文丨鏡相工作室 馬舒葉

編輯丨周近嶼

作為網(wǎng)絡(luò)安全與風(fēng)控機(jī)制的資深從業(yè)者，盧圣龍比絕大多數(shù)人更早地得知了快手直播事故。

12月22日，剛過(guò)晚上10點(diǎn)，他所在的網(wǎng)絡(luò)安全行業(yè)的內(nèi)部群聊開(kāi)始陸續(xù)彈出截圖——快手直播界面中出現(xiàn)了一些明顯違規(guī)的內(nèi)容。隨后，在快手自己的應(yīng)急響應(yīng)中心群里也出現(xiàn)了同樣的消息。盧圣龍和業(yè)內(nèi)技術(shù)專(zhuān)家們猜測(cè)著是否是某個(gè)審核模塊“臨時(shí)掛掉”。但隨著截圖、錄屏越來(lái)越多，傳播范圍迅速擴(kuò)大，他才意識(shí)到：這不是一次簡(jiǎn)單的技術(shù)故障。

當(dāng)晚，快手大量直播間同時(shí)出現(xiàn)涉黃、低俗和血腥暴力內(nèi)容，部分直播間觀(guān)看人數(shù)近10萬(wàn)。截圖與視頻如病毒般在各社交平臺(tái)和群組擴(kuò)散。在經(jīng)歷限流、封禁后，快手最終以直接下架直播入口的形式，才控制住態(tài)勢(shì)。直播功能在零點(diǎn)45分左右基本恢復(fù)。

整個(gè)過(guò)程持續(xù)了約兩小時(shí)?？焓蛛S即發(fā)布公告，稱(chēng)“遭到黑灰產(chǎn)攻擊”。

盧圣龍?jiān)诰W(wǎng)絡(luò)安全領(lǐng)域從業(yè)13年，目前是一家網(wǎng)絡(luò)安全公司安全攻防實(shí)驗(yàn)室的負(fù)責(zé)人，工作之一是作為授權(quán)黑客，測(cè)試一些單位或公司的網(wǎng)絡(luò)安全。

他說(shuō)，事故發(fā)生之后，業(yè)內(nèi)討論焦點(diǎn)并不在于攻擊本身，而在于快手的風(fēng)控系統(tǒng)為何被擊穿，以及在約兩小時(shí)的異常窗口期里，平臺(tái)為何沒(méi)能迅速切換至應(yīng)急狀態(tài)。“這個(gè)bug的產(chǎn)生有可能是因?yàn)樗惴ü收?，也有可能是風(fēng)控算法在進(jìn)行灰度更新，或是企業(yè)用于故障隔離和快速恢復(fù)的內(nèi)部服務(wù)高可用架構(gòu)有缺陷。從發(fā)生到完全處置，快手用了近兩小時(shí)，這個(gè)響應(yīng)時(shí)間偏長(zhǎng)，說(shuō)明他們可能在應(yīng)急處置流程、故障感知和切換機(jī)制上存在短板?！?/p>

在盧圣龍眼中，這場(chǎng)風(fēng)波像一面鏡子，照出了平臺(tái)業(yè)務(wù)增長(zhǎng)與安全投入之間的長(zhǎng)期博弈，以及整個(gè)互聯(lián)網(wǎng)行業(yè)在狂奔中留下的安全隱患。

“從事發(fā)到完全處置花了兩小時(shí)，時(shí)間太長(zhǎng)了，是有問(wèn)題的”

鏡相工作室：你最初是怎么得知“快手直播間事故”的？

盧圣龍：我是在幾個(gè)網(wǎng)絡(luò)安全論壇的群里看到的?？焓肿约阂步艘粋€(gè)“應(yīng)急響應(yīng)中心”的群，用來(lái)和外部安全研究人員溝通漏洞信息。

那天晚上大概10點(diǎn)左右，這些群里開(kāi)始有人說(shuō)快手的審核風(fēng)控平臺(tái)好像掛掉了。一開(kāi)始大家沒(méi)往“攻擊”上想，都以為是內(nèi)部故障。

鏡相工作室：所以一開(kāi)始并不認(rèn)為是黑客攻擊？

盧圣龍：對(duì)。如果是典型的黑客攻擊，通常以拒絕服務(wù)（注：如DDoS攻擊，一種網(wǎng)絡(luò)攻擊，通過(guò)大規(guī)?；ヂ?lián)網(wǎng)流量淹沒(méi)目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為），或者隱匿入侵控制為主。比如DDoS攻擊，有可觀(guān)測(cè)的流量差異，平臺(tái)一般會(huì)明確說(shuō)明攻擊類(lèi)型，那種攻擊往往是為了讓服務(wù)癱瘓，而不是精準(zhǔn)繞過(guò)風(fēng)控審核后大量開(kāi)啟非法直播。

所以，業(yè)內(nèi)更傾向于討論，是否是快手的風(fēng)控系統(tǒng)本身出了問(wèn)題——可能是算法失效，也可能是風(fēng)控系統(tǒng)在灰度更新，或者臨時(shí)出了bug。而且晚上10點(diǎn)是直播高峰，系統(tǒng)壓力大，可能正是脆弱的時(shí)候。

鏡相工作室：你如何看待快手的處置過(guò)程？

盧圣龍：從事發(fā)到完全處置花了兩個(gè)小時(shí)，這個(gè)時(shí)間太長(zhǎng)了。這至少說(shuō)明（快手）內(nèi)部高可用架構(gòu)和應(yīng)急響應(yīng)機(jī)制有問(wèn)題。

對(duì)于快手這樣體量的平臺(tái)，核心風(fēng)控系統(tǒng)失效，理論上應(yīng)該有秒級(jí)監(jiān)控告警。理想的應(yīng)急響應(yīng)鏈路應(yīng)該是：風(fēng)控失效 → 秒級(jí)告警 → 業(yè)務(wù)自動(dòng)切入人工審核隊(duì)列或嚴(yán)格限流模式 → 安全與運(yùn)維團(tuán)隊(duì)緊急處置/修復(fù) → 系統(tǒng)恢復(fù)。

從結(jié)果倒推，長(zhǎng)達(dá)兩個(gè)小時(shí)的處置時(shí)長(zhǎng)，說(shuō)明漏洞要么沒(méi)被發(fā)現(xiàn)，要么是告警沒(méi)響應(yīng)，要么是應(yīng)急切換機(jī)制沒(méi)生效。

正常來(lái)說(shuō)，如果風(fēng)控系統(tǒng)掛掉，業(yè)務(wù)側(cè)也可以啟動(dòng)人工審核攔截不合規(guī)的直播申請(qǐng)。現(xiàn)在從結(jié)果倒推，本應(yīng)啟用的人工審核攔截沒(méi)有發(fā)揮出應(yīng)有的效果。這還有可能與架構(gòu)設(shè)計(jì)有關(guān)，當(dāng)業(yè)務(wù)的優(yōu)先級(jí)高于安全，平臺(tái)為了保障業(yè)務(wù)連續(xù)，在風(fēng)控失效時(shí)，業(yè)務(wù)系統(tǒng)為了不中斷服務(wù)會(huì)默認(rèn)放行內(nèi)容。

這件事情影響太大了，事件傳播得也非?？?。但到目前為止，真正的原因還沒(méi)有定論，各種分析也都不夠準(zhǔn)確。

具體的原因，快手應(yīng)該很快會(huì)有更詳細(xì)的報(bào)告。這類(lèi)涉及公共內(nèi)容安全的事件，有關(guān)部門(mén)通常會(huì)要求企業(yè)提交詳細(xì)報(bào)告，公眾也有權(quán)知道到底發(fā)生了什么。目前可能還在內(nèi)部調(diào)查和溝通階段。

鏡相工作室： 平臺(tái)在這類(lèi)事件中可能要承擔(dān)什么責(zé)任？

盧圣龍：如果最終被認(rèn)定為網(wǎng)絡(luò)安全事件，平臺(tái)可能面臨違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的處罰，包括罰款、業(yè)務(wù)整改，甚至?xí)和７?wù)。如果涉及用戶(hù)數(shù)據(jù)泄露，還會(huì)觸犯《個(gè)人信息保護(hù)法》。此外，內(nèi)容安全主體責(zé)任履行不到位，平臺(tái)也可能被約談、要求整改。

黑灰產(chǎn)不一定是“盜號(hào)”，更可能是“用號(hào)”

鏡相工作室：多家媒體報(bào)道稱(chēng)，當(dāng)晚有上萬(wàn)個(gè)賬號(hào)進(jìn)行違規(guī)直播。根據(jù)目前的信息，可以初步判斷這些賬號(hào)來(lái)源是什么嗎？

盧圣龍：目前沒(méi)有證據(jù)表明這些賬號(hào)來(lái)自普通用戶(hù)被盜。更可能的情況是，這些賬號(hào)屬于黑灰產(chǎn)手中的“庫(kù)存號(hào)”。如果真是黑灰產(chǎn)攻擊風(fēng)控平臺(tái)，其實(shí)不需要大家想象中那種“千萬(wàn)級(jí)”的巨量沖擊。關(guān)鍵在于攻擊點(diǎn)要精準(zhǔn)。

鏡相工作室：也就是說(shuō)，不一定是“盜號(hào)”，更可能是“用號(hào)”？

盧圣龍：對(duì)。很多平臺(tái)存在大量被批量注冊(cè)或收購(gòu)的賬號(hào)，它們平時(shí)可能處于靜默狀態(tài)，一旦風(fēng)控出現(xiàn)漏洞，就會(huì)被集中啟用。

鏡相工作室：和過(guò)去互聯(lián)網(wǎng)大廠(chǎng)的數(shù)據(jù)泄露事件相比，這次事故有什么不同？

盧圣龍：這個(gè)事情要分兩個(gè)方面去看。第一，如果按照快手所說(shuō)的，風(fēng)控平臺(tái)或業(yè)務(wù)被攻擊，那和我們?nèi)粘Ｌ幚淼陌咐龥](méi)什么不同。

從快手本次事件中用到的技術(shù)來(lái)說(shuō)，在安全圈內(nèi)不算"新的攻擊手法"，但它們被組合起來(lái)針對(duì)直播平臺(tái)的特定業(yè)務(wù)邏輯（如高并發(fā)的審核機(jī)制）進(jìn)行了精準(zhǔn)打擊，從而造成了巨大的破壞。

第二，被攻擊之后的黑產(chǎn)的一系列行為，比如大量涉黃直播出現(xiàn)，就和單純的數(shù)據(jù)泄露有比較明顯的差異。

一般的數(shù)據(jù)泄露，攻擊者的目的比較明確，可能想拿到主機(jī)里的信息，商業(yè)泄密，或者挖礦、勒索、數(shù)據(jù)竊取?，F(xiàn)在看來(lái)，快手這次的攻擊者，目的可能是為了大量開(kāi)設(shè)直播，里面可能會(huì)有一些導(dǎo)流的情況，掛一些鏈接，利用系統(tǒng)漏洞牟利。

鏡相工作室：快手發(fā)布公告稱(chēng)，此次事故是遭到黑灰產(chǎn)攻擊。黑灰產(chǎn)產(chǎn)業(yè)鏈?zhǔn)侨绾芜\(yùn)作的？

盧圣龍：黑灰產(chǎn)已經(jīng)形成了聯(lián)系緊密的上中下游分工。如果是有組織的黑灰產(chǎn)行動(dòng)，上游是工具開(kāi)發(fā)者、驗(yàn)證碼平臺(tái)、數(shù)據(jù)販賣(mài)者。他們提供自動(dòng)化腳本，可以繞過(guò)風(fēng)控。中游是“號(hào)販子”。他們收購(gòu)、注冊(cè)、養(yǎng)護(hù)大量平臺(tái)賬號(hào)，并根據(jù)粉絲數(shù)、活躍度進(jìn)行分級(jí)定價(jià)，就像一個(gè)“賬號(hào)期貨市場(chǎng)”，給攻擊供應(yīng)大量實(shí)名或非實(shí)名的賬號(hào)。下游是攻擊的執(zhí)行者。他們租賃或購(gòu)買(mǎi)工具與賬號(hào)，在風(fēng)控失效的時(shí)間窗口內(nèi)集中開(kāi)播，目的是引流、詐騙或惡意推廣。

而且，這種攻擊成本并不高，但回報(bào)可能很大。利用群控系統(tǒng)和廉價(jià)的“僵尸號(hào)”，即便絕大多數(shù)賬號(hào)被封，只要有極少量存活并成功引流，收益即可覆蓋成本。

鏡相工作室：隨著技術(shù)的發(fā)展，企業(yè)目前面臨的黑灰產(chǎn)攻擊有哪些變化嗎？

盧圣龍：一方面，黑灰產(chǎn)的作惡門(mén)檻越來(lái)越低。有些黑產(chǎn)團(tuán)隊(duì)已經(jīng)在使用AI做數(shù)據(jù)的關(guān)聯(lián)和分析。比如通過(guò)AI打標(biāo)簽、出詐騙劇本。如果黑產(chǎn)團(tuán)隊(duì)有你的人臉信息，和其他足夠多的數(shù)據(jù)，可以生成足夠逼真的視頻或音頻詐騙。

另一方面，黑灰產(chǎn)的危害程度和影響范圍也越來(lái)越大。比如通過(guò)直播，短時(shí)間內(nèi)就能影響到上千甚至上萬(wàn)人。

而且，本質(zhì)上攻防對(duì)抗就是成本對(duì)抗。作為攻擊者的黑產(chǎn)愿意投入資源，可以買(mǎi)到大量的賬號(hào)，可以通過(guò)買(mǎi)驗(yàn)證碼平臺(tái)，繞過(guò)系統(tǒng)的監(jiān)控，批量用虛假身份注冊(cè)賬號(hào)。而對(duì)于防守的企業(yè)來(lái)說(shuō)，資源是固定的。如果黑產(chǎn)的投入比企業(yè)安全防護(hù)高很多倍，系統(tǒng)是可以被攻破的。

安全不應(yīng)是“可妥協(xié)的成本”

鏡相工作室：從行業(yè)角度，“快手直播事故”有什么值得反思的地方？

盧圣龍：對(duì)企業(yè)來(lái)說(shuō)，風(fēng)險(xiǎn)是共性的?？焓值膯?wèn)題不是孤例，它反映出國(guó)內(nèi)企業(yè)一個(gè)長(zhǎng)期存在的問(wèn)題：安全是成本中心，而非利潤(rùn)中心。在財(cái)務(wù)報(bào)表上，安全團(tuán)隊(duì)的投入是純支出。它不直接帶來(lái)新增用戶(hù)、提升活躍、增加營(yíng)收。因此，在資源分配、技術(shù)立項(xiàng)、乃至公司話(huà)語(yǔ)權(quán)上，安全部門(mén)常常處于弱勢(shì)。表現(xiàn)在人上，很多公司安全團(tuán)隊(duì)人力緊張，要負(fù)責(zé)多個(gè)安全領(lǐng)域，很難做深做透。

在業(yè)務(wù)壓力下，安全常被視為“可以暫時(shí)讓步”的部分。很多公司的安全建設(shè)是“合規(guī)驅(qū)動(dòng)”和“事件驅(qū)動(dòng)”的。不出事，預(yù)算緊張，優(yōu)先級(jí)靠后；出了事，才會(huì)短暫重視，追加投入。這種循環(huán)導(dǎo)致安全建設(shè)缺乏前瞻性和體系性。

鏡相工作室：對(duì)于企業(yè)來(lái)說(shuō)，安全部門(mén)的理想投入比例應(yīng)該是怎樣的？

盧圣龍：這很難給出一個(gè)統(tǒng)一的數(shù)字，但它應(yīng)當(dāng)與業(yè)務(wù)規(guī)模、風(fēng)險(xiǎn)等級(jí)匹配。目前國(guó)內(nèi)企業(yè)在安全上的IT投入占比，相比業(yè)務(wù)系統(tǒng)投入仍然偏低。安全不是“用了就行”，而是需要持續(xù)運(yùn)營(yíng)、迭代的系統(tǒng)工程。

現(xiàn)在我們的攻防技術(shù)，已經(jīng)可以通過(guò)智能風(fēng)控、用戶(hù)分層策略，在不影響大多數(shù)用戶(hù)體驗(yàn)的前提下對(duì)高風(fēng)險(xiǎn)行為進(jìn)行管控。此外，應(yīng)急處置機(jī)制必須健全。

鏡相工作室：有專(zhuān)家指出，此次事件核心是“攻擊自動(dòng)化”與“防御人工化”的不對(duì)稱(chēng)對(duì)抗。在你看來(lái)，要構(gòu)建有效的AI自動(dòng)化防御體系，最關(guān)鍵的是需要訓(xùn)練AI識(shí)別哪些新型、隱蔽的攻擊模式？

盧圣龍：不同的AI應(yīng)用場(chǎng)景需要訓(xùn)練不同的模型，比如風(fēng)控審核是內(nèi)容安全模型，內(nèi)容安全的對(duì)抗通常為攻擊者在違規(guī)圖像中添加人類(lèi)肉眼無(wú)法察覺(jué)的微小擾動(dòng)，技術(shù)上通常叫做噪聲，這可能會(huì)導(dǎo)致傳統(tǒng)的深度學(xué)習(xí)模型出現(xiàn)誤判，然而針對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全攻擊手法，則應(yīng)該從攻擊手段，內(nèi)部的自動(dòng)化告警、研判、處置等角度去構(gòu)建。

鏡相工作室：如今，AI技術(shù)被黑灰產(chǎn)廣泛應(yīng)用，你如何看待這一變化？

盧圣龍：攻擊確實(shí)門(mén)檻在降低，但防守技術(shù)也在進(jìn)步。AI可以用于攻擊，也可用于風(fēng)控模型的訓(xùn)練和異常識(shí)別。真正的差距不在于技術(shù)，而在于資源和優(yōu)先級(jí)——攻擊方可以集中力量打一個(gè)點(diǎn)，防守方則要守護(hù)整個(gè)面。長(zhǎng)期來(lái)看，還是一個(gè)企業(yè)安全系統(tǒng)資源持續(xù)投入的問(wèn)題。

鏡相工作室：這次事件會(huì)對(duì)行業(yè)帶來(lái)哪些影響？

盧圣龍：這次事件的影響是非常大的?，F(xiàn)在，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》以及有關(guān)部門(mén)的一系列內(nèi)容管理規(guī)定，正在壓實(shí)平臺(tái)的主體責(zé)任。有關(guān)部門(mén)可能會(huì)加強(qiáng)對(duì)企業(yè)安全履職情況的檢查，平臺(tái)也會(huì)更重視風(fēng)控系統(tǒng)的冗余和高可用設(shè)計(jì)。

從個(gè)人角度，我現(xiàn)在最關(guān)注兩點(diǎn)：一是此次事故的最終原因能否透明公開(kāi)，二是平臺(tái)是否會(huì)從根本上調(diào)整業(yè)務(wù)與安全的權(quán)重。如果只是技術(shù)修復(fù)而機(jī)制不變，類(lèi)似問(wèn)題可能還會(huì)發(fā)生。