ricky|疫情未决,“魔形女”奇袭( 三 )
这是基于京东多年来"黑灰产"的对抗经验,也是结合行业前沿的安全体系和安全技术,以及零售、物流、数科、保险、健康等各领域积累的安全运营经验。
这里面既有挑战,也有京东这种大体量公司积累起来的经验支撑。“整体上看,这些也是现在的发展趋势之一,让各家公司互联互通、整体开放,一起构筑行业整体的安全生态。”周群说到。
随着京东整个业务体态的发展,从最早全部线上的业务环境,到现在全球规模最大的线下仓配,其中包含的大量电商场景、支付场景、物联网场景、云场景等全维度场景,包括物流体系已经引入越来越多的人工智能等一系列的新技术。从安全战角度来看,京东从过去只需要着眼自体生产网、办公网到现在仓配网、供应链,用户与客户体系,以及行业生态体系。只要用户参与的,有感的,对京东来讲都是防护范围之内。无论是从安全边界、深度、还是广度,京东安全都跟此前不一样。
周群谈到,“京东安全是基于京东的内生安全能力,联手生态伙伴共同打造安全基础设施。本身京东业务场景在国内来看,都属于最上层、最复杂的规模。”
从企业出发,做安全的事情,更像是用一根纵线为所有业务放置了一块背景板。当然从顶层设计来看,应对互联网行业的安全变化是行业可持续发展的内在要求,也是负责任大企应尽的企业义务,这不是别人要大企做,而是企业自己要做。
目前,京东在保护自身各个业务线安全的同时,也将这些安全能力对外赋能,在企业客户那里也沉淀了案例和口碑。现在,京东安全正在与京东各个技术服务业务线合作,一起将安全能力输出给更多的客户和合作伙伴,帮助整个生态提升安全水位。就比如此次漏洞的发现,帮助知名企业修复漏洞,向大众提供检测工具,都是为生态伙伴提供安全支撑。
京东目前正在准备第三条曲线,技术服务于企业数字安全,也是技术赋能于京东整体业务。可以预见的是,企业进场做数字安全服务的事情,并不在于企业能够提供多大的横向产品矩阵,而在于参考企业自身的生态系统,推出更好的服务组合。
“在京东内部,我们不会把风险等级作为单一维度,从安全风险的等级看,它可能是严重、高危、中危、中低危。但是这个风险最终的定级除了技术的危害性之外,其实更多的是参考企业本身的业务承载面。”
“我们毕竟不是纯粹的安全厂商,可以去以技术去彻底定义一个漏洞。我们企业服务的整体策略是,不能打扰企业业务的正常进行,但相应的数据安全的工作要得以保证。”
Ricky从技术角度回应周群的工作, “我们希望扩大互联网的安全边界,对基础设施安全增加更多投入。两年之前,京东内部成立了保护生态数据安全的专门行动,希望可以通过这套数据安全体系,保证流转数据的时候,就完成数据的脱敏、加密等一系列安全工作,进而保护企业核心数据以及用户隐私安全。另一方面针对漏洞挖掘框架,推动框架朝着基于程序分析和人工智能的自动化系统转变,将整个网络安全攻防往自动化、机器化方向发展,这符合整个国际发展的大趋势。”
在魔形女漏洞的发现中,京东的漏洞挖掘框架就发挥了自动制敌的效用 ,框架包含“静”、“动”、“专”三个维度。“静”为基于人工智能的数据流程序分析技术,“动”为基于遗传算法的动态程序测试技术,“专”为基于专家经验的变异分析技术,三者有机结合并互相补充,可对泛IoT设备/系统、App等进行全面而深入的漏洞挖掘和隐私风险发现。仅在今年上半年,京东安全实验室就借助该框架发现了数十个CVE,帮助多个生态伙伴消除了大量风险。
推荐阅读
- 投稿|疫情之下,本土自主设备如何突围?中国制造的投机主义和长期主义
- 在线|他们在北京大兴与世界疫情赛跑 | 钛媒体影像《在线》
- 疫情|性价比最强的iPhone将在3月初发布 iOS 15.4竟然支持戴口罩Face ID?
- 投稿|新年财报“开门红”,谷歌的疫情复苏红利还能吃多久?
- 疫情|我们能否在元宇宙里过年?
- 投稿|直击天津西安影院:票价高、疫情关,几家欢喜几家愁
- 疫情|黑色iPhone13的主观体验
- 疫情|钟南山发布新春祝福视频:新冠肺炎疫情大流行终将过去
- 钛度图闻|就地过年or错峰返乡?一图回顾疫情下的春运图景 | 钛度图闻
- 疫情|苹果iOS 15.4更新,戴口罩都可以秒解锁