从微软安全专家到京东安全的勇士之路
每天早上8点30分,Tony Lee将会开始他一天工作中的第一项:晨会,在10到30分钟时间里,布置一天的工作任务——在京东,这个惯例已经雷打不动地被京东人坚持了十年时间。Tony Lee对此非常认同:“这是一个节奏的问题。有了这个早会,大家都不会懒懒散散的,一天的节奏就起来了。”
这是Tony Lee来到京东担任首席安全专家的第一百天。从美国到中国,历经赛门铁克、微软、安全宝、百度,如今的Tony Lee选择落脚在京东——以这里为起点,他将要一步步实现他心目中的“安全”。
为信息平等而投身安全
“我的经历也算是一部华人奋斗史了。”Tony Lee半开玩笑地说道。他言语间仅存的一点独特的音调仍然带有明显的广东味道:“出了家乡,英语也讲、普通话也讲,就是家乡话很少说了。”
高中时期,Tony Lee便远赴美国定居,而他的安全生涯同样也是以美国为起点的。高中毕业之后,Tony Lee进入了伯克利大学。在那里,让Tony Lee感触最深,也最深刻地影响了他的,就是校园中自由的氛围:“伯克利非常重视自由平等。在伯克利的校园里有个标志在地上是一个圈,里面写着一句话:这个地方和它的上空,不受任何国家的法律约束。”
在这样的氛围中,Tony Lee开始了他和计算机的亲密接触。彼时正值互联网时代的开端:Windows尚在95、97时代,Hotmail刚刚兴起,而Google还并不出名。Tony Lee所在的实验室主要负责的是残疾人电脑的设计:“很多残疾人不能用电脑,甚至根本不能移动肢体。我们设计了一个头盔、一个特殊设计的键盘,让他可以点击操作。”
这个过程,亦让Tony Lee感觉到:“电脑是一个强大的资源,它真的可以帮助人,让每个人都拥有平等的机会。”
在我问到Tony Lee踏足安全是何时时,Tony讲到2001年,在加州大学读研的Tony Lee收到了自己的导师、同时也是赛门铁克首席架构师的邮件:“我们需要研究病毒的人,你来试试?”初涉安全,原本就喜爱计算机的他产生了浓厚的兴趣:“要研究一个病毒,从API到各种子系统、邮件传播、各种协议,什么都要接触,一个程序反馈的每一层你都要懂。这对计算机的全局观非常有帮助。”Tony Lee也认定,自己的职业生涯将在这一领域展开——他还并不知道,在不久的将来,他将幸运地亲身经历安全行业的一次重大变革。
2003年8月,“冲击波”病毒爆发,在全球范围内造成了巨大影响——而这只是针对Windows的众多攻击中的一例。“微软在当时是众矢之的,所有黑客都盯准了Windows,可以说是四面楚歌的境地。”Tony Lee回忆。危机四伏之下,微软开始在安全方面下足了力气:建立了最早的SRC并创造了SDL。从某种意义上说,这可以算得上是互联网时代信息安全的开端了。
彼时正在微软工作,并经历了全过程的Tony Lee,至今仍然对微软推出的《威胁建模》一书推崇备至:“十几年前的书,今天依然很有用。”而那段艰难的时光,被Tony Lee形象地称为“第一次世界大战”。
正如经历过战争的士兵才会真正懂得战争一般,Tony Lee也从这场“安全大战”中,渐渐领悟了安全的本质:“做安全,不是为了别的目的,就是为了保护安全”——计算机让每个人拥有了平等的机会;而安全让这种机会不会被恶意利用,这便是安全的起点和意义。
这也成为了他一贯坚持的原则。在一次圆桌活动上,有人向Tony Lee提问:“你打算怎么把安全做成非成本中心?”Tony Lee给出的答案是:“这是个伪命题,为什么非要把目标定在盈利上?我不想做成非成本中心,安全的目的本来就不是盈利。”我觉得他是“做最纯粹的安全”,或许,安全本来就该是这个样子。
永不停歇的勇士
然而,并不是每个人都像Tony Lee这样想——从2011年年回国加入安全宝到如今,Tony Lee越来越强烈地意识到了这一点。在美国,Tony Lee经历了安全的起点。那个时节,他如同除暴安良的侠客,为维护安全与平等而战;而他回国时,正遇上国内安全行业巨变的时间节点:2005年成为了“传统安全”和“互联网安全”的分界点,也宣告了新一轮安全风潮的到来。在此之后,信息安全进入了蓬勃发展的阶段——国家层面的支持、公众的日益重视,各方面的信息都预示着安全的春天即将到来,创业公司也如同雨后春笋般纷纷兴起。紧接着,互联网巨头们的身影开始显现,凭借雄厚的实力,意欲开辟安全的新格局。安全的世界第一次从“侠客的江湖”,变成了“枭雄的逐鹿场”。
Tony Lee认为,360出现后的安全市场繁荣了不少:“从那之后,安全开始热起来了。”但回顾近年的安全行业,他也感觉有些惋惜,“出现了一批很棒的企业,但是最终没有做起来。”
让他隐隐感到不安的在于“浮躁”:“很多企业把安全作为商业模式,先把PC端、移动端占好了,后面的则是商业目的。真正的目标是商业利益,安全只是一个幌子、一个手段。”这并不是Tony Lee心目中的“安全”。在他看来:“最高水平的安全公司反而非常低调,外界可能很少听说。他们做的事情就是,如何解决问题,如何让用户相信,而不是怎么获得商业利益。”
来到京东,Tony Lee要做的,正是“为了安全的安全”。
“至少在这个阶段,京东的组织架构、对安全的期望值、方向,在我看来都非常到位——安全就应该在一个一级部门里面,和各个部门携手,一起把事情做好。”Tony Lee提起了刘强东在创业初期的故事:“每一个客户他都坚持开发票,这件事关乎诚信。一个业务可以做可以不做,关键在于有没有为用户着想。这是一种很强的责任感。”这恰恰和Tony Lee对安全的认知不谋而合——勇士最不可或缺的就是责任感。“Light up the darkness.”这句《我是传奇》中的台词赫然出现在眼前,恰恰就像眼前这个人一样,责任感就在于此了。
Tony所做的也正如美国民权运动领袖说过的一句话:”The people, who make the world worse, are not taking a day off, why shoul I.” 因为在黑暗中的黑客没有休息,作为从事安全工作的人也不会休息。安全人的工作就是照亮黑暗,其实这就是一个做安全的人的最简单、最纯粹的状态。更是一个怀着强烈责任感的安全人的特点 。“京东发展速度很快,几年前还是个小公司,现在是全世界最大的自营电商之一。船跑得快,你要保证他不要沉,这真的是一个非常大的挑战。 ”来到京东100天,Tony Lee的目标是“踏实地做安全”,“先解决好京东的问题。有了成果,再拿出来分享——没有商业驱动,而是分享能力。”
目标既定,那么,要怎么做?
在战场的最前线
“我想到一个很有意思的问题,”Tony Lee说道,“如果在全球的视野下,你有无限的预算,可以买到所有最先进的服务,甚至拥有无限的人力,你的安全能做成什么样?”他给出了答案:“短期不会有太大改变。风险和威胁不会有太大变化。”“安全是一个战场,做技术、产品、服务的乙方,是提供弹药的人。但对于战斗者来说,给你的是零件,你要自己组装,最终让武器用到你的战场上——这是一条很长的路。我的想法是,做好安全,必须考虑战斗者的视角,知道真正面临战斗的人是怎样的视野。”
Tony Lee将安全归结为两个层面:“第一个层面是设计层面,做出来就是安全,比如sdl、数据加密,而第二个层面同样很重要,就是监控。有了监控,看到以前没看到的东西,有了足够的信息,才知道需要防御什么、怎么防御。你告诉我用什么技术就能挡住什么攻击,我觉得是吹牛。能看见就能挡住,看都看不见,怎么防御?要看见,就要上战场。”
在Tony Lee看来,京东就是一个巨大的战场。现在,他冲到了最前线。
当我问到Tony Lee的目标是什么,Tony Lee回答说“让安全和业务结合”:“安全不是独立的,我们的安全业务没有一项是自己做的,都是和业务一起完成,这是一个共生的关系。”
“独立来做,业务和安全都做不好——安全提出一个要求,业务没有响应的工具,没有经过这个培训,根本做不了。”Tony Lee设想,“安全作为业务KPI的一部分应该是最好的,成为一个可视化的东西。举个例子,一个产品有安全系数,用了我做的工具、经过了培训,分数就上去了。这个过程不是我要求、我命令,而是我们一起把事情做好。”“两个P”是Tony Lee希望达到的最终效果:“一个是Protect,保护品牌。更好一点的效果是Promote,让京东以及它的生态是可信的,让更多的商家愿意做各种事情,买东西,借款,甚至于未来的IOT,在这个过程中,安全起到的是基石的作用。”
下一个方向:万物互联
当然,要做的还不止于此——除了当下,Tony Lee关注的还有未来。首当其冲的便是万物互联。在这一领域,京东有着得天独厚的先发优势:智能仓储和叮咚。
“我自己是叮咚的铁粉,”Tony Lee描述了他见到的场景,“我们有一间屋子,进屋之后说一句,叮咚我要睡觉了,窗帘就自然地慢慢拉上了。这让我觉得,IOT终于出现比较自然的交互方式了。”“未来是技术驱动的世界,而电商在其中占据了很重要的位置。以前我们没有机会做万物互联,现在不仅有了,还可以站在制高点上。”他提到了在美国的见闻:“上一代搞计算机的时代已经过去了,因为没有掌握云,没有掌握移动互联网。同样的,如果没有适应AI、万物互联,我们也会OUT。所以,要提前做准备。”
Tony Lee亦在思考传承:“十年前,只有几个学校会教信息安全。现在第一代从业者出来了,很多学校也都有了信息安全专业,下一代们都很有天分、很努力。我的感受是,有一种传承在里面。”他正在着手筹备“京东安全大会”和“培养计划”:“这是对传承的致敬。我们的安全要怎么延续下去?怎么做得更好?单凭京东可能很难解决这些问题,但是如果我们可以做一些非商业性的东西出来,对整体的气氛或许会有影响。”
“为了安全而安全”,来到京东的第100天,侠客Tony Lee依然为此而努力着——为了安全的过去、现在和未来。