3月 22 日，雷鋒網(wǎng)編輯見(jiàn)到了京東安全掌門(mén)人 Tony Lee，那天，是他加入京東的第 571 天。

歷經(jīng)賽門(mén)鐵克、微軟后，2011年，Tony 從美國(guó)歸來(lái)，創(chuàng)建了安全寶，直至安全寶的大部分業(yè)務(wù)被百度收購(gòu)，Tony 成了百度云安全首席架構(gòu)師 。但是，一年多后，Tony 的陣地就轉(zhuǎn)向了京東。其中只有一個(gè)原因，Tony 說(shuō)，他在尋找一個(gè)最激烈的戰(zhàn)場(chǎng)。

對(duì)行業(yè)發(fā)展失望

“縱觀行業(yè)過(guò)去20年的發(fā)展，安全博弈是不成功的，來(lái)到京東，我想是不是可以做點(diǎn)事情，能夠真正解決一些問(wèn)題?！?/p>

Tony 對(duì)安全行業(yè)的現(xiàn)狀有些失望。

首先，大公司靠著長(zhǎng)年積累和投入，建立了安全能力，有話語(yǔ)權(quán)，但小公司卻沒(méi)有這種安全能力，在“一視同仁”的信息安全威脅前，顯然小公司處于劣勢(shì)。其次，市場(chǎng)提供的安全服務(wù)大多是單點(diǎn)建設(shè)，并不能完全解決一個(gè)企業(yè)面臨的安全問(wèn)題。

Tony 認(rèn)為，國(guó)外的開(kāi)源氛圍濃厚，國(guó)內(nèi)雖有少量大公司在安全開(kāi)源技術(shù)上有所涉獵，但遠(yuǎn)遠(yuǎn)不足，他希冀的是，一個(gè)在安全上有所需求的企業(yè)能在開(kāi)源平臺(tái)（技術(shù)）上進(jìn)行定制，就能適應(yīng)企業(yè)自己的框架和需求。

比如，TensorFlow 最初由谷歌大腦小組的研究員和工程師們開(kāi)發(fā)出來(lái)，用于機(jī)器學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)方面的研究，但這個(gè)系統(tǒng)的通用性使其也可廣泛用于其他計(jì)算領(lǐng)域。

他希望可以在京東提煉出一種安全能力，無(wú)論最終以怎樣的形式呈現(xiàn)，對(duì)安全行業(yè)發(fā)展產(chǎn)生影響。“對(duì)京東來(lái)說(shuō)，我們并不靠賣(mài)技術(shù)賺錢(qián)。很多公司靠做技術(shù)賣(mài)一個(gè)東西給你，我們更崇尚的是對(duì)互聯(lián)網(wǎng)的貢獻(xiàn)和影響力?！?/strong>

尋找最激烈的戰(zhàn)場(chǎng)

但是，這事為什么在百度或其他地方不能做，卻被他認(rèn)定可以在京東完成？

年少的 Tony 喜歡守在電視機(jī)前，看美國(guó)電視臺(tái) CSPAN 專門(mén)播放國(guó)外辯論。他一看就是幾個(gè)小時(shí)，因?yàn)椤坝幸恍┤伺c生俱來(lái)對(duì)一些東西比較有傾向性，他對(duì)終極意義的東西比較感興趣”。Tony 覺(jué)得，從終極問(wèn)題可以倒推事情的本來(lái)面目，從而可以找到自己的路徑。也因此，Tony 不會(huì)繼續(xù)滿足于在相對(duì)成熟的平臺(tái)工作，他想要的是從 0 開(kāi)始，披荊斬棘。

如果去一個(gè)相對(duì)成熟的平臺(tái)，什么都很光鮮，看上去很專業(yè)。但是，這都建立在前人的成就上，所面臨的問(wèn)題也更固化。而安全行業(yè)，穩(wěn)定就意味錯(cuò)失很多問(wèn)題和戰(zhàn)斗的機(jī)會(huì)——沒(méi)有經(jīng)歷大量的戰(zhàn)斗，無(wú)法培養(yǎng)出以一敵百的力量。

Tony 認(rèn)為，他找到了理想的戰(zhàn)斗地：“因?yàn)榫〇|現(xiàn)在就是一個(gè)最大的盤(pán)子，海量的數(shù)據(jù)和豐富的業(yè)務(wù)場(chǎng)景，會(huì)面臨各種各樣的問(wèn)題，數(shù)據(jù)安全、IoT安全、AI安全、賬號(hào)安全、業(yè)務(wù)安全等，而隨著無(wú)界零售等新業(yè)務(wù)模式的飛速發(fā)展，在這里還可能遇上你不曾想到的最前沿、規(guī)模最大、最激烈的安全問(wèn)題，就跟打仗一樣，最激烈的戰(zhàn)場(chǎng)就在這里?！?/strong>

建立不甘平庸的“安全軍隊(duì)”

Tony 入局京東時(shí)，就在尋找“創(chuàng)造先行”的人。每面試一個(gè)人，他都會(huì)問(wèn)對(duì)方：“你愿意從 0 開(kāi)始和我做起來(lái)嗎？”

這個(gè)問(wèn)題，Tony 問(wèn)了很多人。

組建團(tuán)隊(duì)的過(guò)程并不容易。一是人就這么多，二是京東龐大的業(yè)務(wù)安全的戰(zhàn)場(chǎng)就在這里，來(lái)的人和這個(gè)新生團(tuán)隊(duì)都要在短時(shí)間內(nèi)扛住壓力，直面這個(gè)已經(jīng)存在的戰(zhàn)場(chǎng)——無(wú)數(shù)安全威脅盯著的電商帝國(guó)。

首先，這類(lèi)安全人才本來(lái)就很稀缺。

Tony 尋找的真正做安全的人需要有逆向思維，“Think outside the box”，這種人不多，幾年之前，學(xué)校甚至都沒(méi)有相關(guān)信息安全專業(yè)，正規(guī)的安全訓(xùn)練是缺失的。現(xiàn)在，很多從事安全行業(yè)的人才其實(shí)是安全愛(ài)好者，從初中、高中開(kāi)始就對(duì)這個(gè)行業(yè)傾注了心力，但是堅(jiān)持下來(lái)的人不多。Tony 希望，具備這種思維、真正熱愛(ài)安全的人能跟隨自己“內(nèi)心的聲音”，像保存火種一般加入這個(gè)“軍隊(duì)”中來(lái)。

其次，適合甲方業(yè)務(wù)安全的人才更稀缺。

雷鋒網(wǎng)編輯和阿里安全曾經(jīng)的掌門(mén)人陳樹(shù)華有過(guò)一次對(duì)話，這位同樣身處電商帝國(guó)的 P10 級(jí)牛人感嘆，對(duì)電商帝國(guó)的老板們而言，他們關(guān)心的從來(lái)不是網(wǎng)站有沒(méi)有被 DDoS，而是今天的店鋪是否正常，首發(fā)的手機(jī)有沒(méi)有被羊毛黨薅走，這是這些公司至關(guān)重要的業(yè)務(wù)安全點(diǎn)，這樣的安全都是圍繞業(yè)務(wù)做。

“業(yè)務(wù)安全是業(yè)務(wù)擺在前面，不是安全業(yè)務(wù)，所以要懂業(yè)務(wù)，今天懂業(yè)務(wù)的在哪兒？誰(shuí)懂業(yè)務(wù)呢？”陳樹(shù)華說(shuō)。

還有一位甲方業(yè)務(wù)安全負(fù)責(zé)人曾說(shuō)，他費(fèi)了好大力氣才把從乙方企業(yè)招來(lái)的安全人員一個(gè)個(gè)培養(yǎng)成甲方所需要的人。

“很多人在乙方公司做安全產(chǎn)品，轉(zhuǎn)到甲方還可以做些技術(shù)，但有多少人能在甲方公司把甲方安全做好？甲方安全人才不是一般的缺失?！盩ony 說(shuō)。 

相應(yīng)的管理人才就更少了。

Tony Lee 大學(xué)學(xué)的電子工程與計(jì)算機(jī)，后來(lái)又取得了相關(guān)碩士學(xué)位，主攻數(shù)據(jù)挖掘，還算“搭邊”，“美國(guó)很多安全負(fù)責(zé)人甚至是音樂(lè)、律師出身，可以看出這種稀缺性?！?/p>

Tony 一邊尋找在技術(shù)、管理能力上與之相匹配的人，一邊“要求很高”。 他曾經(jīng)把一封內(nèi)部郵件轉(zhuǎn)給京東安全的所有人，希望大家都有“拒絕做螺絲釘”的意識(shí)。

“螺絲釘來(lái)這里會(huì)很難受，因?yàn)槲覀兛偸且笏@個(gè)你為什么不做，那個(gè)我們要管的，你趕緊上啊，你坐著干嘛？” Tony 時(shí)時(shí)刻刻都有從 0 開(kāi)始的創(chuàng)業(yè)緊迫感，他要求，加入這個(gè)團(tuán)隊(duì)的人要有“主人公”意識(shí)，不是你的事你也愿意去管。

直到京東安全的人數(shù)比開(kāi)始時(shí)翻了 5 倍，Tony 稍微松了一口氣。

戰(zhàn)斗在最前沿

“軍隊(duì)”和“戰(zhàn)場(chǎng)”都有了，Tony 不滿于現(xiàn)狀，他想要戰(zhàn)斗在最前沿，通過(guò)追溯問(wèn)題本源，來(lái)發(fā)現(xiàn)解決問(wèn)題的路徑。

這也是他慣有問(wèn)題倒推思路。為什么會(huì)有安全問(wèn)題？弱點(diǎn)跟風(fēng)險(xiǎn)起源在什么地方。如果存在漏洞，漏洞又從哪兒來(lái)？是不是在前期研發(fā)、設(shè)計(jì)考慮的時(shí)候不夠周全？他希望，從源頭上提升京東安全的水平。

保障源頭安全能力是基礎(chǔ)，在“行軍”過(guò)程中又要根據(jù)戰(zhàn)勢(shì)及時(shí)調(diào)整戰(zhàn)術(shù)。因此，更要關(guān)注安全與京東業(yè)務(wù)的貼合：首先是保衛(wèi)核心數(shù)據(jù)安全，這是底線。他還看無(wú)界容錯(cuò)，關(guān)注大量數(shù)據(jù)交換的安全指數(shù)。比如京東關(guān)注的智能家居，物流里的無(wú)人機(jī)、無(wú)人車(chē)、無(wú)人倉(cāng)儲(chǔ)等新技術(shù)是否足夠安全？

除此，數(shù)據(jù)挖掘背景出身的 Tony Lee 自然很在乎數(shù)據(jù)。他想構(gòu)建出如 TensorFlow 一般威力的平臺(tái)、框架，或者輸出智能安全能力。

“intelligence”可能是他要做的事情的精準(zhǔn)“定義”。一方面，它代表“智力”，一方面，它強(qiáng)調(diào)“情報(bào)”，而情報(bào)背后就是數(shù)據(jù)。

因此，他在京東主推了一項(xiàng)基于硬件加密的數(shù)據(jù)加密加速技術(shù)，希冀能滿足“京東業(yè)務(wù)體量所要求的性能和穩(wěn)定性極高的要求”，同時(shí)發(fā)揮京東的數(shù)據(jù)優(yōu)勢(shì)，在不觸碰用戶隱私的前提下 ，促成客戶相關(guān)項(xiàng)目的合作。

而面對(duì)就在眼前的“戰(zhàn)火”，他繼續(xù)推進(jìn)應(yīng)用在風(fēng)控中的人機(jī)識(shí)技術(shù)，提升在反薅羊毛的整個(gè)鏈條上的攻防能力和大數(shù)據(jù)分析能力。

為了做“IoT 安全”，找到硬件的風(fēng)險(xiǎn)點(diǎn)，他推動(dòng)國(guó)外高校研究機(jī)構(gòu)與京東合作，開(kāi)發(fā)基于硬件層的自動(dòng)化 Fuzz 工具。

去年 12 月，京東安全峰會(huì)上， Tony Lee 宣布京東將成立安全攻防實(shí)驗(yàn)室，聚焦智能化、人工智能、IoT、云安全。今年，他的目標(biāo)又?jǐn)U充了一些，除了美國(guó)的京東安全研究院，他想在中國(guó)也成立一個(gè)研究院。

這個(gè)不安于行業(yè)現(xiàn)狀的掌門(mén)人在京東朝前走了 571 天，他還將繼續(xù)向前，站在最激烈的安全戰(zhàn)場(chǎng)前沿。

雷鋒網(wǎng)原創(chuàng)文章。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。