免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

文丨鏡像工作室，作者 | 馬舒葉，編輯丨周近嶼

作為網(wǎng)絡安全與風控機制的資深從業(yè)者，盧圣龍比絕大多數(shù)人更早地得知了快手直播事故。

12月22日，剛過晚上10點，他所在的網(wǎng)絡安全行業(yè)的內(nèi)部群聊開始陸續(xù)彈出截圖——快手直播界面中出現(xiàn)了一些明顯違規(guī)的內(nèi)容。隨后，在快手自己的應急響應中心群里也出現(xiàn)了同樣的消息。盧圣龍和業(yè)內(nèi)技術(shù)專家們猜測著是否是某個審核模塊“臨時掛掉”。但隨著截圖、錄屏越來越多，傳播范圍迅速擴大，他才意識到：這不是一次簡單的技術(shù)故障。

當晚，快手大量直播間同時出現(xiàn)涉黃、低俗和血腥暴力內(nèi)容，部分直播間觀看人數(shù)近10萬。截圖與視頻如病毒般在各社交平臺和群組擴散。在經(jīng)歷限流、封禁后，快手最終以直接下架直播入口的形式，才控制住態(tài)勢。直播功能在零點45分左右基本恢復。

整個過程持續(xù)了約兩小時?？焓蛛S即發(fā)布公告，稱“遭到黑灰產(chǎn)攻擊”。

盧圣龍在網(wǎng)絡安全領域從業(yè)13年，目前是一家網(wǎng)絡安全公司安全攻防實驗室的負責人，工作之一是作為授權(quán)黑客，測試一些單位或公司的網(wǎng)絡安全。

他說，事故發(fā)生之后，業(yè)內(nèi)討論焦點并不在于攻擊本身，而在于快手的風控系統(tǒng)為何被擊穿，以及在約兩小時的異常窗口期里，平臺為何沒能迅速切換至應急狀態(tài)。“這個bug的產(chǎn)生有可能是因為算法故障，也有可能是風控算法在進行灰度更新，或是企業(yè)用于故障隔離和快速恢復的內(nèi)部服務高可用架構(gòu)有缺陷。從發(fā)生到完全處置，快手用了近兩小時，這個響應時間偏長，說明他們可能在應急處置流程、故障感知和切換機制上存在短板。”

在盧圣龍眼中，這場風波像一面鏡子，照出了平臺業(yè)務增長與安全投入之間的長期博弈，以及整個互聯(lián)網(wǎng)行業(yè)在狂奔中留下的安全隱患。

“從事發(fā)到完全處置花了兩小時，時間太長了，是有問題的”

鏡相工作室：你最初是怎么得知“快手直播間事故”的？

盧圣龍：我是在幾個網(wǎng)絡安全論壇的群里看到的?？焓肿约阂步艘粋€“應急響應中心”的群，用來和外部安全研究人員溝通漏洞信息。

那天晚上大概10點左右，這些群里開始有人說快手的審核風控平臺好像掛掉了。一開始大家沒往“攻擊”上想，都以為是內(nèi)部故障。

鏡相工作室：所以一開始并不認為是黑客攻擊？

盧圣龍：對。如果是典型的黑客攻擊，通常以拒絕服務（注：如DDoS攻擊，一種網(wǎng)絡攻擊，通過大規(guī)?；ヂ?lián)網(wǎng)流量淹沒目標服務器或其周邊基礎設施，以破壞目標服務器、服務或網(wǎng)絡正常流量的惡意行為），或者隱匿入侵控制為主。比如DDoS攻擊，有可觀測的流量差異，平臺一般會明確說明攻擊類型，那種攻擊往往是為了讓服務癱瘓，而不是精準繞過風控審核后大量開啟非法直播。

所以，業(yè)內(nèi)更傾向于討論，是否是快手的風控系統(tǒng)本身出了問題——可能是算法失效，也可能是風控系統(tǒng)在灰度更新，或者臨時出了bug。而且晚上10點是直播高峰，系統(tǒng)壓力大，可能正是脆弱的時候。

鏡相工作室：你如何看待快手的處置過程？

盧圣龍：從事發(fā)到完全處置花了兩個小時，這個時間太長了。這至少說明（快手）內(nèi)部高可用架構(gòu)和應急響應機制有問題。

對于快手這樣體量的平臺，核心風控系統(tǒng)失效，理論上應該有秒級監(jiān)控告警。理想的應急響應鏈路應該是：風控失效 → 秒級告警 → 業(yè)務自動切入人工審核隊列或嚴格限流模式 → 安全與運維團隊緊急處置/修復 → 系統(tǒng)恢復。

從結(jié)果倒推，長達兩個小時的處置時長，說明漏洞要么沒被發(fā)現(xiàn)，要么是告警沒響應，要么是應急切換機制沒生效。

正常來說，如果風控系統(tǒng)掛掉，業(yè)務側(cè)也可以啟動人工審核攔截不合規(guī)的直播申請。現(xiàn)在從結(jié)果倒推，本應啟用的人工審核攔截沒有發(fā)揮出應有的效果。這還有可能與架構(gòu)設計有關(guān)，當業(yè)務的優(yōu)先級高于安全，平臺為了保障業(yè)務連續(xù)，在風控失效時，業(yè)務系統(tǒng)為了不中斷服務會默認放行內(nèi)容。

這件事情影響太大了，事件傳播得也非?？臁５侥壳盀橹?，真正的原因還沒有定論，各種分析也都不夠準確。

具體的原因，快手應該很快會有更詳細的報告。這類涉及公共內(nèi)容安全的事件，有關(guān)部門通常會要求企業(yè)提交詳細報告，公眾也有權(quán)知道到底發(fā)生了什么。目前可能還在內(nèi)部調(diào)查和溝通階段。

鏡相工作室： 平臺在這類事件中可能要承擔什么責任？

盧圣龍：如果最終被認定為網(wǎng)絡安全事件，平臺可能面臨違反《網(wǎng)絡安全法》《數(shù)據(jù)安全法》的處罰，包括罰款、業(yè)務整改，甚至暫停服務。如果涉及用戶數(shù)據(jù)泄露，還會觸犯《個人信息保護法》。此外，內(nèi)容安全主體責任履行不到位，平臺也可能被約談、要求整改。

黑灰產(chǎn)不一定是“盜號”，更可能是“用號”

鏡相工作室：多家媒體報道稱，當晚有上萬個賬號進行違規(guī)直播。根據(jù)目前的信息，可以初步判斷這些賬號來源是什么嗎？

盧圣龍：目前沒有證據(jù)表明這些賬號來自普通用戶被盜。更可能的情況是，這些賬號屬于黑灰產(chǎn)手中的“庫存號”。如果真是黑灰產(chǎn)攻擊風控平臺，其實不需要大家想象中那種“千萬級”的巨量沖擊。關(guān)鍵在于攻擊點要精準。

鏡相工作室：也就是說，不一定是“盜號”，更可能是“用號”？

盧圣龍：對。很多平臺存在大量被批量注冊或收購的賬號，它們平時可能處于靜默狀態(tài)，一旦風控出現(xiàn)漏洞，就會被集中啟用。

鏡相工作室：和過去互聯(lián)網(wǎng)大廠的數(shù)據(jù)泄露事件相比，這次事故有什么不同？

盧圣龍：這個事情要分兩個方面去看。第一，如果按照快手所說的，風控平臺或業(yè)務被攻擊，那和我們?nèi)粘Ｌ幚淼陌咐龥]什么不同。

從快手本次事件中用到的技術(shù)來說，在安全圈內(nèi)不算"新的攻擊手法"，但它們被組合起來針對直播平臺的特定業(yè)務邏輯（如高并發(fā)的審核機制）進行了精準打擊，從而造成了巨大的破壞。

第二，被攻擊之后的黑產(chǎn)的一系列行為，比如大量涉黃直播出現(xiàn)，就和單純的數(shù)據(jù)泄露有比較明顯的差異。

一般的數(shù)據(jù)泄露，攻擊者的目的比較明確，可能想拿到主機里的信息，商業(yè)泄密，或者挖礦、勒索、數(shù)據(jù)竊取。現(xiàn)在看來，快手這次的攻擊者，目的可能是為了大量開設直播，里面可能會有一些導流的情況，掛一些鏈接，利用系統(tǒng)漏洞牟利。

鏡相工作室：快手發(fā)布公告稱，此次事故是遭到黑灰產(chǎn)攻擊。黑灰產(chǎn)產(chǎn)業(yè)鏈是如何運作的？

盧圣龍：黑灰產(chǎn)已經(jīng)形成了聯(lián)系緊密的上中下游分工。如果是有組織的黑灰產(chǎn)行動，上游是工具開發(fā)者、驗證碼平臺、數(shù)據(jù)販賣者。他們提供自動化腳本，可以繞過風控。中游是“號販子”。他們收購、注冊、養(yǎng)護大量平臺賬號，并根據(jù)粉絲數(shù)、活躍度進行分級定價，就像一個“賬號期貨市場”，給攻擊供應大量實名或非實名的賬號。下游是攻擊的執(zhí)行者。他們租賃或購買工具與賬號，在風控失效的時間窗口內(nèi)集中開播，目的是引流、詐騙或惡意推廣。

而且，這種攻擊成本并不高，但回報可能很大。利用群控系統(tǒng)和廉價的“僵尸號”，即便絕大多數(shù)賬號被封，只要有極少量存活并成功引流，收益即可覆蓋成本。

鏡相工作室：隨著技術(shù)的發(fā)展，企業(yè)目前面臨的黑灰產(chǎn)攻擊有哪些變化嗎？

盧圣龍：一方面，黑灰產(chǎn)的作惡門檻越來越低。有些黑產(chǎn)團隊已經(jīng)在使用AI做數(shù)據(jù)的關(guān)聯(lián)和分析。比如通過AI打標簽、出詐騙劇本。如果黑產(chǎn)團隊有你的人臉信息，和其他足夠多的數(shù)據(jù)，可以生成足夠逼真的視頻或音頻詐騙。

另一方面，黑灰產(chǎn)的危害程度和影響范圍也越來越大。比如通過直播，短時間內(nèi)就能影響到上千甚至上萬人。

而且，本質(zhì)上攻防對抗就是成本對抗。作為攻擊者的黑產(chǎn)愿意投入資源，可以買到大量的賬號，可以通過買驗證碼平臺，繞過系統(tǒng)的監(jiān)控，批量用虛假身份注冊賬號。而對于防守的企業(yè)來說，資源是固定的。如果黑產(chǎn)的投入比企業(yè)安全防護高很多倍，系統(tǒng)是可以被攻破的。

安全不應是“可妥協(xié)的成本”

鏡相工作室：從行業(yè)角度，“快手直播事故”有什么值得反思的地方？

盧圣龍：對企業(yè)來說，風險是共性的。快手的問題不是孤例，它反映出國內(nèi)企業(yè)一個長期存在的問題：安全是成本中心，而非利潤中心。在財務報表上，安全團隊的投入是純支出。它不直接帶來新增用戶、提升活躍、增加營收。因此，在資源分配、技術(shù)立項、乃至公司話語權(quán)上，安全部門常常處于弱勢。表現(xiàn)在人上，很多公司安全團隊人力緊張，要負責多個安全領域，很難做深做透。

在業(yè)務壓力下，安全常被視為“可以暫時讓步”的部分。很多公司的安全建設是“合規(guī)驅(qū)動”和“事件驅(qū)動”的。不出事，預算緊張，優(yōu)先級靠后；出了事，才會短暫重視，追加投入。這種循環(huán)導致安全建設缺乏前瞻性和體系性。

鏡相工作室：對于企業(yè)來說，安全部門的理想投入比例應該是怎樣的？

盧圣龍：這很難給出一個統(tǒng)一的數(shù)字，但它應當與業(yè)務規(guī)模、風險等級匹配。目前國內(nèi)企業(yè)在安全上的IT投入占比，相比業(yè)務系統(tǒng)投入仍然偏低。安全不是“用了就行”，而是需要持續(xù)運營、迭代的系統(tǒng)工程。

現(xiàn)在我們的攻防技術(shù)，已經(jīng)可以通過智能風控、用戶分層策略，在不影響大多數(shù)用戶體驗的前提下對高風險行為進行管控。此外，應急處置機制必須健全。

鏡相工作室：有專家指出，此次事件核心是“攻擊自動化”與“防御人工化”的不對稱對抗。在你看來，要構(gòu)建有效的AI自動化防御體系，最關(guān)鍵的是需要訓練AI識別哪些新型、隱蔽的攻擊模式？

盧圣龍：不同的AI應用場景需要訓練不同的模型，比如風控審核是內(nèi)容安全模型，內(nèi)容安全的對抗通常為攻擊者在違規(guī)圖像中添加人類肉眼無法察覺的微小擾動，技術(shù)上通常叫做噪聲，這可能會導致傳統(tǒng)的深度學習模型出現(xiàn)誤判，然而針對于傳統(tǒng)的網(wǎng)絡安全攻擊手法，則應該從攻擊手段，內(nèi)部的自動化告警、研判、處置等角度去構(gòu)建。

鏡相工作室：如今，AI技術(shù)被黑灰產(chǎn)廣泛應用，你如何看待這一變化？

盧圣龍：攻擊確實門檻在降低，但防守技術(shù)也在進步。AI可以用于攻擊，也可用于風控模型的訓練和異常識別。真正的差距不在于技術(shù)，而在于資源和優(yōu)先級——攻擊方可以集中力量打一個點，防守方則要守護整個面。長期來看，還是一個企業(yè)安全系統(tǒng)資源持續(xù)投入的問題。

鏡相工作室：這次事件會對行業(yè)帶來哪些影響？

盧圣龍：這次事件的影響是非常大的?，F(xiàn)在，《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》以及有關(guān)部門的一系列內(nèi)容管理規(guī)定，正在壓實平臺的主體責任。有關(guān)部門可能會加強對企業(yè)安全履職情況的檢查，平臺也會更重視風控系統(tǒng)的冗余和高可用設計。

從個人角度，我現(xiàn)在最關(guān)注兩點：一是此次事故的最終原因能否透明公開，二是平臺是否會從根本上調(diào)整業(yè)務與安全的權(quán)重。如果只是技術(shù)修復而機制不變，類似問題可能還會發(fā)生。

【版權(quán)聲明】所有內(nèi)容著作權(quán)歸屬鏡相工作室，未經(jīng)書面許可，不得轉(zhuǎn)載、摘編或以其他形式使用，另有聲明除外。