嘶吼专访 | 蚂蚁集团副总裁、首席技术安全官韦韬：原生安全范式“非常道”

随着数字经济的不断发展，资产价值愈加重要。网络安全、数据安全、隐私保护等威胁与日剧增，网络定向攻击、数据泄露等网络安全事件频发，严重影响国家安全、公众利益和企业数字化建设。

网络安全和数据安全建设面临的严峻态势和挑战，也推动着行业加速研究新一代安全体系的进程，安全与业务之间高效协同、共生发展已经成为行业发展的大势所趋。面向数字生命体的原生安全范式与安全平行切面技术体系，由蚂蚁集团历经多年实践凝练而成，是中国科技公司首创的变革性安全体系，有望为数字化企业安全发展提供扎实的理论基础与最佳实践。

蚂蚁集团副总裁、首席技术安全官 韦韬

为此，嘶吼对蚂蚁集团副总裁、首席技术安全官韦韬进行了人物专访，围绕企业数字化安全建设的技术挑战、原生安全范式以及安全切面体系的落地等话题，进行了深度探讨。

原生安全范式——对安全问题本源的认知

1962年，美国著名的科学哲学家托马斯·库恩在他的著作《科学革命的结构》中系统阐述了范式的概念。范式的本质是一种理论体系和理论框架的总称，由基本的定律、理论应用等构成一个整体，范式的存在为研究人员提供了具有指引性的纲领。在韦韬眼中，原生安全范式是对安全问题本源的认知以及对该领域的实践指导。

随着技术能力与企业发展需求的演进，数字化已经成为了现在企业发展的必然趋势。韦韬介绍道，数字化企业是一种不断进化的数字生命体，不断引入的外部数字化服务和行业技术体系的演化，将推动其形成非预期内的数字基因代差积累，并导致复杂性爆炸，从而引发各种安全风险。

比如，在复杂网络中做安全防护，去判断每一个网络访问是否合法的难点在于安全管控的复杂性爆炸。访问的主体有大量的用户和应用，访问的客体有大量的库表和不同应用的API等；加上专有云和公有云的混合，使得运行环境呈现高度动态变化态势；由于云原生和微服务技术的广泛应用，产生大量的业务之间的调用，访问链路也越来越复杂。再加上现今网络业务场景也在爆炸式增长，导致很难依靠单一环节的局部信息来判断一个网络访问的合法与否。

过去的安全防御，只针对于单独的某个应用和系统，而现在的目标是需要对完整的复杂数字生命体进行持续性的保护。此时，对安全问题本源的认知就格外重要，这样才能有效指导安全领域的技术实践。

特别地，基于网络访问安全本源的认知辨析，韦韬和蚂蚁安全团队的伙伴们创造性地提炼出OVTP范式（Operator-Voucher-Traceable Paradigm)和NbSP范式（Non-bypassable Security Paradigm)，由此开启了在“原生安全范式”方向的实践探索之路。

OVTP范式（操作者-凭证-可追溯范式）

OVTP范式指出，要完整准确地研判一个网络访问是否合法，应该基于该访问的操作者（Operator）的访问链路信息与凭证(Voucher)的传递链路信息。韦韬强调，OVTP范式可以让我们站在一个数字化企业或机构的全局视角，来思考研判访问是否安全合法究竟应该获取和研判哪些因素。

尤其是，需要知道该操作的实际操作人究竟是谁，以及该链路上的应用和环境是否符合安全要求，以避免访问被篡改或者泄露。

此外，凭证（Voucher）也非常重要。凭证不同于访问凭据（Credentials, 身份凭据），是操作者能够执行合法操作的关键依据因素。传统的访问控制体系往往仅注重于操作者有没有权限，但忽略了在实际业务场景中，并不是有权限可以为所欲为。比如，财务人员也有权限花钱，但需要有相关的合同和发票才能够付账。此时，合同或者发票就是此财务人员进行付账操作的业务凭证。

很多访问链路上有大量的应用以及复杂的动态环境，对嫌疑异常访问的研判往往是一个非常费时费力的安全难题。这些研判的困难往往在于 OV链路追溯的断档，但不幸的是，这是业界常态。传统的零信任、云AK机制、 RBAC并没有认知到OVTP范式，也缺乏对OVTP范式的支持。比如云服务的AK机制，可否访问都归结于是否持有AK。因为是云，来源是动态的，访问链路往往并不具备可追溯性。而传统的RBAC是基于角色的访问控制，很多时候它也不能追溯到具体的人，所以操作链路也是处于断档状态。

OVTP安全范式，可以让异常访问的分析判断更加直观且便捷。很多时候，并不是所有的异常行为都是攻击，误报率非常高。传统上出现异常时，往往需要安全运营人员手动挖掘分析整个链路，导致大量人力物力资源的浪费。另外，在真正发生攻击的时候，对链路和凭证的溯源也占据了大量的时间。

NbSP范式（不可绕过安全范式）

作为各种安全机制包括OVTP范式的基础性支撑，NbSP范式是显式要求确保关键安全检查点不可被绕过。这看起来是一个安全的基本要求，但是在当今复杂系统里，这点往往无法得到有效保证。

现在数字化网络系统的链路极其复杂，有大量的执行链路，这也导致很多系统并不满足NbSP范式要求。有些隐性链路或被滥用的链路，可以被攻击者用于绕过安全检查点，那么整个安全保障就会被击穿。软件内存安全漏洞、ODD反序列化等漏洞的最大威胁就是破坏了NbSP范式，从而破坏了包括OVTP范式在内的各种安全机制。

关于NbSP范式的设计和保障，对于新的核心系统，可以直接通过模型检验等形式化验证方法来证明系统中不存在绕过安全检查点的执行路径；对于已有的业务系统，则可以通过安全平行切面技术，识别并阻断各种绕过关键检查点的非法行为。

安全平行切面支撑原生安全范式落地

如果说原生安全范式是对安全问题本源“道”的探索，安全平行切面技术则是实现这些安全机制的全新方“法”体系。二者相辅相成，让安全理念得以落地。

“切面”作为面向企业数字生命体的新一代安全基础平台，能够通过插装或者AOP机制融入业务应用系统，并且通过将切面安全应用逻辑与业务应用逻辑解耦，从而实现安全与业务的快速平行迭代。这种平行迭代能力非常关键。企业中业务应用系统的迭代具有自己的周期节奏，而安全策略保障却往往有不一样的时间要求。若两者强行耦合会导致“绑脚走路”的安全困境，往往容易顾此失彼。

这时，安全平行切面在业务与安全之间既融合又解耦的能力，能够把包括原生安全范式在内的安全迭代更好地跟业务应用系统结合起来，从而更高效地推动安全保障能力的升级实现。

对于OVTP范式，蚂蚁集团基于安全平行切面技术体系，在应用空间内植入微网关能力，能够把操作者身份以及凭证信息在应用之间平行传递，补足链条，从而满足OVTP安全范式的溯源和研判要求。这种原生安全范式升级方法是可以由安全团队进行独立的平行升级，不需要业务应用研发方重新修改业务代码，即可快速部署。

对于NbSP范式，常见的漏洞攻击就是典型地绕过了安全机制进而直接进行任意的远程命令执行。安全平行切面可以对各种敏感操作强制进行安全策略检查，从而强化业务应用系统，使其遵从NbSP范式。

原生安全范式与安全平行切面相结合，最大的优势在于整体安全治理效果和效能的跨越式提升。例如，2021年双十二大促期间，针对 log4j2漏洞攻击，蚂蚁集团安全平行切面实现小时级全站止血，安全应急人力从 fastjson应急时的6000人日降低到30人日，效能提升达到百倍，止血加固双管齐下，业务0打扰化解危机。

无论是对原生安全范式的支撑以及高效实现，还是对于攻防对抗和安全风险的治理，切面既融合又解耦的能力对安全响应整体的效能提升都非常显著，于企业和组织而言，它能够更好的支持原生安全能力的部署，支持越来越复杂的数字生命体的演进。

结语

在企业数字化转型进程中，原生安全范式是“道”，安全平行切面技术是“法”，平行切面系统上的具体安全应用是“术”，他们共同形成一个整体来推动网络安全建设往前发展，守护行业的数字化转型平稳进阶。