专访 | 从阿里云安全挑战赛 看阿里云安全建设之路
星期一, 一月 6, 2020
安全牛:请先介绍一下阿里云安全挑战赛的内容和最终结果。
东厂:这次比赛是阿里云和长亭深入合作一同举办,希望通过专业顶尖人才聚集这样的平台吸引安全行业优秀的攻防人才加入其中。本次阿里云安全挑战赛是对现有体系非常好的补充,我们内部的ASRC会聚集业内优秀白帽子验证阿里云平台的安全性;另外,也会请国内各个专业安全团队以实战形式对阿里云平台进行检验。
最终结果是,虽然有多支队伍提交漏洞,但经过验证和评委会确认只有一处低危漏洞,并且是三方组件的通用问题。我们会将该问题报给相关厂商,在漏洞修复之前我们不会公开漏洞细节,以避免不必要的安全风险产生。
本次比赛以云上真实售卖级产品为赛题,漏洞提交和验证是7号一天,但是我们给了选手半个月的时间来挖掘漏洞。比赛虽然结束了,但是提升阿里云云产品安全水位是我们一直在做的事情。比赛的最终结果说明,第一,阿里的飞天操作系统资源可控、性能稳定;另一方面,系统完全由阿里自研,很大程度上提升了攻击门槛。其实我们在日常情况下一直有漏洞悬赏的渠道,就是通过ASRC(阿里巴巴安全应急响应中心)渠道接受广大白帽子提交漏洞,联合广大白帽子一起共同提升阿里云安全的整体水位。
我们都知道没有绝对的安全,但是可以通过我们的努力提升攻击门槛。此次挑战赛的奖金池500万元,此次投入大量的人力、物力和精力办比赛,希望从外面的视角广纳意见发现问题。云上托管业务的特殊性质使得平台不可停机,失误造成的损失修复成本较高。
安全牛:请问有统计过参赛选手的年龄层、工作情况、国别等信息吗?您认为学生和专业企业的白帽子会有什么差别?阿里云安全团队在招聘人才时更关注哪些特质呢?
东厂:统计数据显示近六成的选手基本上都来自专业安全公司,或是在业内影响力较大的白帽子。来自高校和安全公司的团队最大的差距是漏洞提交结果上,显然是安全公司实战能力更强一些。不过从开放平台到结束比赛的半个月内,提交的漏洞没有涉及阿里云平台,可以验证平台还是安全、稳定的。2007年毕业那年除去较少的几所顶尖高校之外,多数院校还未设立信息安全专业。2014年入职阿里巴巴后,我就开始参与并负责校招工作,从这两年的资源上分析,大部分应届生的水平逐年升高。他们大多是有丰富的CTF比赛经验或者实战经验的人,因为安全行业的特殊性对实战能力的要求更高。
安全牛:您刚才说是我们直接拿我们线上已经有的一个平台去做的比赛,我们会不会比较害怕说他们不只是挖漏洞,还会受到他们的攻击吗?
东厂:其实将线上真实售卖环境用来比赛我们还是比较担心的,第一是稳定性的问题,在遭受攻击的时候能够快速隔离,在15min内将事件监控上报并处置完,不影响其他用户。这之中的代码均是团队自研,在这之中添加了控制项。另一个就是虚拟化逃逸的问题,针对这个问题阿里云有专门的检测平台,一方面验证检测平台的检出率,另一方面也验证逃逸监控性能,目前为止该平台的验证是相对有效的。举办比赛的想法也很简单,想同业界更多优秀的技术人员一道,找寻系统薄弱处,为用户提供安全的云环境。现在常说以攻代防,就是通过实战演练来验证体系的安全性。阿里云内部也专门设立了一支攻击团队,每天攻击自身平台来检验平台性能。
安全牛:您认为现在阿里云安全有哪些优势和挑战?
东厂:因为阿里云走到今天,至少在云计算领域内作为比较靠前的厂商具备相对先发优势。从整体IT行业来讲,云计算实则是一个新的技术,自然包含很多新的挑战。包括虚拟化分布式系统,我们自主研发了飞天。技术挑战很大,国际上对于这部分的技术并未开放,没有任何经验可以借鉴。
另一方面,阿里云业务线发展迅猛,从2014年我加入时的20-30款云产品发展到现在已近300款。从财报上也能发现短短五年时间增长十倍,所以单从产品增长速度上来讲就是严峻的挑战。虽说人员在不断吸纳,但是远不及业务增长速度。今年,整体云智能组织架构升级有六千名技术工程师也在不断更新、迭代。所有的安全工作全都是围绕云产品展开,因此详细分析了产品安全的生命周期,沿着周期中具体分析问题进行调整。详细拆解安全需求,以及配套的安全技术。对内部工程师展开培训,通过考核后才会下放代码提交权限,否则继续进入下一轮考核之中,而且考核通过的要求非常严格,当触发系统的某项高危安全标准时也会限制该工程师的系统权限。因此在CEO层面协定规则,选择自动化手段以解决人员和产品发展之间的不平衡,近期的内部数据显示仅通过平台可以筛选99.5%的安全风险,剩余风险通过ASRC和专业安全团队提交、审核。
安全牛:我发现赛制是比较灵活的,组委会如何衡量比赛结果,又如何保证比赛的公平性呢?有没有您比较喜欢的队伍,或者他的一些逻辑算法,对他解题的一些思路会不会有一些比较有趣的分享一下?
东厂:其实是同时有几波人参与到比赛的评比当中来,由于时间限制暂时我们选用了人工评分的方式,必然考虑到了比赛的公平公正。分别从内外挑选了两队人为比赛提交结果进行评价,内部是自身业务团队,外部评委来自业界在漏洞领域比较有影响力的人士。有一个团队提交好几个问题,说明他们对这部分内容研究很深。好在我们是自研平台以及后期不断加固,所以从根本上讲对平台安全性还是有一定自信的。参赛团队中有比较实力强的队伍,后期会进一步沟通交流通过其他形式合作。当然,比赛中发现的漏洞我们均会上报,由于它是一个三方通用漏洞肯定也会上报给相关的厂商。
安全牛:在人才培养上,阿里云安全团队更倾向于选择怎样的人才?基于现在比赛结果而言,未来会有什么样的投入和计划呢?
东厂:比赛虽然结束了,但是悬赏白帽子提交漏洞还是要继续的。在日常我们会通过ASRC的漏洞提交形式上报漏洞,吸引更多的人参与其中。现今相同类型的比赛更多聚焦于攻击领域,更多的是从安全防护的角度出发,但这个范围过于广泛,着力点不明显。现在为我们从业务角度将安全和相关产品融合,未来会从整体平台出发。另外,从公司层面每个季度我们也会邀请1-2支团队来对平台进行真实的攻击演练,提高自身安全效能。
安全牛:您之前讲的都是现在我们在做什么?我们未来的一个规划。
东厂:未来希望从现有思路上提升水位,这一部分在国内没有经验可以借鉴,因此在提升对业务的理解程度上是一个要不断创新的历程。从国家安全法、个人信息保护法颁布,使得对整个安全趋势判断反而更加清晰。个人信息保护法的颁布对整个行业来讲是利好消息,国家对网络安全也越来越重视,市场需求随之增加,我们就会去通过技术能力解决问题。
转而从比赛的角度上分析,和长亭科技合作更多是希望将提升平台安全能力,从外部视角寻找问题,明年会重点吸引实力更强的团队来参与比赛。阿里云安全挑战赛还有很大的提升空间,今年举办收获满满经验,明年预计还会定向邀约一些高水平的选手,期待更多具备在漏洞领域深入研究的选手加入到比赛之中。