可能存在的关联属性。根据新的业务增长,我们能够发现,越复杂的用户形态,越容易出现的数据安全问题越不易被发现。

针对钉钉的安全痛点,张作裕透露他们的做法是通过将数据的存储和传输进行规范化治理,保证了数据在存储和传输上的基本要求,在开发者业务应用不出问题的前提下,良好的数据存储及传输管控是保障ISV数据安全健康度的基本能力。

作为纯国产的企业服务平台,如果守不住数据安全和隐私保护的生命线,那么本土优势就会荡然无存,用户的信心可能流失得更快。钉钉在2018年主要针对用户隐私保护进行了重点投入,尤其是在端安全上,针对二方、三方SDK进行了权限透明化梳理,设计并研发了用户隐私保护SDK,并快速完善SDK能力,设计原理可以理解是将SDK放置在其他二方、三方SDK底层,对于任何组件的权限获取,钉钉都会在应用内由用户确认才会放行调用,保证了用户隐私的使用得到了用户的充分确认。

很多时候我们感知到隐私数据疑似被恶意使用,大部分还是源于软件对于隐私使用和授权还不够清晰,没有说明白为什么使用就去调用,这是让用户觉得自己的隐私使用的授权权力被剥夺。除此之外,钉钉在开放平台的探索也在一直进行中,随着钉钉开放平台能力的逐步升级,绝大多数企业希望通过开放平台对接自己的系统,但不少企业系统存在着多多少少的漏洞和设计缺陷,在与客户的合作中,我们深深的发现这类问题不在少数,钉钉除了标准化开放能力外钉钉安全也在帮助企业内部系统尽可能多的修复问题。

张作裕透露,在未来的规划中,钉钉安全打算引入新的合作伙伴来一起帮助企业进行安全建设,构建一个开放“钉钉安全”企业安全服务平台,完善第三方应用上线审核流程及标准,通过发布ISV准入要求以及PHP、JAVA、H5等安全开发规范,以共建合作的方式为第三方ISV以及企业开发者建立和培养安全梯队,为钉钉应用市场开发者及企业提供安全保障能力。 同时在生态治理中进一步明确生态应用上架和审核规范,推进针对每个应用的人工审核机制的实施,对钉钉的生态应用进行数据标注,目标是帮助更多的企业越来越安全,也是在帮助更多的安全企业体现自己的技术价值,保证用户数据安全。

张作裕认为数据安全仍然会是安全行业里占比较大的一个热点,而且随着事件、技术的发展,未来对数据的定义也会更加明确。数据的归属、使用都会在未来发展中逐步标准化。新技术带来的风险主要是在IoT安全上,未来设备数的累积、宽领域的应用,会让IoT能够产生的威胁从量变到质变。

向上教育

产品的安全说到本质上是对用户信息的负责,服务提供商需要认真履行对客户信息严格保护的承诺,保护用户隐私。就用户隐私而言,大部分用户对于软件要获取的个人信息部分,认为是不透明的,或者说软件本身没有说明得很透彻的,比如手机相机权限使用后对于相册存储的使用等,这是大部分用户觉得协议被获取后心里不放心的地方,加之一些谣言或猜测,用户对软件的信任感就会下降。

对于企业中产品设计着在安全意识上的影响尤为重要,安全管理工作中很重要的一部分是对核心管理层的安全教育,让企业的重要岗位成员都能在各自工作的思考中增加对安全的理解和配合。企业管理者的心智教育也取决管理者本身的水平能力,优秀的管理者是不应该在安全原则问题上与CRO产生分歧的。只有大家都在意识上对安全重视,才能做出好的产品,对用户负责的产品。

团队建设——稳当前行的基石

钉钉自成立以来始终坚持和认同信息安全在业务发展中的战略地位和对业务的支撑作用,建立了规范的信息安全管理组织架构,设立安全管理委员会,下分安全产品团队和安全运营团队。 其中安全产品团队主要来自集团安全部,全面负责钉钉业务客户端、传输通信以及服务端的防御产品研发、接入、监控、加固和风险识别、评估、处置等工作。

安全运营团队由集团安全部以及钉钉各产品线相关人员组成,主要负责安全技术运营以及业务合规检测和审计,通过各类异常信息计算、分析、建模、预警,快速响应业务系统潜在的网络运行风险,并在不断对抗中,推动优化各项安全措施。

钉钉是一家活力旺盛的创业型互联网公司,张作裕刚加入就帮助钉钉组建钉钉安全团队,并推动基础安全工作先开始,逐步绘制完成整个钉钉的风险大图,针对企业服务及IM主要场景进行安全能力的加固。

安全团队建设的初期,我们非常需要全面的风险评估,针对已经或即将产生的安全问题进行归类,针对业务场景容易让业务出现直接严重影响的业务进行排序,了解业务总裁、创始团队的明确战略,通过战略上业务排序与风险排序,明确急需治理的风险问题。仅凭整体风险评估排序进行风险治理,是在我们做安全管理时很容易出现的决策失误,这会在业务结果导向的企业中很难和业务总裁的战略方向达成一致,这对团队资源的保障,业务结果的认同度上都会出现分歧。

张作裕表示在安全团队的建设过程中,应当对团队的工作分解分为三个基本部分,安全管理方向、业务风险治理方向、致命问题处理方向,就像医院要具备基本的管理班子、常规门诊和急诊。一般来说,安全压力较大或人手紧缺的安全团队中,安全管理由安全负责人来主要负责,其余的业务安全与安全技术的分法较为常见,也是目前绝大多数企业的做法,但攻击者往往不会仅单纯的黑或者灰,这使的在这种分法下对于成熟型安全团队会感到本该合作拿到更好的结果没有拿到,这也是不少问题在事后复盘时发现最有机会突破的地方。

安全人是一群非常有想法,并愿意付出实践的极客,对待问题充满着好奇和自己理解下应该有的样子,也许是企业中最难“管”的一波人,但是往往因为他们的独立思考,才是帮助公司应对挑战的重要能力。

此外,为快速响应业务,钉钉事业部建立了灵活的Scrum小组,按需与集团安全部经过多年沉淀的安全技术、安全业务、安全生态以及数据安全等安全能力无缝对接,快速复用集团全链路的动态防御体系,全力保障钉钉业务安全稳定运行。 针对特殊时期以及业务需要,建立各种各样的工作小组,如安全架构评审小组、数据隐私治理小组、应用安全专项攻关小组,docker安全小组,加强跨团队协调沟通,快速响应钉钉各种业务需求。

人才方面,为支撑组织的安全运营,阿里巴巴为全体员工建立“客户第一、团队合作、拥抱变化、诚信、激情、敬业”的价值观和“聪明、乐观、皮实、自省”的人才理念,这种价值观和人才理念的影响已经以显而易见的方式渗透至钉钉安全团队的建设。

不论是钉钉还是阿里巴巴,我觉得都会看中有责任心、皮实的安全工程师,除了对风险敏锐的感知能力,眼界的要求也更长远。阿里的土话有一句叫“因为相信所以看见”,能够“看见“是阿里管理者最基本的要求。

后记

信息安全未来的路还有很长一段要走,业务形态的变化越来越多,对信息的收集欲望也越来越强烈,从业务角度来讲,越多的专属信息意味着越多的定制和更好的服务。安全上保证数据的使用规范,保证数据的归属权,控制好数据的使用权,是一条难走又必须走的路,安全人的工作已经和数年前的防御者不同,已经走向前台,走进业务,已经在公正独立的思考下帮助企业业务发展了。

*FreeBuf官方报道,未经许可禁止转载。

底图.gif

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: