在上一講中,我們探讨了業務安全和黑産(也叫黑灰産),知道了業務安全的本質就是資源對抗,業務安全的防護手段就是提高黑産的資源成本,并且針對不同的資源類型,我們需要采取不同的方法來進行對抗。
在基礎安全中,我們提出了“黃金法則”作為總體思路,來對各個防禦手段進行梳理。那麼,在業務安全中,我們有沒有什麼方法論可以作為參考呢?這一講,我們就來聊一聊提高黑産資源成本的方法,以及如何從根本上防禦黑産。
在安全标準和架構中講過,我們可以通過 NIST 的安全架構 IPDRR,在基礎安全中建構出一道比較全面的縱深防線。在業務安全中,IPDRR 同樣可以指導我們與黑産進行對抗。這裡我總結了一張對比表格,你可以先了解一下 IPDRR 在基礎安全和業務安全中的異同點。
接下來,再看我對業務安全中 IPDRR 内容的重點講解。
Identify(識别):和基礎安全一樣,業務安全的識别階段主要是進行威脅評估的工作。我們需要找到黑産可能擷取到的業務邏輯中的投入成本,比如,應用發放的紅包、優惠券等。
Protect(保護):在業務安全中,我們是通過産品方案來實施認證和授權過程的。比如,對于登入過程增加雙因子認證和驗證碼等,就是加強認證的安全性。
Detect(檢測):檢測階段主要是風控系統發揮作用。
Respond(響應):發現黑産的攻擊後,我們可以通過封禁賬号、攔截操作、拒絕提現等方式,來阻止黑産擷取利益。
Recover(恢複):最後就是對整個系統進行恢複了。在業務安全中,黑産可能已經盜取了某些賬号,或者已經領取了部分紅包。這時,我們就需要通過合适的營運機制,将賬号傳回給原使用者,把紅包退回到獎金池中。
以上就是業務安全中的 IPDRR,從中我們可以看出,業務安全的縱深防線也是環環相扣的,我們需要在各方面都進行防護,避免安全短闆的出現。
IPDRR 的指導思想貫穿了整個業務安全的防禦過程,内容很多也很重要。是以,今天我們先來看 IPDRR 中的前兩個部分,識别和保護。
前面說了,在識别過程中,我們的主要工作就是威脅評估。在業務安全中,黑産的最終目的是竊取公司投入的成本來擷取利益,但公司成本的具體表現形式很多,是以,業務安全中的威脅評估也更加複雜。下面,我就以一個典型的業務場景為例,總結在業務安全的威脅評估中,我們需要重點考慮的因素。
我們來看最近比較流行的邀約活動,幾乎所有的 App 都會在拉新階段開啟各種各樣的邀約活動。而且對于這類能夠刺激使用者增長的活動,公司都很舍得投入大量的資本,是以邀約活動是黑産聚集的“重災區”。
邀約的邏輯:已注冊使用者可以通過邀請碼的形式邀請新使用者注冊,注冊成功後(可能需要新使用者完成一定任務)雙方都可以獲得一定的獎勵,如現金紅包(可以參考拼多多)。
邀約活動的目的很明确,就是拉取新使用者為公司帶來使用者增長。那對黑産來說,獲利的方式就是通過大量注冊小号,完成邀約任務,獲得現金紅包的獎勵。現在的獎勵金額一般是幾塊到十幾塊不等,是以,黑産的利潤很高。
這個時候,如果公司想要攔截邀約活動中的黑産使用者,需要考慮哪些因素呢?我認為需要重點考慮實時性要求、漏判影響和誤傷影響這三方面因素。實時性很好了解,就是我們要評估在哪個階段對黑産進行評估和攔截。所謂漏判,就是沒有識别出黑産,讓其成功獲利。而誤傷就是正常使用者被判定成了黑産,無法正常使用業務功能。
下面,我就來說說原因。
選擇攔截黑産的時機是非常重要的。一般來說,攔截時間越靠前就能越早攔截黑産,但是誤傷對使用者體驗的損傷也越大,而攔截時間越靠後風險越小。除此之外,我們還要考慮業務的邏輯。
比如,對于邀約活動來說,紅包提現一般都需要稽核。是以,我們不需要在邀約活動中實時攔截,隻需要在提現的時候進行攔截即可。這樣的攔截方式風險更小、效果更好。
我們在指定業務安全防控政策的時候,漏判影響和誤傷影響決定了政策的嚴格程度。如果漏判影響更大,就需要制定更嚴格的政策對黑産進行控制;如果誤傷影響更大,政策要相對寬松,有的時候我們甚至可以放過一定的黑産來降低誤傷。
對于邀約活動來說,在黑産刷走大量現金之後,漏判影響是指公司有大量的資金損失。這對公司來說并不緻死,因為使用者的正常邀約行為不會受到黑産影響。
誤傷影響比漏判影響嚴重的多,誤傷一旦出現,就會讓使用者對邀約活動的真實性産生質疑。如果你做過業務,一定知道,使用者的信任是很難培養的。而一旦喪失了使用者的信任,業務基本也就失敗了。是以,公司基本不容許出現誤傷的攔截。
總之,對于邀約活動的業務安全防禦來說,避免誤傷是我們最核心的關注點。為了避免誤傷,我們可以将防禦機制延後,避免對使用者正常參與活動的流程産生影響。同時,我們可以将防控政策放寬,通過放過一定的黑産來降低誤傷。
當然,還有很多其他類型的業務和活動,比如,微網誌中常見的排行榜、支付寶的集福抽獎活動,你可以試着對它們進行一次威脅評估工作,來看看在這些業務活動中,我們所面臨的黑産威脅是什麼樣的,以及我們應該以什麼樣的态度去防禦黑産。
這三種業務場景的威脅評估結果,我總結了一張表格,供你參考。
上圖中的評估結果就足夠我們了解這些業務面臨的黑産風險了,是以,對于任何一個業務來說,我們其實都可以從業務目标、黑産獲利程度、實時性要求、漏判影響和誤傷影響這 5 個方面進行威脅評估。
對業務進行威脅評估之後,我們就需要為業務提供安全防護了。對業務安全來進行保護,就是為業務制定合适的安全産品方案,來提升黑産的資源成本,進而實作保護業務的目的。
那麼,安全産品方案具體是什麼呢?我們來看一個例子。
在登入業務中,我們需要防止盜号的發生。這種情況下的安全産品方案就是提高黑産發起盜号的資源成本,比如,我們可以在産品機制上加入二次驗證機制,如短信驗證等。這樣一來,黑産需要完成一次登入的成本就大大增加了。
相比于我們使用各種複雜的政策和算法對每一次登入行為進行判定,安全産品方案的實作更簡單一些,隻需要增加一個基本功能就足夠了。而且安全産品方案其實不識别黑産,也就不存在誤傷和漏判,隻需要考慮使用者體驗的損傷就足夠了。是以,一個安全的産品方案是對抗黑産最有效的防護手段。
下面,我們再以“滿減紅包”為例,來讨論一下産品方案中需要考慮的防控因素有哪些。
“滿減紅包”是各類電商、O2O 領域中最常見的促銷手段。但是這種促銷手段,很可能因為産品方案不當引來黑産的攻擊。比如,前兩年“餓了麼”對新使用者的補貼較多的時候,就有人利用新使用者的大額紅包代下單外賣,實作獲利。
我們來看看“滿減紅包”常見的次元有哪些。
可以看出,通過對領取條件、滿減金額和有效期進行不同的限制,我們就可以設計不同的産品方案,來達到不同的安全等級。下面,我們來具體分析一下。
領取條件:注冊就給紅包,會給與黑産極大的便利。而下單後再減,能刺激使用者再消費,有了前一單的收益,下一單的紅包補貼就基本不會虧。當補貼減少時采取會員制,公司就能通過會員費來增加額外的收入。
滿減金額:滿減條件同樣是需要慎重把握的一個方案。滿 10 減 10,相當于不需要黑産付出任何成本。一旦變成滿 10.01 減 10,效果就天差地别了。想要支付這多出的 1 分錢,黑産必須進行一個完整的支付流程,必須綁定銀行卡等其他支付方式,這些都是額外的成本。而滿 30 減 10,對公司來說應該是穩賺不賠的,也就不需要考慮漏判的風險。
有效期:有效期過長同樣會給黑産帶來便利。因為黑産售賣“滿減紅包”或者“代下單”,是需要時間來找買家的。是以,有效期越長,黑産賣紅包的時間就越長。如果把有效期設為 2 天,黑産就很有可能面臨優惠券賣不出去而過期的風險,收益就會大大降低。
那平台是如何限制“代下單”這種行為的呢?最常見的,當餓了麼下單的手機号變更時,是不允許使用之前的紅包的。而且,餓了麼也不允許備注中出現手機号。這些産品方案其實都是在提高黑産“代下單”的成本。
總結來說,安全産品方案是不存在标準答案的,更多的是根據業務的訴求來進行衡量。但在任何情況下,我都不建議忽略掉安全産品方案。為什麼這麼說呢?其實,借助剛才的分析我們就能知道,滿減條件中的滿 10 減 10 和滿 10.01 減 10,對正常使用者來說沒有什麼差別,卻能給業務安全帶來極大增益。是以,我們可以在業務發展初期,适當降低安全産品方案的複雜程度,但是仍然要保持必要的資訊和資料收集。在業務穩定後,再逐漸進行完善和更新。
提升應用安全性的産品方案還有很多。我總結了一些常見的例子,你可以了解一下。
在邀約活動中,我們可以适當增加使用者任務的難度,如必須連續活躍三天使用者才能得到收益;在抽獎活動中,我們可以增加參與抽獎的門檻,如必須是注冊一個月以上的老使用者才能參加;在排行榜活動中,我們可以将排行榜的計算規則隐藏,讓黑産摸不清刷的方式。這些常見的安全産品方案可以提升黑産攻擊業務的成本,讓業務更安全。
好了,今天的内容講完了。我們一起總結回顧一下,你需要掌握的重點内容。
在業務安全中,NIST 的安全架構 IPDRR 可以指導我們與黑産進行對抗,實作全面防護,避免安全短闆的出現。
識别和保護是 IPDRR 中的前兩個步驟,主要的工作是進行威脅評估和制定安全産品方案。其中,威脅評估的主要過程其實就是基于業務形态,對黑産可能的獲利點、業務的目标使用者、安全的實時性要求、政策的誤傷和漏判影響進行綜合的評估。
評估完成之後,你就能夠知道,業務安全的目标和要求是什麼。安全産品方案則是提高黑産資源成本的第一道防線,通過适當地增加使用者操作的複雜度,來提高黑産的各類資源成本。安全産品方案實作起來比較簡單,且沒有誤傷和漏判,是業務安全中十分簡單有效的一環。
業務安全同樣講究縱深防禦,任何一個單點的防禦機制都有其缺陷,很容易被黑産繞過。是以,對業務安全來說,在部署風控系統之前,我們要先進行威脅評估,然後設計出一個安全的産品方案。這樣一來,我們就能夠在根本上提高黑産的資源成本,大大提升業務的安全性。
最後,我給你留了一道思考題。
試着分析一下,在你負責的業務或者應用中,有哪些産品方案是為了安全考慮的。黑産有什麼辦法可以繞過這些産品方案呢?還有哪些方法可以進一步提升黑産的資源成本?
歡迎留言和我分享你的思考和疑惑,也歡迎你把文章分享給你的朋友。我們下一講再見!
27 | 風控系統:如何從海量業務資料中,挖掘黑灰産?