董莉

網(wǎng)貸平臺(tái)可以說(shuō)是在互聯(lián)網(wǎng)上運(yùn)送黃金的錢(qián)莊，安全廠商扮演的就是保駕護(hù)航的角色，安全寶是如何走鏢的？

互聯(lián)網(wǎng)金融大熱，快速催生了眾多“網(wǎng)上運(yùn)送黃金的錢(qián)莊”，P2P的迅猛發(fā)展也帶來(lái)了行業(yè)風(fēng)險(xiǎn)的高速聚集。由于做的是“錢(qián)生錢(qián)”的生意，因而網(wǎng)貸平臺(tái)也成為黑客眼中的“肥肉”。不斷有P2P網(wǎng)貸平臺(tái)被“打劫”的消息也讓安全廠商這個(gè)“鏢局”有了新生意。

“我們是在安全江湖上走鏢的，大家運(yùn)黃金，我們干苦力活，幫助大家走好這個(gè)鏢?！卑踩珜欳EO馬杰比喻道。

互聯(lián)網(wǎng)金融業(yè)務(wù)豐富，復(fù)雜得就像是一座城堡有無(wú)數(shù)門(mén)窗、無(wú)數(shù)入口。即便你守衛(wèi)好前門(mén)和后門(mén)，仍然不能保證安全，因?yàn)檫€有天臺(tái)、地下室等各個(gè)渠道可以潛入?；ヂ?lián)網(wǎng)金融的安全風(fēng)險(xiǎn)包括資金安全威脅、用戶(hù)信息安全風(fēng)險(xiǎn)、黑客勒索攻擊甚至同業(yè)惡意競(jìng)爭(zhēng)等多方面。

“安全不是商業(yè)模式，但是沒(méi)有安全就沒(méi)有商業(yè)模式。沒(méi)有信息安全作保障，一切創(chuàng)新都將成為泡影?！瘪R杰認(rèn)為，安全風(fēng)險(xiǎn)無(wú)處不在，它可以全方位影響一個(gè)公司的運(yùn)營(yíng)。

像黑客一樣思考

據(jù)世界反黑客組織透露，在很長(zhǎng)一段時(shí)間內(nèi)，P2P網(wǎng)貸平臺(tái)仍將是全球黑客攻擊的首要目標(biāo)，安全已成為其最致命的風(fēng)險(xiǎn)。2014年，有近100余家P2P行業(yè)平臺(tái)遭受攻擊，其中不乏有因黑客攻擊而癱瘓的P2P行業(yè)平臺(tái)。

2014年1月9日，人人貸宣布獲得1.3億美元融資的話音才落，官網(wǎng)隨即遭到黑客攻擊，從1月8日晚間起一度無(wú)法訪問(wèn)。人人貸的安全服務(wù)提供方正是安全寶，當(dāng)時(shí)安全寶方面稱(chēng)，已經(jīng)通過(guò)技術(shù)手段追蹤并聯(lián)系到了黑客，該黑客承認(rèn)受到人人貸競(jìng)爭(zhēng)對(duì)手的指使，對(duì)其進(jìn)行持續(xù)4天的DDoS攻擊，確保其官網(wǎng)癱瘓，同時(shí)該黑客透露該競(jìng)爭(zhēng)對(duì)手為此次攻擊出價(jià)5萬(wàn)元。在成功發(fā)動(dòng)攻擊后，該黑客曾向人人貸勒索5000元。

據(jù)介紹，DDoS攻擊為流量型攻擊，是指黑客通過(guò)發(fā)送大量訪問(wèn)請(qǐng)求占用大量網(wǎng)絡(luò)資源，來(lái)阻塞網(wǎng)站的網(wǎng)絡(luò)通道，導(dǎo)致網(wǎng)站不能正常訪問(wèn)，但理論上不會(huì)造成數(shù)據(jù)泄露。安全寶相關(guān)技術(shù)人員透露，黑客號(hào)稱(chēng)以每秒40GB的速度沖擊人人貸的服務(wù)器，不過(guò)實(shí)際測(cè)試發(fā)現(xiàn)攻擊流量遠(yuǎn)未達(dá)到這一規(guī)模。

的確，雇傭黑客對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行DDoS攻擊、CC攻擊在互聯(lián)網(wǎng)金融領(lǐng)域早已是公開(kāi)的秘密?！斑@種暴力型流量攻擊目的是讓用戶(hù)無(wú)法訪問(wèn)你的網(wǎng)站，讓你沒(méi)辦法開(kāi)門(mén)做生意。這里面有互相的惡性競(jìng)爭(zhēng)，也有直接來(lái)自黑色產(chǎn)業(yè)鏈的勒索?！瘪R杰說(shuō)。

與傳統(tǒng)金融機(jī)構(gòu)相比，P2P平臺(tái)的安全技術(shù)力量是一塊短板，很多平臺(tái)漏洞較多。黑客的攻擊也讓P2P及相關(guān)的互聯(lián)網(wǎng)金融公司成本驟增。

與黑客交鋒過(guò)的人人貸越發(fā)注重安全問(wèn)題。人人貸副總裁藍(lán)晏翔表示，互聯(lián)網(wǎng)安全威脅一部分來(lái)自于產(chǎn)品本身，比如基礎(chǔ)架構(gòu)、產(chǎn)品研發(fā)和系統(tǒng)運(yùn)維方面，另一部分則來(lái)自于信息安全，包括內(nèi)部和外部信息安全。此外，安全風(fēng)險(xiǎn)還包括金融安全，主要來(lái)自于支付和交易的環(huán)節(jié)，如何識(shí)別出壞的客戶(hù)和具有風(fēng)險(xiǎn)的交易等。

藍(lán)晏翔覺(jué)得，絕大多數(shù)安全問(wèn)題都是源于開(kāi)發(fā)工程師過(guò)度自信，為了盡快更新迭代產(chǎn)品，程序開(kāi)發(fā)之后草率上線，致使很多不起眼的漏洞造成很?chē)?yán)重的后果。

就互聯(lián)網(wǎng)金融行業(yè)的安全水平相對(duì)較低的原因，馬杰認(rèn)為主要表現(xiàn)在：一是安全意識(shí)還不夠，甚至為了提高信息透明度，很多敏感數(shù)據(jù)直接展現(xiàn)出來(lái)了。二是IT技術(shù)薄弱，快速做業(yè)務(wù)而缺乏專(zhuān)業(yè)的安全人才。三是IT基礎(chǔ)架構(gòu)設(shè)計(jì)不盡合理。四是行業(yè)發(fā)展快，系統(tǒng)更新過(guò)程中程序上線前審核不夠嚴(yán)格，漏洞百出。五是運(yùn)維平臺(tái)大都很新，精細(xì)度不夠，沒(méi)有良好的運(yùn)維體系。

針對(duì)互聯(lián)網(wǎng)金融平臺(tái)，安全寶的網(wǎng)站安全服務(wù)貫穿了事前、事中和日常安全維護(hù)。首先是事前檢查網(wǎng)站有沒(méi)有存在漏洞。安全寶的滲透測(cè)試服務(wù)是在用戶(hù)的授權(quán)之下，完全模擬黑客的行為，對(duì)客戶(hù)網(wǎng)站進(jìn)行入侵嘗試。“幫助用戶(hù)理解黑客是如何思考的，比黑客更早發(fā)現(xiàn)問(wèn)題”。另外，網(wǎng)站每天的訪問(wèn)量不小，這里面既有正常的訪問(wèn)，也夾雜有流量型攻擊，“我們幫助大家過(guò)濾掉攻擊訪問(wèn)”。再有，對(duì)黑客的滲透型攻擊進(jìn)行實(shí)時(shí)阻斷。

定制規(guī)劃服務(wù)

現(xiàn)在的安全廠商基本分為產(chǎn)品型和服務(wù)型兩種。產(chǎn)品型公司適合規(guī)模較大，有自己強(qiáng)大運(yùn)維團(tuán)隊(duì)的公司。如果沒(méi)有強(qiáng)大的運(yùn)維團(tuán)隊(duì)，安全產(chǎn)品買(mǎi)回去之后如果用不好，不能及時(shí)更新規(guī)則就成了一個(gè)擺設(shè)。既懂業(yè)務(wù)又懂網(wǎng)絡(luò)安全的人才薪水一年要幾十萬(wàn)元，由此安全成本隨之飆升。而互聯(lián)網(wǎng)金融企業(yè)大多是新創(chuàng)公司，更適合選擇服務(wù)型的安全公司。

在服務(wù)類(lèi)安全廠商中，既有像360一樣提供普適安全服務(wù)的平臺(tái)，也有提供個(gè)性化定制的服務(wù)型企業(yè)。安全寶更傾向于幫助特定的企業(yè)客戶(hù)做好一對(duì)一的服務(wù)。

從創(chuàng)立開(kāi)始，外界對(duì)安全寶的認(rèn)識(shí)一直甚少，其實(shí)它不但是李開(kāi)復(fù)創(chuàng)辦的創(chuàng)新工場(chǎng)唯一安全領(lǐng)域的投資項(xiàng)目，還是中國(guó)目前唯一一家由BAT聯(lián)合投資的安全公司。

安全寶的創(chuàng)始人馬杰是安全領(lǐng)域的老兵，在瑞星做了10年的反病毒工作。10年的經(jīng)歷讓他意識(shí)到——安全用戶(hù)教育的成本是極高的;另外，安全事件自然會(huì)發(fā)生，你只要等著就行了。所以安全寶的策略是把產(chǎn)品做好等著市場(chǎng)自然成熟。比較“幸運(yùn)”的是，從馬杰他們開(kāi)始做安全寶的時(shí)候，安全事故層出不窮，用戶(hù)已經(jīng)意識(shí)到了安全的重要性，到2014年安全事件出現(xiàn)暴漲，“這些事件本身在教育用戶(hù)，我們的任務(wù)是做好服務(wù)，為用戶(hù)提供安全上的保障?！?/p>

與此同時(shí)，基于對(duì)安全產(chǎn)品和行業(yè)發(fā)展趨勢(shì)的判斷，安全寶在誕生之初規(guī)劃了三點(diǎn)發(fā)展路徑：第一是用替身模式代替?zhèn)鹘y(tǒng)的保鏢模式。所謂替身模式就是安全寶作為中間代理，所有的IP地址都指向安全寶，黑客無(wú)法直接看到最終的IP地址。這樣做是因?yàn)榇蠖鄶?shù)安全事故并不是由于黑客攻破了安全設(shè)備，而是繞過(guò)了安全防護(hù)系統(tǒng)。第二，將傳統(tǒng)的軟硬件結(jié)合模式轉(zhuǎn)變?yōu)榛谠频陌踩?wù)模式。第三，為打破傳統(tǒng)設(shè)備同質(zhì)化競(jìng)爭(zhēng)格局，將提升服務(wù)作為贏得客戶(hù)認(rèn)可的重點(diǎn)。“無(wú)論客戶(hù)半夜幾點(diǎn)出問(wèn)題，我們都有人接電話，為用戶(hù)提供應(yīng)急響應(yīng)，實(shí)時(shí)阻斷黑客滲透，為客戶(hù)修復(fù)漏洞和安全隱患?！?/p>

在中國(guó)互聯(lián)網(wǎng)帶寬特別貴，如果想自己買(mǎi)帶寬來(lái)解決流量型攻擊的問(wèn)題，成本很高。安全寶花了大量資金建立了非常大的流量清洗中心，幫助客戶(hù)應(yīng)對(duì)DDoS攻擊，攤薄成本。更多的工作在于日常，安全寶會(huì)每天監(jiān)測(cè)新發(fā)安全事件，升級(jí)規(guī)則并推送到前端服務(wù)上，幫助客戶(hù)過(guò)濾漏洞存在的風(fēng)險(xiǎn)。

為積累自己的技術(shù)和實(shí)力，從2011年成立到2013年，安全寶一直在免費(fèi)做業(yè)務(wù)。2014年一季度正式開(kāi)始面向大客戶(hù)做收費(fèi)業(yè)務(wù)?！爸半m然也把收費(fèi)業(yè)務(wù)公布在網(wǎng)站上，從來(lái)沒(méi)有向用戶(hù)推薦過(guò)，前三年我們的收入很低，基本上沒(méi)有，但在2014年就直接做到幾千萬(wàn)元的收入規(guī)模?！瘪R杰介紹說(shuō)，這一部分收入全部來(lái)自于比較有實(shí)力的互聯(lián)網(wǎng)公司，下一步，安全寶會(huì)將定制化產(chǎn)品的服務(wù)向中小型企業(yè)推廣。

很多互聯(lián)網(wǎng)金融平臺(tái)忙于跑馬圈地，多是在碰到安全事件需要緊急處理時(shí)，才會(huì)想起跟安全廠商合作。馬杰認(rèn)為，2014年發(fā)生了很多的安全事件，也提高了大家的安全重視程度。2015年互聯(lián)網(wǎng)金融行業(yè)的發(fā)展將趨于成熟，企業(yè)在安全和風(fēng)控方面的水平將直接影響用戶(hù)的選擇。