積澱6年,「螞蟻終端安全立體防區」三層技術架構首度揭秘

.. 近幾年移動技術的發展出現了新變化。一方面,多設備、全場景下的應用智能互聯、大屏流轉需求湧現層出不窮;另一方面,隱私合規成為剛需,移動應用需要主動應對合規問題。終端安全始終處於攻防邊界的最前沿,這些新變化也給終端安全風險帶來了新挑戰。

面向新趨勢,螞蟻安全實驗室投入研發端邊雲協同風控技術,將其作為螞蟻智能風控技術體系 IMAGE 的重要組成部分。近日,螞蟻終端安全技術負責人萬小飛對積澱6年之久的螞蟻終端安全能力作了全景式介紹,首次揭秘「螞蟻終端安全立體防區」三層技術架構,並完整分享了基於端邊雲協同的螞蟻終端安全風控體系構建思路。

以下是萬小飛的分享內容:

《面向隱私保護的下一代可信端雲協同技術體系探索》

在移動互聯網生態發展過程中,終端安全也經歷了漫長的發展過程。隨着移動互聯網業務邊界和規模的不斷擴大,終端風險變得更分散,更隱蔽,也更具多樣性。在多元化的移動生態下,終端安全面臨以下幾個挑戰:

第一個挑戰,平衡安全和體驗。在互聯網公司,安全和風控往往本身並不直接創造業務價值或商業收益,而是助力業務發展,為業務健康發展護航。而在護航的過程當中,企業所付出的資源和投入,以及風控給用戶帶來的打擾,三者如何平衡?隨着業務規模的指數級擴大,此類矛盾問題逐步凸顯。在今天多元化的移動生態下,風控成本和用戶體驗的平衡將成為各大公司的首要挑戰。

第二個挑戰,實現風險前置與精準防控。風控系統在做風險提示時,從登錄到交易,在整個鏈路過程中,我們的防控到底在哪個位置?登錄前提醒還是交易過程中提醒?提醒得是否精準?模稜兩可的風控決策只會給用戶造成更大的困擾。要做到精準識別,對風控來說是非常大的挑戰。

第三個挑戰,滿足數據安全和隱私保護的需求升級。這個變化使安全和風控正在面臨顛覆性的衝擊。行業有一句俗話說「無數據不風控」,面對國家監管和整個生態對數據隱私、個人信息保護的逐步升級,風控安全和數據獲取方面會形成挑戰。

綜合看來,我們認為近年來互聯網安全和風控最大的挑戰,是數據的隱私合規和個人信息保護。在此背景下整個互聯網安全和風控,尤其是終端安全又是如何演進的?

一、螞蟻終端安全的三個階段

針對以上幾個核心問題,我將重點分享螞蟻終端安全如何持續升級對抗和治理體系。從總體來講,整個過程分為三個階段:

第一個階段,升級終端攻防對抗。這是大家對於傳統終端安全最直接的理解。隨着移動互聯網興起,誕生了移動安全;繼而隨着風險形態的演進,逐漸進化到終端安全。

今天我們所談的終端安全,並沒有特別官方的定義。我的理解是,在業務實踐中,將發生在終端設備(包括IoT設備、手機設備等泛終端,同時涵蓋了Web時代H5網頁這一端)上的風險和安全問題定義成終端安全。終端風險發生在業務的最前端,此類風險最大的特點,是具有強攻防對抗屬性。

端上的攻防對抗有很多場景,比如通過注入和定製rom,來達到篡改人臉攝像頭等原數據;通過篡改關鍵信息從而達到篡改設備身份的目的,最後實現業務上的欺騙。所以早期階段,我們通過不斷增強端上的對抗能力,實現業務的第一層防護,這也是終端安全必須做好的本職工作。

第二個階段,探索端雲協同階段。端雲協同是在Edge Computing(邊緣計算)思想的影響下,利用端雲各自的優勢在安全風控上的一個創新,整體來看也經歷幾個階段的發展。

1. 端雲協同的第一階段,探索的依然是安全與體驗的平衡問題。為了保障業務安全,在雲端的計算消耗大量計算資源,通常和業務規模和複雜度成正比。但典型的在互聯網尤其是電商行業的大促活動中,網絡流量會出現爆髮式的增長,根據日常流量設計的機器容量和防控策略在面對流量爆發有兩種選擇,直接放過,或增加機器以應對流量洪峰。由於大促周期通常不長,后一種策略會產生極大的資源浪費。

今年是天貓雙十一大促的第14年。前些年我們也碰到過這種問題,到了2016年,我們開始探索將雲端的部分計算下放到端上。我們的一個發現是,終端計算能力基本上可以頂得上3年前的 PC 計算能力。然而,如果決策都下放到端上,信息的不對稱性被打破,會增加防控難度。所以選擇哪些計算、策略模型去下放,我們有一套非常嚴格的論證標準和端上防護體系保駕護航。

2. 端雲協同的第二階段,是隨着小程序生態興起而發展起來的。很多商戶把小程序當成類似瀏覽器的展示平台,業務邏輯和數據在自己的服務器上,並不經過螞蟻的雲端風控系統。在這個背景下,我們開始在端上構建小程序的風險治理體系,來保障我們平台上的小程序安全,端雲協同的聯合風控模式開始出現。

3. 端雲協同的第三階段,是在近年來國家對數據隱私的管控升級背景下發展起來的。雲端的風險治理,僅基於端內信息往往不足夠,我們可以通過在端上構建一些模型,刻畫用戶行為;在數據並不出端的情況下,完成對風險的識別和治理。

第三個階段,推進終端可信階段。APP搭載在終端,我們所能獲取的權限以及所能看到的世界是非常狹隘的。終端在用戶手裡(當然也在黑產分子手裡),黑產分子通過終端看到的視角比APP上多很多,可以通過定製硬件設備以及操作系統,獲取的更為寬泛的權限和信息,可謂是「上帝視角」。因此整個防控過程當中,攻守方處於極度不平衡的狀態,防控相對被動,被別人追着打。這個過程中,互聯網風控唯一的優勢,就是防控體系是在雲端,會有信息不對稱帶來的優勢。

舉幾個簡單的例子,移動安全領域常見的設備篡改、虛假設備使用比如像模擬器等,對於互聯網廠商而言,如果通過大數據各種方式去識別這種風險,就非常被動,即使識別出,黑產會有各種各樣的方式繞過你。然而對於設備認證以及真假設備識別,互聯網廠商是有非常強勁的手段保證最原始的可信。

再舉一個例子,在基於LBS的業務防控中,比如說我們希望用戶去商店掃一個碼就會得到禮券,但如果無法正確獲取到設備的位置,此類營銷活動就會面臨很大的衝擊。目前設備位置的獲取成為一個隱私問題,互聯網公司面對這類風險很被動;反觀設備廠商,在這一點上很容易實現。廠商可以不透傳真實位置是什麼,但是告訴APP這個位置的真實性是否被篡改過。

我們把終端的安全能力做了比較大的抽象,通俗來講,和終端廠商合作保證從終端發起的請求是「真實的用戶,在真實的設備上,帶着真實的目的,發出的真實請求」。對應的就是身份可信,設備可信,環境可信,請求可信。基本上實現了這幾點,整個終端安全基礎就得到了保障。有一大批風險都跟這幾個可信相關,像黃牛通過技術手段對茅台搶購、演唱會搶票秒殺,本身可能是一個惡意的請求,即這個請求不是從終端設備發起的請求,而是通過腳本、接口直接調用。

請求不可信會帶來如數據爬蟲、數據泄露,造成秒殺帶來的業務結果不公平。因此,終端安全必須保證幾個比較基礎的安全可信,雲端風控可以將更多的精力聚焦在業務相關的防控,而不是這些基礎的防控上。

作為傳統基於數據的風控模式的補充,我們當時把思路投向了手機廠商,通過和手機廠商合作,構建軟硬結合的安全基礎設施。可信中間件AntDTX是在這個思路和理念下的一個具體探索。

二、螞蟻終端立體防控體系技術架構的演進

從業務流量流動的視角,我們根據螞蟻集團副總裁兼首席技術安全官韋韜首創的安全平行切面架構思想,將整個互聯網風控分成了幾大防區。流量從移動終端開始,經過APP發出業務請求,進入網關,最後進入到業務服務器;對應地我們也將防控分為幾個防區:

最下面的防區,我們把它定義成前面提到的和生態手機廠商合作的生態防區;往上,就進入我們的APP防區;流量請求從APP發出會進入各自互聯網公司的網關,進入流量層防區;再往上,就進入到各大互聯網公司業務的服務器,我們定義為雲端的防區。在整個探索過程中,我們逐步形成了端邊雲的立體防控體系,今天我們在整個螞蟻安全風控體系的99%場景里都部署了這套立體化防控體系。

整個端邊雲立體的防控體系,在技術架構中,被分成三大作戰區:

 「端」作戰區,核心思路是通過軟硬結合的方式,加固可信終端,來實現業務的第0環和第1環的防護。在端作戰區,有三個顯著特點:

第一個特點是動態對抗。黑產比我們快,攻防的迭代和升級過程當中不可避免會面臨版本發佈。APP版本的發佈都會有一定的周期,黑產會利用發佈周期造成的版本碎片化,達到攻擊目的。所以我們探索了動態對抗機制,動態和策略體系隨着黑產的變化去調整。

第二個特點是無感接入。互聯網風控大部分都是事件驅動和事件接入的模式,在哪個業務點防控我們就去埋相應的點,防控對整個業務侵入性是比較大的。我一直在思考,如何實現防控對業務的「無感化與無侵入」。這也是業務最想看到的,你保護我可以,但別天天打擾我。怎麼實現無感的介入?通常互聯網APP是一系列互聯網請求組成打包的東西。對互聯網業務來講最小的力度就是業務請求、業務調用,也被稱為RPC。我們通過對設備和RPC染色,構建設備和請求的DNA,從而實現在各個業務點的請求做無感的插入和埋點,這樣在整個客戶端就不需要針對各個業務場景做埋點。

第三個特點是軟硬結合。防區從APP深入到整個系統、硬件可信終端。這是整個端治理的體系過程中做的探索。

「邊」作戰區,業務請求離開APP進入接入層,也就是邊。通常各類風險數據泄露的數據爬蟲、傳統的攻擊,都是發生在這個區域。在邊這一塊的防控體系,我們會對每個業務請求做一個卡口、管控。業務請求會帶着端上帶來的可信信息。這些信息有的是端上做的風險識別,有的是雲端計算下發下去的。這些業務請求到達「邊」時,整個網關層會做精準的防控和管控。

大家也能看到「邊」的作戰區更多的像一個引擎,在探索的過程中,我們將端和邊做了深度融合,在到達業務層之前做第一道風險過濾。這一層的風險獨立於具體的業務形態,更多是通用惡意流量的防控。比如,雖然還不知道你在雲端打算幹什麼壞事,但已經提前判斷你是壞人了。    

「雲」作戰區,流量流到各自雲端業務系統時會對應不同的業務風險,在前置「端邊」還識別不出風險時,進入到雲端的風險防控體系做進一步深度化、精細化的風險識別和決策。

在整個過程中,端邊雲立體防控體系核心在於,風險在哪兒發生,就在哪兒進行阻斷,突破了過往所有風險匯合到雲端做統一處理的傳統模式,解決了業務防控準確性和及時性,也節省了人力和資源。

在生態防區的探索過程中,我們聯合生態夥伴,發佈了基於軟硬結合的終端可信中間件AntDTX。所謂的「軟」就是傳統終端安全以安全SDK為載體的防護體系;「硬」是利用了終端設備的硬件特性,藉助TEE可信環境,可信存儲、可信機密計算的硬件體系去真正達到加固終端的步驟。

AntDTX致力於構建終端安全和風控的基礎設施,提供可信計算、可信存儲、可信模型推導、生物特徵存儲和保護、一機一密等基礎保障,為面向未來的業務探索提供安全基礎服務。當前的探索過程中,我們主要把應用定義在三個方向上。

第一個方向,風險治理。我們今天在做類似反欺詐、反賭博業務時,依靠雲端無法實現根源問題的解決。在端上構建軟硬結合的可信中間件,實現了在無需用戶數據出端的前提下,在端上實現風險識別及用戶行為刻畫。

第二個方向,可信存儲。在今天大環境背景下,整個移動設備和用戶個人身份是強綁定的。從早期的指紋支付、人臉支付、出門掃健康碼、手機銀行、電子圍欄,到近期的數字車鑰匙、數字門鑰匙等新興場景,很大程度上移動終端設備已經和用戶個人身份強綁定。由此衍生出來最大的訴求就是可信存儲,一機一密,可信計算等。

第三個方向,AIoT。我們都知道今天一些區塊鏈場景和IoT場景里,涉及類似於數據的可信獲取、可信上鏈,本質上是利用了底層可信的存儲和計算能力等,來達到數據的可靠移動。

AntDTX是我們在安全探索上的一個創新,我們希望通過發起相關的標準,喚起硬件廠商和硬件生態重視。互聯網生態對終端安全的強訴求,需要通過軟件、硬件,包括螞蟻開發的可信中間件的逐步標準化、開源化,實現整個生態協同,各方共同投入到這個體系的建設中來。從價值上來講,這些東西對整個生態以及各家APP廠商都是有價值的,它所解決的問題是我們APP廠商共同面臨的問題。

今天不同的APP廠商都在花很大的精力,各自獨立去解決這些共性的問題。我們希望通過AntDTX,能夠開啟端原生可信和共享安全的旅程,去喚起整個生態的重視,將各自的風險合併同類項,大家協力把這一塊基礎設施的建設縮到最小的範圍,以實現面向所有APP廠商的通用型服務。核心目的,是把與業務無關的風險沉澱在一起,通過整合模式集中解決。

三、終端安全的未來趨勢

最後想跟大家分享,基於我在螞蟻終端安全的實踐探索,我對未來終端安全技術方向和趨勢的一點思考。

首先,不可避免的隱私嚴格化。不管是APP廠商、硬件廠商還是整個國家的法律法規,對這一塊只有逐步趨嚴沒有放鬆的跡象。

第二,風險對抗動態化。比如現在網頁的惡意內容已經實現了根據人群特點動態呈現,比如會根據性別、城市、地理位置、場景差異做用戶區分,實現差異化動態展示,這給內容安全防控帶來了極大挑戰。

第三,流量入口多樣化。APP域外風險顯著提升,類似小程序的風險,嚴格意義上來講更應該商戶自己去負責,但基於業務服務器上的風險歸屬問題,我們認為更多的風險會發生在APP域外。

第四,更多風險在端上治理。不管是從成本的角度還是從隱私合規的角度,更多的風險不再單純依賴雲端的治理體系,會聯合端上做綜合的治理。

第五,端原生可信逐漸成為行業標準。我們和手機廠商尋求合作時,希望能夠產生原生可信的終端安全基礎設施,供各家互聯網APP廠商去使用。原生可信或將成為端上安全基礎設施和行業標準。

第六,可信終端設備,可能會成為整個數字世界裡新的身份認證手段。不管是指紋還是未來基於其他生物特徵的身份認證手段,都將推動可信移動終端成為互聯網用戶在整個數字世界裡新的身份象徵。


想在手機閱讀更多移動通訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems