在阿里安全工作是一种怎样的体验?正如众人猜测的那样,P7、P8开始奔跑,年薪百万的各行各业HR,周末朝九晚十忙碌,加班加点,你想学会永远活下去吗?这不是真正的阿里安全。下面介绍一下我的个人经历。都是在阿里安全工作了几年的技术er。他们在进入阿里安全之前,有的是技术分享平台上知名的“红人”,有的功力深厚,可以轻松破解苔丝。拉,有的拿到顶级会议论文,手软。这些顶着光环走进阿里安全的人,一路走来并不一帆风顺,但他们依然热爱这份工作,并树立了自己的“小目标”。“科技红人”米饭:要有商业嗅觉和前沿眼光2014年11月11日,即将从香港中文大学博士毕业的米饭知:什么样的经验是在阿里巴巴安全工作。那个时候,米饭虽然还没毕业,但已经是安全圈的技术红人了。在读博士的第一年,Steamy心血来潮写了一个病毒混淆工具,叫做“ADAM”。用本工具简单混淆后,可以更改病毒文件,杀毒软件无法立即识别。米饭的系列研究也深受吴云白帽的喜爱,他凭借巧妙的iOS漏洞研究成功吸引了安全领导的注意。虽然阿里平安没有来得及“先发制人”,但Curve邀请米饭参观阿里巴巴杭州园区:“小兄弟,我们来看看吧,如果生意不成,我们就自由行。“随后,米饭在“双11”被巨大的交易量所震撼,加入了阿里安全。蒸饭元年,朋友圈火爆,蒸饭过得非常“惬意”,他“囤”进安全研究,发现并命名影响数亿设备的iOS病毒XcodeGhost和影响数百台设备的XcodeGhost数以百万计的设备Android应用程序漏洞WormHole对安全领域产生了巨大影响,也帮助苹果修复了多个iOS系统安全问题。但到了第二年,米饭逐渐意识到,安全研究要落地,真正为业务服务,还有很长的路要走。蒸饭并没有放弃深入研究,而是开始刻意培养自己的“商业头脑”。由于对苹果操作系统安全的深入理解,他的部分研究成果也成为了阿里安全新一代安全架构的一部分。提供更安全的服务,让社会“数字基建”的水泵、发电机更有动力。他也一直在思考技术与商业的关系:“你可以把20%的精力花在对行业有影响的研究上,它们会像一盏灯,照亮未来。服务商业更注重综合能力的培养,让研究落地,让客户愿意使用,帮助企业,就等于帮助了企业。新一代安全技术架构,让数字基础设施更安全,就相当于产生了影响在社会上,最终让世界变得更美好。它甚至更好。”《破解狂魔》清伟:开发“自动化工具”解放自我2014年,浙江大学大学生清伟在乌云上浏览米饭发表的炫酷研究时,没想到他会两年后与他见面。这位传说中的安全网红也拿到了阿里之星,跑到阿里安全“玩机”了。清伟成了“IOT破解狂”,从无人机到Wi-Fi攻击,没有他搞不定的“机器”。事实上,本科时主修自动化专业的庆伟,认为自己未来应该走精密仪器研究的道路。没想到在读研究生的时候,导师对网络安全非常热衷,带领清微走上了安全之路,而清微成为了一名CTFer,甚至为此开发了一套注重用户体验的CTF竞赛平台。清微还参加了SyScan360安全大会的Tesla破解比赛。他发现了车钥匙无线协议的漏洞,成功开走了没有钥匙的特斯拉,成为了真正意义上的第一人。一个在中国破解特斯拉的人。后来清微发现了汽车的CAN总线漏洞,把这个破解工具开源在了GitHub上,方便大家一起讨论技术。种子选手清伟面临着“解放人力,如何复制多个‘技术人才’”的问题。当了两年“破解狂人”,各部门纷纷将物联网硬件送到清微进行安全测试。他觉得这种方法效率太低(很累),效率太高(太多)。“输入设备,再输出设备”,他要摆脱这种“机械化”的操作,让工具代替人力去做这件事。“物联网设备种类繁多,每一种都重新研究成本太高。有人总说物联网安全是假热点安全,如果能自动检测,成本会大大降低。””清微设想做一个平台工具,可以检测所有物联网设备,降低物联网安全的门槛。目前,他正在愉快地实现这个“小目标”。叶:叶霆在坐公交车参加时遇到了清微阿里星交流会。在霆烨看来,米饭和青薇都是天才选手,他只能靠努力和认真做研究的人。记住,如果以后有人对你说这句话,尤其是如果这个人还是北大毕业的,别信。听爷,一个“普通”的听爷,上大学之前一行人还没写过代码呢,第一节编程课就像听着天书,一身冷汗,跑到医务部要求转专业,老师告诉他:“同学,转专业要等一年,要不你再试试。试试?”“没想到,一个寒假过后,自学试一试的霆夜竟然冲进了年级前十。他开始觉得这个专业有点乱。后被世界顶尖理工学院联邦理工学院录取,直接攻读博士学位,开始研究遗传密码数据保护,正式踏入密码保护领域。毕业前,叶婷获得了三项CCF-A安全顶级会议,并发表在SCI生物1区期刊GenomeResearch,获得12月封面论文。密码学研究与应用小能手叶霆在进入阿里安全后,与队友一起获得了2019年iDASH国际竞赛冠军。他还获得了2019年CISC密码学竞赛冠军。然而,拿下奖品的手软的叶霆也遇到了困难。第一个问题是,从学术研究到产业应用的跨界,总会有不可接受的情况。“比如我们跟外部公司进行技术合作,对方对带宽和成本有限制,我就得想如何在限制范围内发挥最大的效果。以往研究不受实际应用条件的限制,但现在我们要考虑合作伙伴的需求,成本和收益的平衡。”叶婷说。第二个问题,前沿的密码学技术精密复杂,如何让人愿意使用?霆烨觉得仅仅创造技术是不够的。要想技术落地,就必须学会使用最流行的语言。让大家真正明白。于是,安全研究员叶婷成为了一名“技术推销员”,一年跑遍了十多个部门。他要让“三岁小孩”看懂它,解决落地难的问题,真正突破密码技术和实际应用的壁垒。每个人都只是时代的一粒沙子,但听业、清微、米饭的“沙子”在阿里安全中形成了阿里新一代安全架构的“技术骨架”,支撑的不仅仅是阿里经济的安全,也是整个数字基础设施的安全,是他们在阿里安全工作的经验。
