3000和 70000,是国内和国际围绕单个平台上聚集的白帽数量的差异,而这背后反映出的是中国白帽遭遇的发展瓶颈及潜力待挖掘的空间,为解决这一问题,阿里巴巴经济体的5家应急响应中心决定联合起来寻找路径。
11月26日,在阿里巴巴西溪园区举行的发布会上,阿里巴巴集团安全部资深总监张玉东、菜鸟安全负责人伊郎、饿了么安全负责人玄句、蚂蚁金服安全生态发展负责人宋宠和阿里云安全总经理肖力共同宣布,ASRC统一平台正式成立。
图说:阿里巴巴集团安全部资深总监张玉东(左一)与菜鸟、饿了么、蚂蚁金服、阿里云的安全负责人共同宣布,ASRC统一平台正式成立
作为连接企业和外部安全白帽的重要桥梁,从2012年开始,国内知名互联网企业开始效仿微软、谷歌等公司,建立自己的SRC(即安全应急响应中心)。ASRC(即阿里安全响应中心)成立于2013年,截至目前已针对漏洞情报搜集等项目总计发放了数百万美元的奖金,并于今年6月宣布启动全球合作伙伴计划(AGP)。
阿里巴巴集团安全部安全专家贤唐表示,国内SRC的大量和分散性、安全技术社区增长的缓慢性等因素都制约着中国白帽的成长,统一平台将实现提交入口和漏洞流转的统一,构建从线上培训课程到顶级认证的全套白帽成长体系,加速中国白帽的成长,最终提升中国网络安全的水位。
此次ASRC统一平台的发布意味着五家SRC实现统一的品牌,也意味着阿里巴巴白帽技术社区品牌的一次大升级。“阿里的业务在多面开花,也有大量的风险需要解决,”阿里巴巴集团安全部资深总监张玉东表示,多家SRC的合作机制很有必要,未来还将持续打造SRC的外部生态能力。
实际上,2018年双11,多家SRC的联合机制已经在运行。据了解,ASRC在双11前夕联合网易、携程、美丽联合等12家SRC进行了为期一个月的保障活动,共收到400多名白帽提交的4000多个外部风险,并迅速清理,有效提升了安全防护能力。
“安全无竞争,只有共同的敌人,”张玉东表示,从全球化视野、国际化能力、算法对抗、白帽群体的技术升级和迭代上,希望多家联合能够有更多的碰撞和产出,真正赋能商业安全。
据不完全统计,黑客每天会对阿里巴巴平台发起4000万次恶意访问。过去一年,阿里巴巴共受到2015次DDoS攻击,最大攻击流量777Gbps,这个数字超过整个杭州城网民同时在线使用的带宽。
在刚刚过去的天猫双11当天,阿里安全技术成功拦截了包括黄牛软件攻击、黑客攻击、DDoS攻击等在内的16亿次恶意攻击,保护 409 亿次用户操作安全。
互联网的迅猛发展势必会让业务场景在未来变得更加复杂,IoT、AI、区块链等新兴产业也暗藏着种种安全风险。阿里生态经济体的体量越来越大,业务也越来越综合,如何才能在如此庞大的经济体中做好风险管理和安全建设,是阿里巴巴集团风险管理事业群一直在探索并践行的问题。
图说:阿里巴巴集团首席风险官郑俊芳在发布会现场讲解ASRC统一平台的理念
“阿里巴巴的目标是打造商业基础设施,用普惠、开放的方式解决社会问题,”阿里巴巴集团首席风险官郑俊芳表示,围绕着全球化、农村和云计算三个战略方向,阿里经济体的成员们将共建ASRC体系,放眼全球、共同成长,更高效地凝聚经济体的力量,为行业赋能。