积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

文章正文
发布时间:2024-07-16 04:54

近几年移动技术的发展出现了新变化。一方面,多设备、全场景下的应用智能互联、大屏流转需求涌现层出不穷;另一方面,隐私合规成为刚需,移动应用需要主动应对合规问题。终端安全始终处于攻防边界的最前沿,这些新变化也给终端安全风险带来了新挑战。

面向新趋势,蚂蚁安全实验室投入研发端边云协同风控技术,将其作为蚂蚁智能风控技术体系 IMAGE 的重要组成部分。近日,蚂蚁终端安全技术负责人万小飞对积淀6年之久的蚂蚁终端安全能力作了全景式介绍,首次揭秘「蚂蚁终端安全立体防区」三层技术架构,并完整分享了基于端边云协同的蚂蚁终端安全风控体系构建思路。

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

以下是万小飞的分享内容:

《面向隐私保护的下一代可信端云协同技术体系探索》

在移动互联网生态发展过程中,终端安全也经历了漫长的发展过程。随着移动互联网业务边界和规模的不断扩大,终端风险变得更分散,更隐蔽,也更具多样性。在多元化的移动生态下,终端安全面临以下几个挑战:

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

第一个挑战,平衡安全和体验。在互联网公司,安全和风控往往本身并不直接创造业务价值或商业收益,而是助力业务发展,为业务健康发展护航。而在护航的过程当中,企业所付出的资源和投入,以及风控给用户带来的打扰,三者如何平衡?随着业务规模的指数级扩大,此类矛盾问题逐步凸显。在今天多元化的移动生态下,风控成本和用户体验的平衡将成为各大公司的首要挑战。

第二个挑战,实现风险前置与精准防控。风控系统在做风险提示时,从登录到交易,在整个链路过程中,我们的防控到底在哪个位置?登录前提醒还是交易过程中提醒?提醒得是否精准?模棱两可的风控决策只会给用户造成更大的困扰。要做到精准识别,对风控来说是非常大的挑战。

第三个挑战,满足数据安全和隐私保护的需求升级。这个变化使安全和风控正在面临颠覆性的冲击。行业有一句俗话说“无数据不风控”,面对国家监管和整个生态对数据隐私、个人信息保护的逐步升级,风控安全和数据获取方面会形成挑战。

综合看来,我们认为近年来互联网安全和风控最大的挑战,是数据的隐私合规和个人信息保护。在此背景下整个互联网安全和风控,尤其是终端安全又是如何演进的?

一、蚂蚁终端安全的三个阶段

针对以上几个核心问题,我将重点分享蚂蚁终端安全如何持续升级对抗和治理体系。从总体来讲,整个过程分为三个阶段:

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

第一个阶段,升级终端攻防对抗。这是大家对于传统终端安全最直接的理解。随着移动互联网兴起,诞生了移动安全;继而随着风险形态的演进,逐渐进化到终端安全。

今天我们所谈的终端安全,并没有特别官方的定义。我的理解是,在业务实践中,将发生在终端设备(包括IoT设备、手机设备等泛终端,同时涵盖了Web时代H5网页这一端)上的风险和安全问题定义成终端安全。终端风险发生在业务的最前端,此类风险最大的特点,是具有强攻防对抗属性。

端上的攻防对抗有很多场景,比如通过注入和定制rom,来达到篡改人脸摄像头等原数据;通过篡改关键信息从而达到篡改设备身份的目的,最后实现业务上的欺骗。所以早期阶段,我们通过不断增强端上的对抗能力,实现业务的第一层防护,这也是终端安全必须做好的本职工作。

第二个阶段,探索端云协同阶段。端云协同是在Edge Computing(边缘计算)思想的影响下,利用端云各自的优势在安全风控上的一个创新,整体来看也经历几个阶段的发展。

1. 端云协同的第一阶段,探索的依然是安全与体验的平衡问题。为了保障业务安全,在云端的计算消耗大量计算资源,通常和业务规模和复杂度成正比。但典型的在互联网尤其是电商行业的大促活动中,网络流量会出现爆发式的增长,根据日常流量设计的机器容量和防控策略在面对流量爆发有两种选择,直接放过,或增加机器以应对流量洪峰。由于大促周期通常不长,后一种策略会产生极大的资源浪费。

今年是天猫双十一大促的第14年。前些年我们也碰到过这种问题,到了2016年,我们开始探索将云端的部分计算下放到端上。我们的一个发现是,终端计算能力基本上可以顶得上3年前的 PC 计算能力。然而,如果决策都下放到端上,信息的不对称性被打破,会增加防控难度。所以选择哪些计算、策略模型去下放,我们有一套非常严格的论证标准和端上防护体系保驾护航。

2. 端云协同的第二阶段,是随着小程序生态兴起而发展起来的。很多商户把小程序当成类似浏览器的展示平台,业务逻辑和数据在自己的服务器上,并不经过蚂蚁的云端风控系统。在这个背景下,我们开始在端上构建小程序的风险治理体系,来保障我们平台上的小程序安全,端云协同的联合风控模式开始出现。

3. 端云协同的第三阶段,是在近年来国家对数据隐私的管控升级背景下发展起来的。云端的风险治理,仅基于端内信息往往不足够,我们可以通过在端上构建一些模型,刻画用户行为;在数据并不出端的情况下,完成对风险的识别和治理。

第三个阶段,推进终端可信阶段。APP搭载在终端,我们所能获取的权限以及所能看到的世界是非常狭隘的。终端在用户手里(当然也在黑产分子手里),黑产分子通过终端看到的视角比APP上多很多,可以通过定制硬件设备以及操作系统,获取的更为宽泛的权限和信息,可谓是“上帝视角”。因此整个防控过程当中,攻守方处于极度不平衡的状态,防控相对被动,被别人追着打。这个过程中,互联网风控唯一的优势,就是防控体系是在云端,会有信息不对称带来的优势。

举几个简单的例子,移动安全领域常见的设备篡改、虚假设备使用比如像模拟器等,对于互联网厂商而言,如果通过大数据各种方式去识别这种风险,就非常被动,即使识别出,黑产会有各种各样的方式绕过你。然而对于设备认证以及真假设备识别,互联网厂商是有非常强劲的手段保证最原始的可信。

再举一个例子,在基于LBS的业务防控中,比如说我们希望用户去商店扫一个码就会得到礼券,但如果无法正确获取到设备的位置,此类营销活动就会面临很大的冲击。目前设备位置的获取成为一个隐私问题,互联网公司面对这类风险很被动;反观设备厂商,在这一点上很容易实现。厂商可以不透传真实位置是什么,但是告诉APP这个位置的真实性是否被篡改过。

我们把终端的安全能力做了比较大的抽象,通俗来讲,和终端厂商合作保证从终端发起的请求是「真实的用户,在真实的设备上,带着真实的目的,发出的真实请求」。对应的就是身份可信,设备可信,环境可信,请求可信。基本上实现了这几点,整个终端安全基础就得到了保障。有一大批风险都跟这几个可信相关,像黄牛通过技术手段对茅台抢购、演唱会抢票秒杀,本身可能是一个恶意的请求,即这个请求不是从终端设备发起的请求,而是通过脚本、接口直接调用。

请求不可信会带来如数据爬虫、数据泄露,造成秒杀带来的业务结果不公平。因此,终端安全必须保证几个比较基础的安全可信,云端风控可以将更多的精力聚焦在业务相关的防控,而不是这些基础的防控上。

作为传统基于数据的风控模式的补充,我们当时把思路投向了手机厂商,通过和手机厂商合作,构建软硬结合的安全基础设施。可信中间件AntDTX是在这个思路和理念下的一个具体探索。

二、蚂蚁终端立体防控体系技术架构的演进

从业务流量流动的视角,我们根据蚂蚁集团副总裁兼首席技术安全官韦韬首创的安全平行切面架构思想,将整个互联网风控分成了几大防区。流量从移动终端开始,经过APP发出业务请求,进入网关,最后进入到业务服务器;对应地我们也将防控分为几个防区:

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

最下面的防区,我们把它定义成前面提到的和生态手机厂商合作的生态防区;往上,就进入我们的APP防区;流量请求从APP发出会进入各自互联网公司的网关,进入流量层防区;再往上,就进入到各大互联网公司业务的服务器,我们定义为云端的防区。在整个探索过程中,我们逐步形成了端边云的立体防控体系,今天我们在整个蚂蚁安全风控体系的99%场景里都部署了这套立体化防控体系。

整个端边云立体的防控体系,在技术架构中,被分成三大作战区:

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

 “端”作战区,核心思路是通过软硬结合的方式,加固可信终端,来实现业务的第0环和第1环的防护。在端作战区,有三个显著特点:

第一个特点是动态对抗。黑产比我们快,攻防的迭代和升级过程当中不可避免会面临版本发布。APP版本的发布都会有一定的周期,黑产会利用发布周期造成的版本碎片化,达到攻击目的。所以我们探索了动态对抗机制,动态和策略体系随着黑产的变化去调整。

第二个特点是无感接入。互联网风控大部分都是事件驱动和事件接入的模式,在哪个业务点防控我们就去埋相应的点,防控对整个业务侵入性是比较大的。我一直在思考,如何实现防控对业务的「无感化与无侵入」。这也是业务最想看到的,你保护我可以,但别天天打扰我。怎么实现无感的介入?通常互联网APP是一系列互联网请求组成打包的东西。对互联网业务来讲最小的力度就是业务请求、业务调用,也被称为RPC。我们通过对设备和RPC染色,构建设备和请求的DNA,从而实现在各个业务点的请求做无感的插入和埋点,这样在整个客户端就不需要针对各个业务场景做埋点。

第三个特点是软硬结合。防区从APP深入到整个系统、硬件可信终端。这是整个端治理的体系过程中做的探索。

“边”作战区,业务请求离开APP进入接入层,也就是边。通常各类风险数据泄露的数据爬虫、传统的攻击,都是发生在这个区域。在边这一块的防控体系,我们会对每个业务请求做一个卡口、管控。业务请求会带着端上带来的可信信息。这些信息有的是端上做的风险识别,有的是云端计算下发下去的。这些业务请求到达“边”时,整个网关层会做精准的防控和管控。

大家也能看到“边”的作战区更多的像一个引擎,在探索的过程中,我们将端和边做了深度融合,在到达业务层之前做第一道风险过滤。这一层的风险独立于具体的业务形态,更多是通用恶意流量的防控。比如,虽然还不知道你在云端打算干什么坏事,但已经提前判断你是坏人了。    

“云”作战区,流量流到各自云端业务系统时会对应不同的业务风险,在前置“端边”还识别不出风险时,进入到云端的风险防控体系做进一步深度化、精细化的风险识别和决策。

在整个过程中,端边云立体防控体系核心在于,风险在哪儿发生,就在哪儿进行阻断,突破了过往所有风险汇合到云端做统一处理的传统模式,解决了业务防控准确性和及时性,也节省了人力和资源。

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

在生态防区的探索过程中,我们联合生态伙伴,发布了基于软硬结合的终端可信中间件AntDTX。所谓的“软”就是传统终端安全以安全SDK为载体的防护体系;“硬”是利用了终端设备的硬件特性,借助TEE可信环境,可信存储、可信机密计算的硬件体系去真正达到加固终端的步骤。

AntDTX致力于构建终端安全和风控的基础设施,提供可信计算、可信存储、可信模型推导、生物特征存储和保护、一机一密等基础保障,为面向未来的业务探索提供安全基础服务。当前的探索过程中,我们主要把应用定义在三个方向上。

第一个方向,风险治理。我们今天在做类似反欺诈、反赌博业务时,依靠云端无法实现根源问题的解决。在端上构建软硬结合的可信中间件,实现了在无需用户数据出端的前提下,在端上实现风险识别及用户行为刻画。

第二个方向,可信存储。在今天大环境背景下,整个移动设备和用户个人身份是强绑定的。从早期的指纹支付、人脸支付、出门扫健康码、手机银行、电子围栏,到近期的数字车钥匙、数字门钥匙等新兴场景,很大程度上移动终端设备已经和用户个人身份强绑定。由此衍生出来最大的诉求就是可信存储,一机一密,可信计算等。

第三个方向,AIoT。我们都知道今天一些区块链场景和IoT场景里,涉及类似于数据的可信获取、可信上链,本质上是利用了底层可信的存储和计算能力等,来达到数据的可靠移动。

AntDTX是我们在安全探索上的一个创新,我们希望通过发起相关的标准,唤起硬件厂商和硬件生态重视。互联网生态对终端安全的强诉求,需要通过软件、硬件,包括蚂蚁开发的可信中间件的逐步标准化、开源化,实现整个生态协同,各方共同投入到这个体系的建设中来。从价值上来讲,这些东西对整个生态以及各家APP厂商都是有价值的,它所解决的问题是我们APP厂商共同面临的问题。

今天不同的APP厂商都在花很大的精力,各自独立去解决这些共性的问题。我们希望通过AntDTX,能够开启端原生可信和共享安全的旅程,去唤起整个生态的重视,将各自的风险合并同类项,大家协力把这一块基础设施的建设缩到最小的范围,以实现面向所有APP厂商的通用型服务。核心目的,是把与业务无关的风险沉淀在一起,通过整合模式集中解决。

三、终端安全的未来趋势

积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘

最后想跟大家分享,基于我在蚂蚁终端安全的实践探索,我对未来终端安全技术方向和趋势的一点思考。

首先,不可避免的隐私严格化。不管是APP厂商、硬件厂商还是整个国家的法律法规,对这一块只有逐步趋严没有放松的迹象。

第二,风险对抗动态化。比如现在网页的恶意内容已经实现了根据人群特点动态呈现,比如会根据性别、城市、地理位置、场景差异做用户区分,实现差异化动态展示,这给内容安全防控带来了极大挑战。

第三,流量入口多样化。APP域外风险显著提升,类似小程序的风险,严格意义上来讲更应该商户自己去负责,但基于业务服务器上的风险归属问题,我们认为更多的风险会发生在APP域外。

第四,更多风险在端上治理。不管是从成本的角度还是从隐私合规的角度,更多的风险不再单纯依赖云端的治理体系,会联合端上做综合的治理。

第五,端原生可信逐渐成为行业标准。我们和手机厂商寻求合作时,希望能够产生原生可信的终端安全基础设施,供各家互联网APP厂商去使用。原生可信或将成为端上安全基础设施和行业标准。

第六,可信终端设备,可能会成为整个数字世界里新的身份认证手段。不管是指纹还是未来基于其他生物特征的身份认证手段,都将推动可信移动终端成为互联网用户在整个数字世界里新的身份象征。

雷峰网版权文章,未经授权禁止转载。详情见转载须知。

首页
评论
分享
Top