華文網

京東首席安全專家 Tony Lee:戰鬥在最激烈的戰場

3月 22 日,雷鋒網編輯見到了京東安全掌門人 Tony Lee,那天,是他加入京東的第 571 天。

歷經賽門鐵克、微軟後,2011年,Tony 從美國歸來,創建了安全寶,直至安全寶的大部分業務被百度收購,Tony 成了百度雲安全首席架構師。

但是,一年多後,Tony 的陣地就轉向了京東。其中只有一個原因,Tony 說,他在尋找一個最激烈的戰場。

對行業發展失望

“縱觀行業過去20年的發展,安全博弈是不成功的,來到京東,我想是不是可以做點事情,能夠真正解決一些問題。”

Tony 對安全行業的現狀有些失望。

首先,大公司靠著長年積累和投入,建立了安全能力,有話語權,但小公司卻沒有這種安全能力,在“一視同仁”的資訊安全威脅前,顯然小公司處於劣勢。其次,市場提供的安全服務大多是單點建設,並不能完全解決一個企業面臨的安全問題。

Tony 認為,國外的開源氛圍濃厚,國內雖有少量大公司在安全開源技術上有所涉獵,但遠遠不足,他希冀的是,一個在安全上有所需求的企業能在開源平臺(技術)上進行定制,

就能適應企業自己的框架和需求。

比如,TensorFlow 最初由穀歌大腦小組的研究員和工程師們開發出來,用於機器學習和深度神經網路方面的研究,但這個系統的通用性使其也可廣泛用於其他計算領域。

他希望可以在京東提煉出一種安全能力,無論最終以怎樣的形式呈現,對安全行業發展產生影響。“對京東來說,我們並不靠賣技術賺錢。

很多公司靠做技術賣一個東西給你,我們更崇尚的是對互聯網的貢獻和影響力。”

尋找最激烈的戰場

但是,這事為什麼在百度或其他地方不能做,卻被他認定可以在京東完成?

年少的 Tony 喜歡守在電視機前,看美國電視臺 CSPAN 專門播放國外辯論。他一看就是幾個小時,因為“有一些人與生俱來對一些東西比較有傾向性,他對終極意義的東西比較感興趣”。Tony 覺得,從終極問題可以倒推事情的本來面目,

從而可以找到自己的路徑。也因此,Tony不會繼續滿足於在相對成熟的平臺工作,他想要的是從 0 開始,披荊斬棘。

如果去一個相對成熟的平臺,什麼都很光鮮,看上去很專業。但是,這都建立在前人的成就上,所面臨的問題也更固化。而安全行業,穩定就意味錯失很多問題和戰鬥的機會——沒有經歷大量的戰鬥,無法培養出以一敵百的力量。

Tony 認為,他找到了理想的戰鬥地:“因為京東現在就是一個最大的盤子,

海量的資料和豐富的業務場景,會面臨各種各樣的問題,資料安全、IoT安全、AI安全、帳號安全、業務安全等,而隨著無界零售等新業務模式的飛速發展,在這裡還可能遇上你不曾想到的最前沿、規模最大、最激烈的安全問題,就跟打仗一樣,最激烈的戰場就在這裡。”

建立不甘平庸的“安全軍隊”

Tony 入局京東時,就在尋找“創造先行”的人。每面試一個人,他都會問對方:“你願意從 0 開始和我做起來嗎?”

這個問題,Tony 問了很多人。

組建團隊的過程並不容易。一是人就這麼多,二是京東龐大的業務安全的戰場就在這裡,來的人和這個新生團隊都要在短時間內扛住壓力,直面這個已經存在的戰場——無數安全威脅盯著的電商帝國。

首先,這類安全人才本來就很稀缺。

Tony 尋找的真正做安全的人需要有逆向思維,“Think outside the box”,這種人不多,幾年之前,學校甚至都沒有相關資訊安全專業,正規的安全訓練是缺失的。現在,很多從事安全行業的人才其實是安全愛好者,從初中、高中開始就對這個行業傾注了心力,但是堅持下來的人不多。Tony 希望,具備這種思維、真正熱愛安全的人能跟隨自己“內心的聲音”,像保存火種一般加入這個“軍隊”中來。

其次,適合甲方業務安全的人才更稀缺。

雷鋒網(公眾號:雷鋒網)編輯和阿裡安全曾經的掌門人陳樹華有過一次對話,這位元同樣身處電商帝國的 P10 級牛人感歎,對電商帝國的老闆們而言,他們關心的從來不是網站有沒有被 DDoS,而是今天的店鋪是否正常,首發的手機有沒有被羊毛黨薅走,這是這些公司至關重要的業務安全點,這樣的安全都是圍繞業務做。

“業務安全是業務擺在前面,不是安全業務,所以要懂業務,今天懂業務的在哪兒?誰懂業務呢?”陳樹華說。

還有一位甲方業務安全負責人曾說,他費了好大力氣才把從乙方企業招來的安全人員一個個培養成甲方所需要的人。

“很多人在乙方公司做安全產品,轉到甲方還可以做些技術,但有多少人能在甲方公司把甲方安全做好?甲方安全人才不是一般的缺失。”Tony 說。

相應的管理人才就更少了。

Tony Lee 大學學的電子工程與電腦,後來又取得了相關碩士學位,主攻資料採擷,還算“搭邊”,“美國很多安全負責人甚至是音樂、律師出身,可以看出這種稀缺性。”

Tony 一邊尋找在技術、管理能力上與之相匹配的人,一邊“要求很高”。 他曾經把一封內部郵件轉給京東安全的所有人,希望大家都有“拒絕做螺絲釘”的意識。

“螺絲釘來這裡會很難受,因為我們總是要求他,這個你為什麼不做,那個我們要管的,你趕緊上啊,你坐著幹嘛?” Tony 時時刻刻都有從 0 開始的創業緊迫感,他要求,加入這個團隊的人要有“主人公”意識,不是你的事你也願意去管。

直到京東安全的人數比開始時翻了 5 倍,Tony 稍微松了一口氣。

戰鬥在最前沿

“軍隊”和“戰場”都有了,Tony 不滿於現狀,他想要戰鬥在最前沿,通過追溯問題本源,來發現解決問題的路徑。

這也是他慣有問題倒推思路。為什麼會有安全問題?弱點跟風險起源在什麼地方。如果存在漏洞,漏洞又從哪兒來?是不是在前期研發、設計考慮的時候不夠周全?他希望,從源頭上提升京東安全的水準。

保障源頭安全能力是基礎,在“行軍”過程中又要根據戰勢及時調整戰術。因此,更要關注安全與京東業務的貼合:首先是保衛核心資料安全,這是底線。他還看無界容錯,關注大量資料交換的安全指數。比如京東關注的智慧家居,物流裡的無人機、無人車、無人倉儲等新技術是否足夠安全?

除此,資料採擷背景出身的 Tony Lee 自然很在乎資料。他想構建出如 TensorFlow 一般威力的平臺、框架,或者輸出智慧安全能力。

“intelligence”可能是他要做的事情的精准“定義”。一方面,它代表“智力”,一方面,它強調“情報”,而情報背後就是資料。

因此,他在京東主推了一項基於硬體加密的資料加密加速技術,希冀能滿足“京東業務體量所要求的性能和穩定性極高的要求”,同時發揮京東的資料優勢,在不觸碰用戶隱私的前提下,促成客戶相關專案的合作。

而面對就在眼前的“戰火”,他繼續推進應用在風控中的人機識技術,提升在反薅羊毛的整個鏈條上的攻防能力和大資料分析能力。

為了做“IoT 安全”,找到硬體的風險點,他推動國外高校研究機構與京東合作,開發基於硬體層的自動化 Fuzz 工具。

去年 12 月,京東安全峰會上,Tony Lee 宣佈京東將成立安全攻防實驗室,聚焦智慧化、人工智慧、IoT、雲安全。今年,他的目標又擴充了一些,除了美國的京東安全研究院,他想在中國也成立一個研究院。

這個不安於行業現狀的掌門人在京東朝前走了 571 天,他還將繼續向前,站在最激烈的安全戰場前沿。

每面試一個人,他都會問對方:“你願意從 0 開始和我做起來嗎?”

這個問題,Tony 問了很多人。

組建團隊的過程並不容易。一是人就這麼多,二是京東龐大的業務安全的戰場就在這裡,來的人和這個新生團隊都要在短時間內扛住壓力,直面這個已經存在的戰場——無數安全威脅盯著的電商帝國。

首先,這類安全人才本來就很稀缺。

Tony 尋找的真正做安全的人需要有逆向思維,“Think outside the box”,這種人不多,幾年之前,學校甚至都沒有相關資訊安全專業,正規的安全訓練是缺失的。現在,很多從事安全行業的人才其實是安全愛好者,從初中、高中開始就對這個行業傾注了心力,但是堅持下來的人不多。Tony 希望,具備這種思維、真正熱愛安全的人能跟隨自己“內心的聲音”,像保存火種一般加入這個“軍隊”中來。

其次,適合甲方業務安全的人才更稀缺。

雷鋒網(公眾號:雷鋒網)編輯和阿裡安全曾經的掌門人陳樹華有過一次對話,這位元同樣身處電商帝國的 P10 級牛人感歎,對電商帝國的老闆們而言,他們關心的從來不是網站有沒有被 DDoS,而是今天的店鋪是否正常,首發的手機有沒有被羊毛黨薅走,這是這些公司至關重要的業務安全點,這樣的安全都是圍繞業務做。

“業務安全是業務擺在前面,不是安全業務,所以要懂業務,今天懂業務的在哪兒?誰懂業務呢?”陳樹華說。

還有一位甲方業務安全負責人曾說,他費了好大力氣才把從乙方企業招來的安全人員一個個培養成甲方所需要的人。

“很多人在乙方公司做安全產品,轉到甲方還可以做些技術,但有多少人能在甲方公司把甲方安全做好?甲方安全人才不是一般的缺失。”Tony 說。

相應的管理人才就更少了。

Tony Lee 大學學的電子工程與電腦,後來又取得了相關碩士學位,主攻資料採擷,還算“搭邊”,“美國很多安全負責人甚至是音樂、律師出身,可以看出這種稀缺性。”

Tony 一邊尋找在技術、管理能力上與之相匹配的人,一邊“要求很高”。 他曾經把一封內部郵件轉給京東安全的所有人,希望大家都有“拒絕做螺絲釘”的意識。

“螺絲釘來這裡會很難受,因為我們總是要求他,這個你為什麼不做,那個我們要管的,你趕緊上啊,你坐著幹嘛?” Tony 時時刻刻都有從 0 開始的創業緊迫感,他要求,加入這個團隊的人要有“主人公”意識,不是你的事你也願意去管。

直到京東安全的人數比開始時翻了 5 倍,Tony 稍微松了一口氣。

戰鬥在最前沿

“軍隊”和“戰場”都有了,Tony 不滿於現狀,他想要戰鬥在最前沿,通過追溯問題本源,來發現解決問題的路徑。

這也是他慣有問題倒推思路。為什麼會有安全問題?弱點跟風險起源在什麼地方。如果存在漏洞,漏洞又從哪兒來?是不是在前期研發、設計考慮的時候不夠周全?他希望,從源頭上提升京東安全的水準。

保障源頭安全能力是基礎,在“行軍”過程中又要根據戰勢及時調整戰術。因此,更要關注安全與京東業務的貼合:首先是保衛核心資料安全,這是底線。他還看無界容錯,關注大量資料交換的安全指數。比如京東關注的智慧家居,物流裡的無人機、無人車、無人倉儲等新技術是否足夠安全?

除此,資料採擷背景出身的 Tony Lee 自然很在乎資料。他想構建出如 TensorFlow 一般威力的平臺、框架,或者輸出智慧安全能力。

“intelligence”可能是他要做的事情的精准“定義”。一方面,它代表“智力”,一方面,它強調“情報”,而情報背後就是資料。

因此,他在京東主推了一項基於硬體加密的資料加密加速技術,希冀能滿足“京東業務體量所要求的性能和穩定性極高的要求”,同時發揮京東的資料優勢,在不觸碰用戶隱私的前提下,促成客戶相關專案的合作。

而面對就在眼前的“戰火”,他繼續推進應用在風控中的人機識技術,提升在反薅羊毛的整個鏈條上的攻防能力和大資料分析能力。

為了做“IoT 安全”,找到硬體的風險點,他推動國外高校研究機構與京東合作,開發基於硬體層的自動化 Fuzz 工具。

去年 12 月,京東安全峰會上,Tony Lee 宣佈京東將成立安全攻防實驗室,聚焦智慧化、人工智慧、IoT、雲安全。今年,他的目標又擴充了一些,除了美國的京東安全研究院,他想在中國也成立一個研究院。

這個不安於行業現狀的掌門人在京東朝前走了 571 天,他還將繼續向前,站在最激烈的安全戰場前沿。