支付宝安全威胁平台是什么意思
支付宝安全技术总监陈锣斌:单一体系很难解决复杂的风险
ATech
ATech
2年前
随着技术纵深发展,“万物互联”的概念已不鲜见,在数字化世界的游戏规则里,除了 *** 基础信息安全隐患外,业务安全风险也已经越来越被重视。
陈锣斌是蚂蚁金服大安全的技术总监及资深架构师,已拥有近十年“蚁龄”。
从2010年9月加入蚂蚁后,陈锣斌主要负责业务风控平台的实时计算以及数据相关工作,经历过整个业务风控从2代平台到5代平台进入智能化阶段的建设。
文章图片1
近两年陈锣斌开始进入到基础安全领域,并开始建设反入侵检测平台以支撑蚂蚁金服基础安全的入侵检测的攻防业务。他主导建设的业务安全变量体系是现在的第五代风控平台AlphaRisk的核心支撑能力之一,他还带领基础安全平台研发团队建设“安全威胁感知平台”,并为蚂蚁金服基础安全的攻防检测提供有力支撑。
可以说,支付宝的风控系统代表着当今 *** 安全技术的巅峰,其背后是十多年的技术迭代。
一、当我们在谈互联网安全的时候 我们在谈什么
在陈锣斌看来,互联网安全目前主要两个大领域,一块是 *** 信息安全或者说是基础安全,另一块是在 *** 上各种应用、服务所涉及的业务本身的业务安全。在此之后才有“风控系统”的到来。
前者其实就是互联网上的信息安全。涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术。比如,个人在网站上的隐私信息保护、 *** 通信的时候防止信息被窃取监听、互联网公司为防止黑客入侵造成服务攻击或者数据泄露所建设的各种安全防护能力等。
最开始是1988 年,世界上之一例蠕虫病毒“Morris”出现,之后世界上各种病毒、木马和 *** 攻击层出不穷,严重威胁到互联网的繁荣和用户数据的安全。特别是制造 *** 病毒逐渐成为一种有利可图的产业, *** 安全就基本上成为伴随互联网扩散的常态问题,且愈演愈烈。
而后者业务安全,其实就是在互联网上开展各种业务所面临的一些风险防控的技术。比如社交的相关业务,就会涉及到内容的安全(暴恐政、黄赌毒),电商业务的刷单、反作弊,还有就是支付的时候的交易风控、反洗钱、反欺诈等。
二、 *** 安全的过去、现在和未来
陈锣斌认为,早期对安全的认知都相对简单,很多人认为个人电脑就是杀毒软件, *** 就是防火墙,业务安全可能就是数字证书、密码加上简单的异步监控。但随着市场的扩张,大多数互联网公司随着业务发展后开始建设相应的业务风控系统,为业务开展进行保驾护航。
随着互联网的发展,基础安全和业务安全两者从原先的相对比较独立到逐渐形成了各自的体系,例如,主机防护类产品、应用防护产品等。而支付宝早期的CTU系统和如今的AlphaRisk等都属于业务安全的范畴。
现在的业务安全主要基于大数据计算、模型算法来做风险检测,而基础安全在反入侵、反爬主机安全等方面,也使用很多的大数据技术,两者在风险的联合防控上越来越紧密,在技术上大数据计算以及人工智能方面也有越来越多的交集。
互联网是一个开放的世界,不法分子、黑产都会想在其中寻找牟利的机会,大公司重要业务的开展,现在都离不开互联网安全方面的能力,当一个公司没这方面的能力的时候,很容易使得业务无法开展,比如,微博(内容)、营销广告(反作弊)、电商(刷单、欺诈)。
可以看出,基础安全和业务安全两者在很多风险领域的关联越来越多,靠单一体系已经很难再解决一些复杂的风险。
多年的风控经验告诉陈锣斌:未来,风险领域将走向需要更多综合性防控的道路,单一安全/风险技术都很难防控住目前互联网上的新型风险。
三、支付宝为什么腰杆这么硬:“你敢付,我敢赔。”
早在2005年,支付宝就有相应的风控系统以及对应的职能部门,为守护客户的每一分钱而努力。“你敢付,我敢赔”的理念一直延续至今。
相信有不少人看过《智造将来》黑客攻击支付宝的电视节目,节目中几位顶尖黑客拿着“真枪实弹”一层层攻入一位普通用户的支付宝,试图转走5元。5元在普通的转账过程中其实是极为正常的,这样小额的数目为支付宝的安全系统带去了更大的挑战。据蚂蚁金服副总裁芮雄文回忆,当时确实捏了一把冷汗,黑客已经拿到了支付宝用户的密码、银行卡,甚至已经用软件控制了手机可以发送验证码当场修改密码……在看似360度无死角的黑客攻击后,支付宝的AlphaRisk依旧是完美地阻止了所有非正常的支付行为。
作为用户全球排名之一的移动支付工具,保障支付宝毫发未损的风控系统经历了五次迭代,现如今,它的正式名称为“AlphaRisk”。。
AlphaRisk即传说中的支付宝风控系统。它是支付宝风控多年实践与技术创新的智慧结晶,是全球更先进的风控系统之一,在其保护下,支付宝交易资损率不到千万分之一,远低于国际同行。“如果拿自动驾驶的等级定义来比喻,目前AlphaRisk处于L2和L3之间。在智能化的加持下,处于行业领先水平。”陈锣斌说。
AlphaRisk的原理是应用AI技术颠覆传统风控的运营模式,通过Perception(风险感知)、AI Detect(风险识别)、Evolution(智能进化)、AutoPilot(自动驾驶)4大模块的构建,将人类直觉AI(Analyst Intuition)和机器智能AI(Artificial Intelligence)完美结合,打造具有机器智能的风控系统,愿景是实现风控领域的“无人驾驶”技术。
支付宝平台上每天都有上亿笔交易,通过AlphaRisk智能风控引擎,不仅能够对每个用户的每笔支付进行7×24小时的实时风险扫描;同时通过不断新增的风险特征挖掘和优化算法迭代的模型,能够自动贴合用户行为特征进行实时风险对抗,在数亿交易中准确识别用户被骗支付的欺诈风险交易,不足0.1秒就能完成风险预警、检测、管控等复杂流程,确保用户账户安全和支付交易的万无一失。
安全一直是支付宝发展的生命线,支付宝从一而终地践行着“你敢付,我敢赔”的理念,时至今日,支付宝在风控领域的探索、创新,以及落地应用都处于世界的前列。
四、“综合性人才加实践经验是最想要的”
据Gartner统计2019年首要技术投资的数据显示,信息安全已是并列之一的投资目标。未来 *** 对 *** 信息安全的需求是极大的,并且会在一些重点行业展开实施。因此, *** 安全技术的发展前景可期不必多言。
目前支付宝大安全也一定程度上代表了当今世界安全技术的巅峰,加入这个团队你必然会被培养成在 *** 安全技术领域的中流砥柱,同时这个领域也会对你有相应的要求。
在陈锣斌眼里,合格的应聘者首先需要在安全风控领域沉淀某一方面很深的技术能力,而后参与安全相关对抗越多就越有可能成长为综合型人才。
这里的安全风控领域是集基础建设、安全攻防、大数据技术、人工智能于大成的一个领域。
对于想加入大安全的同学来说,陈锣斌建议同学们在夯实基础的同时,还是要多多动手,多做,无论实验室项目还是企业实习项目,实际去做和停留在理论上是不同的结果,具体还可以列为包括但不仅限于以下的三点:
1.技术基础:计算机基础知识扎实、数据结构、算法等能活学活用,有1~2门掌握的较好的语言。
2.有成果:有较多的实践,有实际项目经验很重要,真正用技术、算法去解决过一些问题,也可以是去参加过什么比赛,有过何种收获等。
3.有热情:学习能力,平时在自己的领域之外,是否有关注更多的前沿技术,学了什么,去思考过什么。
五、 *** 信息:
工作地点:杭州
工作性质:校招/实习/社招
应届生实习通道:kui.lijk@alipay.com
社招通道: kui.lijk@antfin.com
luobin.chen@antfin.com
龚文祥
龚文祥
5天前 · 深圳触电电子商务有限公司创始人
今年春晚的几个特点: 1,直播看春晚的人数已经超过电视,短视频直播的趋势太明显, 2,此次春晚,所有互联网平台的赞助今年集体缺席,以前抖音阿里快手微博支付宝等抢着赞助春晚,都是几十... 全文
分享
10
101
刘年望返
刘年望返
前天12:48
我说阿里巴巴是国内极具创新力的科技公司,很多人嘲讽我!他们都认为阿里巴巴仅仅只是一家卖货、放贷的投机公司而已!选择性忽略了他在科研方面的领军地位! 可能在他们眼里,达摩院的成果、高... 全文
分享
1
10
艺述史
艺述史
3天前 · 2022百大人气创作者 优质文化领域创作者
没钱别犯愁,如果你是这3种人,60岁后还能闷声发大财
03:37
分享
108
1870
写评论
*** 安全大赛真的有吗
*** 安全大赛真的有。
*** 安全大赛简称CTF大赛,全称是CaptureTheFlag,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。
CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。现在已成为全球范围 *** 安全圈流行的竞赛形式。其大致流程如下:参赛团队之间通过攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。
*** 安全防护小技巧
1、在手机和电脑上不随意点击来历不明的链接或搜索到非正规网站,遇到需要输入身份证号码、手机号、银行账号等个人隐私信息时,一定要提高警惕。
2、账户和密码尽量不要相同,定期修改密码,增加密码的复杂度;不要直接用生日、 *** 号码、证件号码等有关个人信息的数字作为密码,适当增加密码的长度,并经常更换。
3、在 *** 平台中注册账号的时候,要注意平台的可信度,要设置好密码,对个人隐私信息要加密处理,以免被盗取。
4、要对个人使用的手机和电脑进行安全设置,要安装杀毒软件,平时要进行杀毒管理,不访问钓鱼网站,维修时要注意找可靠站点修理,并做好私密保护。
5、在提供身份证复印件时,要在含有身份信息区域注明“本复印件仅供XX用于XX用途,他用无效”和日期,复印完成后要及时清除复印机缓存。
6、在使用微博、 *** 空间、贴吧、论坛等社交软件时,要尽可能避免透露或标注真实身份信息,以防不法分子盗取个人信息。
7、在朋友圈晒照片时,不晒包含个人信息的照片,如要晒姓名、身份证号、二维码等个人信息有关的照片时,发前先进行模糊处理。
8、在公共 *** 环境中不处理个人敏感信息,不随意接入开放WIFI。
9、不随意在不明网站或APP上进行实名认证注册,在注册使用网站或APP时需查看是否含隐私政策或用户协议等,查看对应内容,确保自身权益得到相应保障,防止霸王条款。
10、不要随便扫二维码,不要随便接收来历不明的文件。
*** 安全赛是什么
CTF大赛,全称是CaptureTheFlag,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。
*** 安全赛简称CTF,是 *** 安全领域中一种信息安全竞赛形式。参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。
CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。现在已成为全球范围 *** 安全圈流行的竞赛形式。为了方便称呼,我们把这样的内容称之为“Flag”。
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场 *** 参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决 *** 安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
有没有信息安全专业或者是 *** 安全专业的学生?我想知道 *** 攻防的话需要在什么平台上面搭建 *** 攻防环境
一个虚拟机足以。或者也可以使用多台普通电脑,用一个路由器或交换机搭建局域网。
使用虚拟机的话,可以百度下载VMware虚拟机,然后创建几个虚拟电脑,给虚拟电脑安装系统,设置虚拟机 *** 模式,这样就可以一台电脑实现多台虚拟电脑 *** 攻防了。创建虚拟机比较耗硬件,建议这台电脑的配置中高端以上。
多台普通电脑就更简单了,就用一个无线路由器都能实现搭建局域网。
0条大神的评论