以下为现场速记。

 

饿了么 安全风控主管 王彬

 

王彬：大家好，我是饿了么的王彬，我们是一家小公司，跟苏宁这些大企业比不能比。但是我们希望在今天的一些沟通当中，能够帮大家去了解一下，我们现在IT安全和风险控制跟大家有什么关系，这是第一点。第二，如果以后大家在转型过程当中，有任何的问题都可以跟我们交流，我们有一些小Tips跟大家分享一下。

 

最近很多人都在说要做安全，那么安全好不好做，这是一个很大的问题。可能各位都是CIO，级别比较高。但是刚才跟听云张总说的一样，企业要很好地存活下去，跟安全是有关系的。简单说一下安全的一些现状，说安全大家肯定会联想到一个东西，叫黑客、白客。在很早以前，大概2000年不到我做安全的时候，安全是一个体现技术性能力的东西。我的技术很牛，我能把你的网站给攻了，很牛。但是从真实情况来说，现在的安全和风控都是跟利益相关的，大家面对的各类比较大的安全问题跟利益有关、跟钱有关。

 

换一句话说，我们举两个例子，这是前段时间出现了很多的问题，勒索病毒。大家有一个概念，最近的勒索病毒大部分受到影响的是一些企业内网和一些不可说的地方的内网。大家一定要明确这个东西，这个是一个漏洞吗?它不是一个漏洞，微软的总裁也说过，你现在看到的很多漏洞对我们企业造成的，它不是一个漏洞，它是一个后门。这个东西出来的时候，已经在企业。刚才叶总也提到一些反向出去的东西，但是这次我们可以看到，原则上从国家层面它是一个很大的漏洞。在出来的时候，它是一个NSA的工具，它是给外部用的一个工具，它是对抗那些相关的组织的东西。漏洞被黑客盗出来以后，才变成一个蠕虫病毒。

 

这是5月份非常热的话题。6月份早上听说有一个厂商把他们给收了，我们就不太好意思说了。在6月份有一个很大的问题，音频驱动程序里面有木马程序，什么意思呢?你在这些设备上打任何记录，都可能会被记录下来。你再次重启以后，日志会不在。但是大家可以想，这个跟前面的漏洞结合在一起，会是一个什么样的状况。大家想想这个问题，其实这是一个很严重的问题，就是键盘记录的问题。上面两个都是利益，很大的利益，国家层面的利益。

 

刚才张总也说了，如果一个企业断网，5分钟、10分钟，CIO就下台了。其实在6月份发生过类似于这样的事件，而且是针对某些关键领域的。大家看一个黑客组织要求10个比特币，但是怎么证明有整个攻击实力呢?其实他打了一轮，影响业务了吗?影响业务了。但是某些业务是有开发场景的，是在某些时候的，它不是24小时的，有一个准备期，是在准备期的时候打的，所以你们看到的影响不大。他们的利益在什么呢?比特币，我收保护费，这叫安全的利益。

 

你说做安全的人做黑客、攻击者，他不懂政治吗?不能这么说，你看勒索病毒是怎么来的，在网上搜到这个图。你看有一个地方中了，数据非常重要，这个黑客组织帮他讨价还价，商量这个漏洞多少钱，40个比特币，我把你的恢复的T告诉你，你把密码解开，40个。你说他懂政治吗?他也懂，如果系统没有回过来，其实对你也有风险，你还是把钱交给我吧，不然你自己的位置也不保。黑客组织说出来的话很吓人，他竟然知道这个东西。昨天我们去博物馆，门口挂了一个横幅叫“迎接十九大”，其实是一样的，也有一些攻击成分在里面，现状也是一样。

 

我说所有的东西都是利益，怎么跟安全、攻击者和利益结合在一起。比特币大家都知道，很多人炒过，4月份的时候比特币价格还是很便宜的，1万元不到。到蠕虫病毒泛滥的时候，最高涨到2万元一个。大家想40个比特币，2万元是多少钱，一家企业收80万，不是一家，那么多企业收80万，他们赚多少钱，这是一个巨大的利益。我们说这是一个市场，所以各位CIO们一定要小心，其实他们是有攻击层面的，他们是带着利益攻击你。

 

我们知道，这是有赎金的，而且每台设备是有赎金的，假设每台是20万，有很大的利益。可以看到在国家层面有一些漏洞，美国的军队出来打你，另外黑客组织来打你，不是很太平。既然是风控与安全部门，我们企业是风控与安全在一起的，说一下风控利益在什么地方。比如我要拉新、我要获新客，我要把客人拉进来，大家想过你的每个获新成本是多少钱吗?我的客户跟我说，我的获新成本很便宜，只要30元，我可能就会给你30元的东西。

 

我举一个最便宜的例子，这是卖饮料的机器，首单免费。如果我去刷一单，我亏一个饮料，亏2元。我的攻击者来打你，成本是5分，5分钱40倍，如果更高的获新成本是多少钱?可能50元、100元都有，有背后很大的风险控制的利益在里面。你要去做风控，你要看留存和风控指标，这是对的，因为安全和风控是结合在一起的，这是以后CIO的想法和方向，大家可以想一想，这是一个很大的利益。大家周围有没有卖零售的一些机器，大家可以去看看，我不好意思拍照，怕被人打。有的人里面拿着一个小包，里面有一个手机，他就是在刷新客。

 

大家看右边这张图，2016年捣毁的700万张手机卡，什么概念?我花10元获一个新客，700万，我可能8000万就打水里了，那只是一个人来打你。利益就是这样，很大的利益，这是风控当中的利益。我相信每个人都有被短信骚扰或者电话诈骗的情况，其实整个环境不太好。

 

友商做过一个测试，这是测试的一套东西，包含身份证，看上去就像假的，但是做得跟真的一样，一个网银、一个银行卡、一个手机好，名字都是一样的，钱也是提得出来的。各位在互联网转型的时候，如果要求网上资质认证或者店面资质认证，你通过这个数据根本看不出是假的，这个东西给你，你觉得这是真的。这一套东西大家猜猜多少钱，而且是市售价，不是批量买，大家觉得多少钱?一千块，它是真的网银，真的银行卡，都是真的。前两天我看到一个数据，一个P2P企业获新多少钱，1千元成本，一套一家就可以套3千元出去。这是各位在互联网转型当中可能会面对的问题，你无法通过互联网验证这个人的身份的真和假，这是很大的风险。

 

大家也知道，今年6月1日新的《网络安全法》也发布了，当中除了国家花很大力气做安全的控制，对企业也做了很多的要求。包括在哪种情况下我们CIO们可能会有风险。如果信息泄漏了，特别是信息流到外面去了，在任何的情况下，下跟用户公民信息有关的问题都会严查。什么时候会来查你或者哪个人会被抓起来，50条公民信息，50个手机号算50个公民信息吗?算。各位管理的这么多系统当中，如果有信息泄漏的问题，如果没有做很好的信息控制，数据出去几百条，可能就是很大的问题。大家知道，最近有信息泄漏大学生自杀，还有卖婴儿信息的，这两个人都判掉了。今年国家严打这个东西，大家在日常工作中要小心，如果是公民信息的一定要小心，否则很容易惹祸上身。

 

而且我们是在IT部门下面的，也会发现一个很奇怪的情况。在IT部门下面有业务运营的人在里面，为什么?如果哪天CEO问大家说做风控哪个部门最专业，你跟他说技术部门最专业。为什么?第一技术部门有数据，大数据都在各位CIO手上，第二你要处理这些防护手段，对抗黑客，你要用技术手段，通过业务手段是很难避免的。工具在谁手上，都是在技术人员手上。所以说，从大数据和从安全风控来说，是一个很好的辅佐业务发展的手段，真的是这样，大家往后走就知道了。如果你要提高业务的可靠性，可以找IT部门去做。如果要提高业务的真实性，可能要找风控部门做，风控是真难的东西。

 

我们团队我去的时候是25个人，我们安全风控团队现在已经做到70多哥人了，还不算外包。为什么这么多?我们是自循环的过程，由开发、研发、运维和自己的数据团队，整体的是数据的对抗过程。很多人问我，我的企业比较小，我要做安全和风控怎么办?大家要抓住两点，开发可以外包，运营和产品一定要自建，一定要自己的人去控制。为什么要有这两点?第一，风控也有自己的PM，安全也有自己的PM，这些PM取决于你的理解和方向。第二，你有一个叫子运维的团队，很多人包括数据团队会有一个意识，我做出来的数据效果好不好或者说我做风控的效果好不好，你不知道，怎么才能证明我这个东西做出来是有效的呢?你要有自己的一个运营团队去监控他，这个东西的确是有效的、这个东西的确是好的，是这么一个逻辑。你的产品和运营一定要有，大概是这样的。

 

很多人问我说，安全和风控到底区别在什么地方。因为以前我做过一段时间的审计，审计第一你要明白安全和风控都是为了降低企业风险的。随着各位信息化，手里的数据都是往线上走的时候，你会发现我面对很多IT和下面的一些风险。这个分两部分，大家看到蓝颜色的部分，就是所谓的ITAC的部分，AC就是基于运营层的控制。如果做风控，我可以更多的做一些AC控制的理念做一些应用层的控制。我给大家举个例子，这个AC控制你需要做到什么地方呢?哪一天你的业务发一些优惠券的时候，或者哪一些业务想推一些新业务的时候，这个时候你要提出一些风险控制的原因。同样往下层，绿色部分是所谓的传统安全的部分，传统安全的部分做什么?底层的漏洞、补丁、代码管理、防泄漏都是应该去做的。这就是从底层的传统安全到中层通过风险控制部门做蓝颜色，再到上面完成组织架构的目标。

 

这是我们这些年做的一些安全产品，我们的安全产品分两种，我个人理解是两条路。安全当中有一个很重要的理念叫做“花钱买时间”，其实我很认可。如果时间来不及怎么办?我建议买，买很快达到控制风险的效果。同时要自己研发一些东西，各位CIO可能听说过数据感知、威胁感知的东西，这些东西你尽量能自己做就自己做。还有一些是下底层的东西，我举个例子，我问大家一个问题，做大数据分析最重要的是什么?是数据。但是数据的真实性谁来保证?如果大家去做大数据清理的时候，你会发现有很多脏数据，这些数据你怎么保证是干净的，你或许要通过自己的技术手段来保证你的数据是干净的，这就是安全要做的事情。

 

这是我们自己的风控框架，风控框架跟企业的业务目标有关系。我给大家举个例子，如果你自己要互联网转型，互联网肯定有账号，账号里面会不会有钱，如果账号里面有钱，你就应该去做账户的风控。如果你做支付，你要做支付的风控，支付风控也分第三方支付和自己支付，这是不一样的。你怎么保证用户的钱不受损失，这是跟你的风控结构有关系的。如果你有配送，你可能要做配送的风控。你有其它的业务逻辑，你要做业务逻辑的风控，这个跟企业的环境是有关系的。

 

很多人说，我做安全风控，怎么跟老板汇报。其实我们部门很特殊，我们部门经常跟CEO汇报的，我们是算钱。特别是我们算钱的时候，我们部门每年都有很多钱，都不是千万级的，都是亿级的。你说我做了多少变更，很难量化，但是从风控和安全角度来说，很多情况下通过业务数据来解决问题，你是看得到的。

 

另外一个，我想点的问题是，大家知道以前有一个著名的网站关掉了，有一个修补漏洞的网站。这里有一个问题，如果你知道我有问题，有系统漏掉，你去收掉，这是很好的问题。但是现在你得漏洞渠道比较少，我不知道有多少漏洞被别人钻的时候，这是非常怕的一点。大家想一想是不是这样，如果我不知道我的系统有多少漏洞或者没有人帮我做漏洞的时候，我怎么办。我可以自建或者跟其他同行联合建一些漏洞的平台，当然只能收自己的漏洞，把这些漏洞收集起来做管理。不管是什么单位，我们每年至少收到几百个漏洞。结合《网络安全法》，如果我的系统有漏洞，这个罪有多大。真的，而且是很有可能的，历史上发生了很多这样的故事。

 

同样的，我们也可以跟很多地方去合作。比如说我们把一些坏人抓起来或者怎么样，我们每年还是抓很多人的，包括抓一些业务刷单和数据泄漏的，我们都会联手抓起来。我们提议怎么抓呢?最好的办法是到企业内部去抓。比如说有一个人，我们觉得他是有问题的，我们就要上班的时候去抓，敲警钟。为什么我们会发现这些问题?因为我们有大数据、数据分析能力和数据鉴定能力的地方，所以我们能够更多的做这些事情，这也是一个方向。反正从我们单位当中提供线索的最多的，大家可以想想这些能力能不能帮业务做提升。

 

最后几个Tips跟大家说一下。第一，先有鸡还是先有蛋的问题，有些人会问我，先做安全还是先做业务。大家一定要想，打补丁也有风险。当你底层结实的时候，你可以做风控，向业务发展，更多的贴近业务，最后本质还是企业安全。如果是安全没有做好，风控一定做不好。第二，我们也会去跟各位互动，安全部门每年也会办很多会。因为大家知道，习大大非常关心信息安全，我们也应该跟大家在一起聊聊信息安全。可能信息安全在各位当中没有那么重要，但是随着业务的慢慢发展，安全会越来越重要。第三，这里是收漏洞的平台，我看了一下，除了一家是金融企业，其它可能都是一些互联网企业比较多，金融企业是平安，平安有自己收漏洞的平台，中兴也会有。其实大家可以考虑一下，是不是交一些钱，大家可以考虑一下。我听别人说，不代表真实性，腾讯一年才给了500万，腾讯收了多少钱?任何一个大的漏洞远远不值这个价，其实是很赚的一件事。第四，大家在互联网的转型当中会经常遇到第三方的概念，第三方帮你做推销、第三方帮你做事情。但是你一定要知道，第三方给你的数据往往是不可靠和不真实的，特别是你在做一些业务活动的时候，第三方给你的接口可能你自己修得很好，但是出问题是第三方引起的，这是一个点，大家要留心。第五，从业人员难觅，风险高，做安全的谨慎一点比较好，而且安全的历史是很厚的，非常非常厚，不排除有一些人进企业的目的没有那么纯。有这种可能性，但是这种人不应该出现在安全部门，你最后一个底线的部门都出现这种问题的话，这个企业可能问题就真的很大。

 

最后，我们说做风控、做安全都会拿最后一名，我希望各位CIO永远都不是最后一名，如果是同行业的，永远比你身边的人跑得快。谢谢大家!