腾讯的安全十年,从积累到帮助创业者渡过难关【海量服务之道2.0】
腾讯的安全十年,从积累到帮助创业者渡过难关【海量服务之道2.0】
每一次科技的突破,都将给人们的生活带来巨大的改变。云计算,作为互联网技术的又一次变革,为今天的互联网产业生态圈浇灌了一泉活水。技术和资源的开放和共享,让更多的新兴企业有机会参与这一场惊心动魄的角逐。云,成为无数未来行业领袖成长的一方沃土。
但机遇总伴随着危机。云计算的浪潮打开了互联网产业的新格局,同时也改写了众多创业企业的生存法则。安全问题,就是创业者们首先需要关注的生死线。一切成功都必须建立在安全的基础上,没有安全保障的繁华终将是镜花水月,随时可能破碎。
腾讯,作为中国互联网的领军企业之一,在这个风起云涌的时代,对于行业的发展,对于创业企业的帮助,我们是否能够做些什么呢?
十年磨砺,技术陪伴业务前行
2005年,腾讯成立了第一个独立的安全团队,当时叫做安全中心。主要应对黑客攻防及QQ帐号体系的安全问题。后来随着公司业务的发展需要,安全中心的工作开始涵盖业务安全、DDoS防御、终端安全等领域,并更名为腾讯安全平台部。再后来,随着业务线的不断丰富,腾讯的各个事业群、各个部门也陆续开始组建自己的安全团队,到了今天,安全已经渗透到腾讯的方方面面。然而,腾讯安全的这十年,究竟发生过什么,相信不少人还都知之甚少。
2005年,安全起始于黑客攻防和挂机
随着QQ等级的大热,网络上出现了一种新兴职业-代挂QQ。黑产团伙利用挂机软件,对用户发送垃圾消息,甚至进行诈骗,给用户带来巨大的安全隐患。另一方面,黑客技术黑产化也开始兴起,为了抵御黑客圈子的侵害,腾讯组织了第一支黑客攻防队伍。腾讯的安全之路,也是在那个时候正式开始。
2006年,抵抗疯狂的黑产自动机
到了06年,坏人的手法开始更新换代,自动机被广泛运用,对抗坏人频繁的恶意尝试登录成了当时战斗的主旋律。也正是从那个时候开始,腾讯的业务风控能力和验证码体系开始快速的发展。今天,它们依然服务于腾讯的各个业务,同时也拥有了另一个身份,腾讯云天御。
2008,手Q大热,移动端战场开启
08年,手机QQ业务发展的十分迅猛,用户量突飞猛进。同时,坏人也开始在移动端业务上进行恶意灌水,发布垃圾消息等。这不但严重影响了用户的体验,同时也带来相应的安全隐患。也就是那个时候,安全平台部开始组建移动端的安全对抗联合团队,这也为后来的微信战场奠定了基础。
2009,游戏安全战场大幕拉开
腾讯的游戏业务正发展的如火如荼,黑产团伙也盯上了这块蛋糕,企图通过DDoS、外挂、窃取帐号等作恶行为获取巨大的利益。为了帮助用户消除这些安全隐患,腾讯安全平台部与IEG成立了专职负责游戏业务的安全联合团队,开发游戏锁等安全产品,保护游戏帐号及财产安全,并建立鹅厂的第一套DDoS防御系统-宙斯盾。至今依然为英雄联盟、穿越火线等一级网游产品提供防护服务。
2010末,驻守微博战场,为业务护航
微博,这是风靡了一个时代的互联网产品。当然,黑产大军也对这个新兴业务虎视眈眈,试图通过恶意灌水、刷粉、广告等手段,破坏业务的稳定运营,从中获取利益。安全平台部立即与OMG事业群成立联合攻坚项目组,全力打击微博业务上的黑产分子。
2011,天网出击,解决QQ帐号黑产问题
网络上的盗号团伙开始活跃,他们通过论坛、邮件发布盗号网站,盗取用户的QQ帐号和密码。对用户的财产和信息安全都带来不小的威胁。当时腾讯安全平台部的一个毕业生团队提出了大胆的想法:打通业务的数据,建立一个高效的被盗号码识别系统。这就是后来汇集各大事业群数据的天网系统,也是腾讯安全平台部安全大数据的雏形。截止到今天,天网在打击坏人各类黑产方面取得了显著的成效。
2011末,恶战网络诈骗集团
自2011年开始,以广西、海南、福建为主要聚集地的诈骗团伙开始活跃。诈骗团伙的手法众多,视频诈骗、仿冒诈骗、画皮诈骗、反向诈骗等等,让人防不胜防,威胁用户的信息安全和财产安全,腾讯意识到打击欺诈团伙刻不容缓。也就是那个时候,腾讯的反欺诈联合团队应运而生,而反欺诈工作也一直进行到现在,时刻捍卫这用户的安全。
2012,建立国内第一个漏洞奖励平台
腾讯的综合战略布局,造就了丰富的产品线,同时也在漏洞的发现和修复工作上留下了巨大的人力黑洞。发动全民战争,腾讯安全平台部负责人杨勇首次提出了这个思路。本着重赏之下必有勇夫的理念,腾讯安全平台部建立了国内第一个漏洞奖励平台-TSRC。这一方法在后来被阿里、百度、360等众多企业借鉴。值得一提的是,TK教主曾经也是TSRC的会员之一。
2013,微信招嫖色情信息肃清之役
不知道大家是否有这样的回忆,有一段时间打开附近的人,总会有一些穿着暴露的美女打招呼,没错,就是招嫖。当时这个问题是十分严重的,不但给用户造成骚扰,还让微信面临了巨大的政策风险。在之后的一段时间,安全平台部的同事常驻广州,协助微信打赢了这一场扫黄的战争。相信大家也感受到,现在招嫖的现象已经很少能见到了。
2014,微信春节红包安防大战
羊年春节,微信红包成了春晚的关键词,全国人民同时拿着手机抢红包时,那一声“咔嚓”成为了对全国用户祝福的声音。但是你可能不知道,在这一声“咔嚓”的背后,安全团队面临的是数以亿计的黑客攻击,而抵御这一次难关的代价,是数十名兄弟姐妹“抛妻弃子”的春节值守。最终我们的阵地守住了,微信红包也给大家带来了欢声笑语。
2015,“银河”安全大数据开辟新征程
开放,是2015年的主题。如何将腾讯十年的安全积累用于对行业的帮助,成为安全工作的一个新的挑战。对于腾讯帐号体系之外的领域,对于互联网金融这样的新兴行业,我们是陌生的,如何将安全的能力延伸,成为问题的关键所在。面临这样的挑战,“银河”大数据项目诞生了,也正是这一次创新,让腾讯十年的安全积累可以面向行业,服务更多创业团队。
亮剑,服务行业,助力金融
一切的积累都必须能够为行业和社会做出贡献才有价值。在安全能力开放的第一阶段,我们的主战场是云和金融。
一、开放DDoS防御系统,为中小企业保驾护航
服务对象:携程、土巴兔、锤子科技等
近几年来,DDoS攻击外部威胁持续加剧。从业界来看,今年以来众多著名厂商都陆续遭到大流量攻击;从腾讯业务来看,仅从2015年到现在,安全平台部就防御了数十万次的DDoS攻击,防御的最大攻击流量达到了170G,多个指标相比上年均达到倍数级的增长。行业威胁可见一斑。
图:DDoS攻击外部威胁持续严峻
从09年上线以来,宙斯盾成功抵御的DDoS攻击大大小小有近百万次,到了今天,全网防护容量建设已达到5T,分布在腾讯业务的各大机房,包括中国大陆、中国香港和加拿大,其中单节点最大防护能力达到320G,重点机房(除OC外)覆盖率达到100%。其次,是防护响应更快。
以往,防护响应是采取纯人力介入处理的方式。通过不断的后台优化,目前96%的攻击均能做到自动化的处理,防护速度和防护效果都得到较大提升。为了适应开放的需求,宙斯盾通过对多点监控、多层防护、统一调动等核心理念的实现和拓展,同时完善CC攻击的防护策略,实现了从内向外的延伸,与腾讯云联合推出了成熟的行业DDoS防护解决方案-大禹。
图:宙斯盾不断升级优化DDoS攻击防护能力
锥子发布会遭DDoS,大禹助力防御
8月25日晚,锤子手机召开新品发布会,上万人静静等待。时间到了以后,灯光暗,二维码,音乐起,群众欢呼,老罗没有上场,反复6、7次,延迟近1小时。八点五十分,锤子科技研发总监池建强在微博上提到“(网站)全面被DDoS,部分服务已恢复……”
当天发布会,锤子官网的流量一下子大幅度上涨,达到上限,也就是池总监所说的遭受DDoS攻击。随后,锤子科技的技术同事立即接入大禹系统,13分钟后,流量清洗完成,发布会正常进行。
二、狙击羊毛党,为行业提供重大活动保障服务
服务对象:京东、58、大众点评、同程、7天连锁,饿了么等
随着O2O、电商行业的迅猛发展,厂商之间的竞争也愈发激烈,高额补贴成为获取用户的制胜法宝。然而事与愿违,补贴引来的除了用户还有敌人。据腾讯安全平台部黑产情报团队的研究调查,目前活跃在互联网上的刷单黑产分子超过20万人,日均恶意刷单量达到请求总量的25%。如果不作防护,每单估值1块钱的话,那么商家日均损失350万元。据一家第三方媒体报道,目前打车行业的总亏损在28亿,团购行业为29亿。
那么,应该如何解决呢?数据的积累,是解决该类问题的基本要素,也是最大的门槛。只有当黑数据的规模达到一定程度时,才能够有效的抗击羊毛党的侵害。但是这样的积累需要很长的一个周期,对于创业企业来说,无疑是远水解不了近渴。对于黑数据的积累,作为腾讯安全平台部通过十年服务亿级用户,在过往的战斗中积淀了海量的黑产恶意数据,唯一的问题是如何开放。
以往我们的战场都是腾讯帐号体系内的,那么主要矛盾就落在了场景的延伸。经过分析研究,我们最终在腾讯TDW的基础之上研发了自己的大数据处理平台—魔方,以日均800T的数据计算量,累积了一批基于手机、IP等通用数据的黑/白名单库,并对手机、IP、设备等打上了画像的安全标签,同时结合外部业务的实时行为数据,建立了一套适用于腾讯帐号体系外的防刷系统-天御,并实现100ms内精准识别羊毛党的要求,为中小型企业快速提供恶意注册拦截、活动防刷、撞库攻击防护等方面的服务。
图:天御技术架构
助力聚美,狙击十万量级羊毛党
今年8月7日,聚美优品“免费送”活动一开始,羊毛党就开始行动了,通过批量注册小号大规模下单,企图获取欧帅送给众粉丝的礼物。8月10日,聚美安全接口负责人联系了腾讯云天御防刷团队,经过两轮数据验证,聚美于8月15日正式接入天御系统,并与8月25日的重大活动上开始启用。活动当天,通过天御对恶意用户的精准识别能力,天御成功帮助欧帅狙击羊毛党,挽回巨大经济损失。
图:天御助力聚美狙击羊毛党
三、共享反欺诈能力,解决互联网金融骗贷难题
服务对象:WeBank、腾讯征信
互联网+为金融行业带来飞速发展和无限可能的同时,潜藏在光亮前景背后的安全问题也逐渐浮现。由于互联网金融线上审核,以及快速实时审批等特点,欺诈风险,成了互联网金融业务面临的最大挑战。
与传统的线下贷款业务不同,互联网金融最大的问题并不是授信,而是身份的核实。前不久,就有一款信贷产品就被爆出因被黑产盗用身份骗贷数千万而导致紧急下线。由此可见,问题已成互联金融行业的重大痼疾之一。
因此,能否准确的核实用户的线下真实身份,是帮助互联网金融企业避免遭受欺诈损失的关键因素。基于这个理念,安全平台部总结适用于多个场景的反欺诈模型,再结合互联网金融的业务特性,推出金融反欺诈服务,期望帮助业务预防和解决网络信贷的欺诈难题。
现在,腾讯安全平台部与Webank、腾讯征信通力合作,建设起一套一体化的金融欺诈解决方案,从贷前、贷中、贷后各个环节严格把关,力图让金融欺诈分子无所遁形,帮助解决愈加猖獗的欺诈难题,对抗的效果领先于行业平均水平近10倍。
结束
在过去十余年里,腾讯安全平台部致力于解决公司内业务的各类安全问题,例如挂机、社工诈骗、DDoS攻击、黑客入侵、红包欺诈等业务场景。并在一次次与敌人真刀实枪的对抗中,不断积累实战经验和总结数据能力,在学习与实践中完善出一系列成熟的武器和方案。
在今后的日子里,腾讯安全平台部希望能够与业界优秀的业务团队和安全团队一起,把十余年来积累的对抗经验和数据能力用于帮助云用户解决安全难点和痛点,为这些优秀的未来行业领袖在云浪潮的前行道路上保驾护航。