2018-09-14 11:04:3711561人阅读
本文转自极验(geetest_jy)
业务安全本身存在已经很久了,但是这个词从2013年才逐渐进入了人们的视野,随着O2O模式的飞速发展,从13年开始不管是外卖平台,还是各种家政、维修上门服务......一个个如雨后春笋般涌入我们的生活。
随之而来的依靠大量资本注入而进行的客户争夺战斗,铺天盖地的优惠券、新人红包、免单服务,让很多互联网用户第一次意识到原来自己的一个账号如此“值钱”,我想大多数人都应该享受过饿了么或者美团外卖的免单服务或者一元午餐。而也正是这个时候一个新的职业诞生了——“职业羊毛党”。
“职业羊毛党”是随着整个互联网高速发展,资产不断由线下向线上转移过程中,由于趋利本能驱动产生的职业,逐渐成为一种作案成本(包括法律风险)相对较低,获利巨大的“灰色产业”。
01 业务安全不同于传统安全
业务安全,业务一定是在安全前面,不懂业务,何谈安全。
想了很久非要举例来说明的话,其实业务安全就像我们要设计一条城市道路一样,业务就像是这条路,起点终点都很明确。至于在这条路程中,每个路口到底是用环岛、用红路灯、用高架桥还是隧道,就是安全要考虑的问题。
因为每一个路口的车流情况都不同,比如车流较少的时候适合用环岛减少交通冲突点,到达一定规模就必须采用红绿灯来规避环岛的自锁现象;再如为了节约成本什么时候用高架,什么时候用隧道;如果你不懂这些怎么能规划一条道路?同理如果你没有深入业务场景怎么能做好业务安全呢?
见过了太多的企业把公司的业务安全放到传统安全部门下面负责,更有甚者让运维部门来负责业务安全。没有任何贬低传统安全或者运维的意思,也不排除有少数的做传统安全的或者做运维的可以同样把业务安全做好。但是个人从事这个行业几年,单在北京少说见过了上百家大大小小企业,有独立的业务安全或者风控部门的企业不足一半,而其中除了少有的几家大厂,真正把业务安全做的好的更是寥寥无几,有些公司的安全人员甚至打算用WAF彻底解决自家的“薅羊毛”问题,用传统的思维来解决业务安全必然行不通。
业务安全相比传统网络安全要更加复杂,安全策略离不开业务,安全要服务于业务,要充分了解自己的业务逻辑,预想可能存在的风险、出现问题后及时止损的方案。
02 真正的安全并不完全依赖于技术
你的技术够厉害,模型够智能,你的设备指纹、ip库、黑卡库够全,也只能解决部分问题。木桶定律同样适用于业务安全,最后的效果取决于最短板。如果业务本身设计就有问题,再厉害的技术都无济于事,因为安全对抗的本质是成本对抗,说的再明白点就是黑产要考虑自己的投入产出比。
拿目前一些房地产行业类似“线上预购抢号”的业务来说,打算买上千万房子的人,就不差用几千甚至上万的钱去买一个必中的号。客单价在千元/万元级别,如此大的利润空间,黑产可调配的资源可想而知,多厉害的策略、系统都捉襟见肘。
如上图所示,我们用一个优惠券发放的例子来说这件事情,我们通过使用条件、有效期、使用账户限制、领取渠道四个维度来简单分析(实际电商应用中考虑因素还要复杂的多),途中优惠券A、B、C、D业务风险依次递增:
使用条件。这个很好理解,满减券安全系数肯定大于无门槛券,满额条件理论上越大越好,但是出于客户使用门槛考虑,制定要相对合理。拿优惠券C和优惠券D在我们看来差别或许不大,只是一分钱的区别。但是站在安全的角度上就有着极大的区别,这一分钱对于正常用户来说几乎没有影响,而对于黑产来说,多这一分钱的门槛意味着要多走一步支付流程,就是这一步流程或许就能暴露出有用的信息。
有效期。3天要比30天安全的多,缩短了黑产转卖、流转的时间,黑产利益链的下游是要在一些类似淘宝的第三方平台售卖变现的,缩短的有效期等于变相增加了其变现难度。
使用账户限制。同样对正常用户几乎没有影响,但是限制了黑产的转卖路径。
领取渠道。目前黑产的自动化脚本或者说作案成本在h5、web、app依次增加。
做好业务安全需要在业务上线前进行缜密的业务逻辑设计、梳理,将最大的风险提前规避。很多设计得当的运营活动本身就可以规避80%的安全隐患,当然这是在充分了解黑色产业链分工基础上的,技术层面能做的都是画龙点睛,一个合理的业务逻辑才是重中之重。
03 知己知彼,百战不殆
从O2O到P2P,从各种网约车、共享单车的兴起到目前出于风口上的区块链行业,可以说互联网每一个大的浪潮都是一次灰黑产业发迹的盛宴。
不论哪一个行业的兴起都势必经历野蛮生长、商业模式的盲目复制、近乎疯狂的补贴大战。整个用户生命周期内,拉新、获客、促活的运营活动依靠着资本的大量注入,动辄千万、上亿级别的烧钱大战,正是这样庞大的资本投入为黑灰产业提供了巨大的利益空间。
所以在了解自己业务的同时,更要了解自己的对手。随着几年来的不断的高强度对抗,黑产的规模、资源积累、软硬件配置、人员素质、响应速度、信息同步、作战素养远远超出我们的想象。支付宝这样的大厂都能被薅几百万羊毛,背后规模可想而知。
业务在明,黑产在暗,本身在对抗层面企业就处于劣势,黑产有充足的时间通过小规模的试探来找到线上的业务规则,从而进行后续大规模的攻击。
黑产成长速度极快,为了达到效率最大化,他们的群控设备也好、猫池卡池也能得到充分利用。黑产每天面对的是几十上百家企业的业务,相当于在和几十上百家不同级别的风控系统博弈,集百家之所长。
所以要想做好业务安全必须深入黑产:
链路层面:要了解他们的上中下游的分工,上游如何获取信息,中游如何作案获取网络资产,下游如何变现;
技术层面:要知道黑产主要作案工具有哪些主流模拟器、改机软件、设备农场、云控平台、猫池卡池、接码平台、打码平台运作流程等等。
04 部门之间的纠葛
有人的地方就有江湖,业务安全这个事情同样如此。安全部门和业务部门的人出于自己或者部门利益的考虑往往会有很多内部掣肘的事情。
拿业务安全来说,见过很多的企业,出于发展初期或者已经非常成熟的大公司内部沟通成本相对较低一些。
发展初期的公司,人员相对较少、组织架构也不复杂,负责安全和业务也许就是一个团队,执行力很高;
成熟的大公司,部门分工相对明确,有完整上线流程把控,后续追溯机制,部门间的话语权相对平衡。
而出于发展上升期的公司,往往也是业务安全压力最大的时期,需要不断的运营活动来保持自己的增长,这样就出现:
安全部门希望保证安全,运营部门希望保证KPI达成。而恰恰处于这个阶段,公司业务部门的话语权要高于安全部门。曾经有一个做P2P的公司,铺了很多的信息流广告,获客单价很高,业务部门对转化率极其敏感,强迫安全部门把注册短信验证码也下了。
最后的结果:转化率并没有明显的提升,反而短信通道被短信轰炸机利用,造成了很坏的影响。成本消耗是一方面,最重要的是收到很多用户投诉,短信通道被封。
现在工信部对短信类投诉处罚力度很大,一旦短信接口被封又没有备用通道的话,会影响整个网站业务。如果有不明白短信轰炸原理或者危害细节的可以查看之前的文章。【极验ISL分享】简析短信轰炸给平台注册场景带来的交互安全威胁
回顾上文所说的这个案例:
业务部门的话语权太强,没有考虑到安全隐患,仔细回想业务本身,影响转化率的因素有很多。以CPA结算方式为例,渠道的流量质量、投放精准度、注册逻辑复杂程度、页面设计友好性、输入法调用、文案亲和度、页面稳定性等都会对每一个环节的跳出产生影响,而一味的牺牲安全性保证来换取只有微乎其微的转化率,很多情况下会得不偿失。
很多业务部门在活动设计的时候太过于理想化,或者太低估黑产的实力,去年被羊毛党大军薅破产的P2P企业都还历历在目,但对行业的警醒作用却微乎其微。如人饮水,冷暖自知。
05 可量化的成效
说的难听一些,很多安全部门在公司的地位就是处于“背锅”的位置,不出问题做的再好体现不出价值,一旦出了问题就是安全不到位。而一个公司的安全往往又是至下而上推动的,大多数安全体系的建设靠事件驱动,出了问题才意识到安全的重要。最深切的体会就是很多业务方被羊毛党薅的业务不得不暂停,才找到我们帮助解决问题。
很少有公司是至上而下的从高层就有完整的安全意识和系统的规划。其实我们从源头来想这个问题,没有明确的KPI考核或者安全效果无法有效的量化是关键原因。在行业内,本身安全效果量化就是一个老大难问题,在业务安全层面可以提供几个可量化建议:
1. 拦截量/拦截率
这个指标可以是账户也可以是事件,尽可能做到对每一个拦截都能给出明确原因,给出明确拦截原因的目的。一则体现自己安全能力,和其他部门对数据的时候有理有据,二则为可能存在的客户投诉提供依据,这里需要补充两点:
①任何业务安全模型也好、规则也好都会存在误杀,对客诉的处理、复查要提前准备;
②并不是黑产就不会投诉,你对抗的始终是人,所谓“恶人先告状”目前很多黑产账号被封后也会投诉、或者在社群恶语相加,诋毁平台来挽回损失,所以处理客诉的话术要提前准备,既可以了解诉求又不至于把真正的风控规则暴露于众。
2. 客诉率
这个指标往往可以衡量整个安全系统,对于真实用户误杀比例或者真实用户在业务流程中被干扰的程度,虽然不是每一个被误杀的用户都会投诉,但是只要数据量足够大,都会有正相关关系,适用于大树法则。当然前提是有有效的客户反馈渠道和有效辨别真实客诉的能力
3. 借助黑产的数据
这个分两个层面,纵向来看可以对比上线风控系统前后,黑产攻击成本的变化;横向来看可以对比黑产在攻击自己平台和竞品平台的成本投入。
至于数据来源,只要你情报监控做的到位都可以发现。例如最近火热的某咖啡,上个月还只需要2块钱就可以在某宝下单任意咖啡,近期上线风控系统后,涨到了16元一杯,黑产作案成本翻了8倍;再比如和国内某一线电商平台账号安全部门交流过程中了解到,他们很重要的衡量指标就是自己平台账号在黑产的定价是否比竞品的账号卖的贵,差价越大说明自己账号安全做的越好。
结尾
近两年越来越多人投身于业务安全行业,包括很多BAT团队和传统安全厂商的加入,整个行业的水平都有了很大的提升,但还是存在很多有待改善的地方:乙方公司以做产品的心态来做业务安全,往往存在与具体业务耦合度不够或者定制化交付成本太高的问题,最后一公里交付问题有待合理解决;甲方公司则是大量缺乏懂业务的安全从业者。
最后引用一句丘吉尔的名言“成功不是最终的,失败不是致命的,重要的是继续前进的勇气”,希望更多的人能够加入业务安全的领域。
本文转自极验(geetest_jy),作者闫定国,百度安全授权转载,原文链接