「厨师」与「黑客」
做安全攻防,也如同做菜。以前他不会做酱牛肉,就琢磨,到底应该放多少盐?为什么要放这么多?最后像是黑客发现了新漏洞那样得出结论:如果是用高压锅,熟得快,盐就要多放,不然很难入味;如果用普通的锅,细火慢炖,盐自然要少放;酱牛肉要是做成菜,得加佐料的因素也要考虑进去。最佳的放盐量,与安全体系的最优化状态是一样的,为了追求这个目标,他能琢磨一整天。
文| 临安
编辑| 陆英
做安全攻防,也如同做菜
纳池管做菜叫「做实验」。
菜谱看一遍,记在心里,就扔在一边了。重要的是清楚背后的原理。用高压锅还是普通锅,加10克盐还是20克盐,把这其中的道理想明白了,就能开始「实验」了。
7月份的时候,他学做肉夹馍,到了和面环节,面多了他就加水,水多了就加面,一共加了3次水,4次面,最后和出来的面团有他的头那么大。「你别说,还挺好吃。」他颇为满意。于是,蚂蚁基础安全部的小伙伴们就又有吃的了。
就连他的花名都和吃有关。「纳池」,谐音是「哪吃」。做安全攻防,也如同做菜。以前他不会做酱牛肉,就琢磨,到底应该放多少盐?为什么要放这么多?最后像是黑客发现了新漏洞那样得出结论:如果是用高压锅,熟得快,盐就要多放,不然很难入味;如果用普通的锅,细火慢炖,盐自然要少放;酱牛肉要是做成菜,得加佐料的因素也要考虑进去。最佳的放盐量,与安全体系的最优化状态是一样的,为了追求这个目标,他能琢磨一整天。
他也热衷于靠自己探究出新的办法。9岁的时候家里刚刚买了电脑,趁着周末,纳池就开始尝试在学校微机课上学不到的新玩法,结果没过多长时间,电脑就无法开机了。
那是2001年,在当时的纳池眼里,电脑还是个很贵又很高精尖的东西,他跑到电脑城想了解如何重装系统,结果卖家没解释几句就卖给他一张重装盘,「我就自己去研究,反正什么都不懂,就把它插进去,各种导入导入,最后也把系统装好了。」
自此,纳池开始了和电脑交缠的日子。对现在的他来说,世间最不可辜负的事和最想探究的领域里,美食和安全技术肯定名列其中。为什么这道菜要这么做,和为什么这个安全机制要那样设计,是同样值得深入思考的问题。
这些关于安全攻防的思考,从9岁一直延续到现在。如今27岁的纳池,作为蚂蚁客户端安全负责人,带领了一支90后团队,抵御来自各处的网络安全攻击。对他来说,能做自己喜欢且认可的事情,就是相当愉快的体验。
纳池
在虚拟的数字世界里,来自外界的攻击每天都在发生。
这些攻击发生在冰山的海平面之下,普通人看不见。往往只有纳池所在的专业安全团队才能够知晓。这其中既有安全技术爱好者的好奇尝试,也有来自国内外专业黑灰产团队的高强度攻击。纳池的主要工作之一,就是不断提升自身系统的安全能力,感知并拦截这些攻击。
这不是件容易事。许多互联网安全圈之外的人往往会忽略一个关键事实:漏洞是无穷无尽的。「没有绝对完美的系统。」纳池说。随着技术的不断跃迁,总是会有新的安全漏洞和风险被挖掘和揭示。这就像是为什么Windows的系统补丁总是永远也打不完一样,纳池的「敌人们」也无穷无尽。
随着阿里自身安全防御能力的不断提升,大部分的攻击,甚至不需要人为操作就能被防御住了。真正需要在意的,是那些伪装得极好,像是正常访问,但实则怀有恶意的狡猾攻击者。
纳池对付这些有自己的章法,也用技术赢得了同事们的认可和信赖。比如阿里基础安全部的姚尧,第一次见到纳池还有些不以为然。
那会儿纳池头发偏长,「白白胖胖的,干干净净的,看起来不太像技术宅」,结果——日子她记得很清楚——2019年7月8号,在做攻击分析时,纳池的各种规则和算法的调优,把她惊呆了。
而且,在互联网安全领域,面临的许多问题都是全新的,在全球范围内几乎没有经验可以借鉴,但纳池依然能靠着他那天马行空的想象力和刨根问底的性格找到那个「解」。
「他是个天才。」姚尧总结。
纳池的乐趣就像是在一座城池里构建防御工事,当「敌人」把火力对准到薄弱点,他会在巨大的压力和没有前例的困境里,短时间内把漏洞修补好,把城墙建得更加牢固。
头像是个女生的「黑客」
纳池承认,「黑客」的称呼很酷。但作为网络空间的安全守护者,和阿里这个庞然大物体内的免疫系统,他更喜欢「安全研究人员」的称呼。他的常用头像还是Ada,诗人拜伦之女,世界上公认的第一名程序员,一名英年早逝的才女。
他努力使自己更加低调一些。在一个充满对抗的环境中,多做永远要比多说重要的多。
从小到大,「黑客」这个身份带给他过成就感。初中的时候,他们班上有台放PPT的电脑,经常坏,纳池凭借一手修电脑的技术成为了班上的电脑达人。那时还是2003年前后,淘宝网刚刚诞生,马云还在发愁怎么说服商家进驻。纳池当时常做的一件事,就是当着同学的面「黑」进他们的电脑,留下「到此一游」。
以至于班主任的电脑中病毒了,第一时间想到的,也是找纳池来修。为此,纳池也吃过不少顿班主任亲自下厨做的饭。
修电脑其实也有捷径,就是直接重装系统,可不到万不得已,纳池不会选择这一条路。对于他来说,这意味着对病毒缴械投降,是一种失败。纳池一定会尝试把背后的原理弄明白。安全行业有个专业的大会,叫做HITB——hack in the box,他很喜欢这句话,「就是你看到的世上万物,不光是电脑,它们对你来说都是一个黑盒子,虽然你会跟它交互,但你不知道里面是什么,这个黑盒子就不断地吸引你去研究它。」
black hat Europe大会现场 纳池正在分享议题
切面防御
这个「黑盒子」一直都装在纳池心里。
从高考选专业,到进入阿里蚂蚁集团的安全部门,长久以来驱动他前进的也是对打开黑盒子的执着。选专业那一天,他是对比着网上的专业排名定的学校。信息安全在2010年还是个冷门专业,为了这个专业,他也放弃了别人眼中更好的学校。
与《人物》的整个对话里,纳池一直比较谦虚低调,可早在大学时,他就是学校科学技术协会的主席,在攻防比赛中,总能找到最多的漏洞。毕业那年,数家Top公司来学校招人,他全投了简历。
阿里的笔试在南京大学,几百人坐满了一个大报告厅。100分钟,答20道题目,每一道都很硬核,有的是给你一段代码,让你发现其中的漏洞,有的是让人描述一段安全机制的原理。
他几乎拿下了所有心仪公司的offer,站在就业的十字路口上,纳池挺幸运。那一年,在阿里学长们的安利下,他选择了阿里。当时,阿里的余额宝在社会上大火,纳池也很感兴趣,「没想到金融行业搭上互联网的车,能有这么多玩法,能为用户带来这么多的价值」。也是在那一段时间,阿里把研究生和本科生放在同一个level来招,「只要你有能力,待遇都是一样,这说明阿里真正重视的是个人实力,非凡人做非凡事。」
「虽然我现在说起来给人的感觉很奇妙,但我真的被阿里的使命吸引——让天下没有难做的生意。」
6年之后,纳池已成长为蚂蚁客户端安全攻防负责人。对于年轻管理者是否受到挑战的问题,他也不太担心。「这里不讲究论资排辈,只要能解决难题,能在自己的领域拿到成果,尤其是世界级别的影响力,就能获得机会。」
在最近的一年多时间里,他牵头多个团队研发的「移动端切面防御体系」,让支付宝的用户隐私保护又上了一个新台阶。在构建强大防御系统的同时,为了降低安全机制对用户体验产生的影响,他们还做了非常多的努力,「如果你加了这么一个防御体系,导致支付宝的整体打开速度慢了一秒,那么支付宝12亿用户,你就耽误了全社会的12亿秒。」
响应速度的优化,要以毫秒计算,每一毫秒的速度提升,都是一次新的突破。就像卤牛肉的最佳盐份比例,纳池一定要优化到最极限,「搭载这个防御体系之后,打开速度几乎不受到影响。」
用蚂蚁集团副总裁韦韬的话说,「在如今业务的复杂性爆炸的时代,这套系统能够独立、高效、精确的,在应用内部直接检测和阻断各种复杂攻击」,就像是应用软件中的弹道导弹防御系统。
不过,毫秒的短暂和微小,也同时意味着,他们所做的事情用户几乎感知不到。就连他的家人都不知道他工作的具体内容。纳池和他的同事们是像影子一样,是用户背后默默的守护者。
2018年来,他作为蚂蚁集团安全研究人员的代表,多次带领团队在Blackhat、RSA Conference 等全球顶尖的网络安全大会上分享他们的研究成果。而这些凝聚了他和团队多年的技术积累和创新的成果,也在国内外申请到了数十项技术专利。
这些为了用户造就出的安全黑科技,也让全世界的技术大牛们,都记住了阿里和蚂蚁为用户安全所付出的努力。
没看够?
长按二维码关注《人物》微信公号
更多精彩的故事在等着你
