互联网业务安全的现状和发展解析
编辑导语:从互联网诞生到现在,安全就一直是个引人瞩目的话题。但目前的现状是,只有发生了“真金白银”的损失,企业才会想起事后补救。因此,通过技术和数据手段,在危机发生之前识别并解决业务中的各类风险,才是信息安全管理之道,本文作者就对互联网业务安全的现状和发展进行了解析。
一、业务安全
业务安全这个概念已经存在很多年了,理论上,任何行业的业务中都存在风险点——机械行业有操作风险、金融行业有交易风险。这种风险点的存在会被影响整体的业务效果,使得企业付出不必要的损失。
因此各行各业开始设立一些保护安全的人员,法务里面的风控合规、机械制造的安全部门、金融的风控部门。
进入信息化时代以来,互联网行业的发展速度远比别的行业来的快。高速的发展意味着更低的复制成本,带着资本入局的后发优势者会不断进入市场,进行快速地复制迭代,却可能没思考过业务的合理性。
举个例子:就像是钢铁侠一里面,斯塔克造出MARK 2之后发现了机甲高空结冰的问题,“后发优势者”铁霸王仿造了机甲,却没能考虑到高空结冰的问题。
现实生活中同样如此,带着资本入局的玩家因为后顾无忧,会暂时性地忽略业务上风险点,关注在“形”、“量”而忽略了“质”,从而在整体业务推动的路上摔个大跟头,一如2019年因为被薅羊毛损失了千万的拼多多。
正因为互联网在21世纪的高速发展,很多公司在进入互联网行业最初并没有研究透合适的变现途径。强大如腾讯,在和中国移动合作的“移动梦网”项目开始之前,也只是手握流量却没有合适的变现途径,只能受制于资方。
这种先入局的模式在2020年依然很热门,“小步快跑”的迭代模式实际上也是互联网公司在发展过程中需要不断试错而诞生的产物。
整体业务逻辑的不完善导致了很多公司的业务设计是存在各类型的风险点的,而这类风险往往隐藏在暗处,难以被察觉。
互联网行业的玩家在看到企业的效益不理想的时候没有思考过风险的存在,常常将视角放在市场端,认为前端营销活动出现问题、市场推广存在问题,却没有在内部进行自省。
在前端耗费大量精力未能达成效果,玩家们开始冷静下来反省自身,业务安全这个概念在这时候进入了公司的视角。
二、现阶段黑灰产和业务安全情况
2000年以来,互联网在老百姓心中的影响力持续扩大,但仍不断出现账号被盗、外挂交易、源码泄露导致盗版在市面上广泛传播。一开始百姓将这类问题简单定义为“中毒”,认为制造“病毒“的人是高精尖的互联网人才,进入行业技术壁垒较高。
随着整体互联网业务模式的发展,线上公司开始大面积向线下市场发放补贴,抢占线下市场,外卖、家政、点评,线上公司在O2O模式下打的不可开交。
随着美团从千团大战中脱颖而出,证明了“补贴”模式是非常有效的。 此后,以“补贴”为主的推广模式成为2017年之后各大互联网公司的首选。
在针对新用户和新账号的高额补贴和层出不穷的“杀熟”事件,百姓开始意识到账号的“价值“。同样的,账号的高价值属性和申请账号的廉价属性之间存在的巨大利益被群众所注意到,大量的“羊毛党”、“黑灰产”开始大量滋生。
充足的获利空间,低龄化、机械化的操作吸引了大量普通百姓加入“黑灰产”。
据不完全统计,“黑灰产”的从业人员目前目前已经达到千万,分为了上、中、下游,上游的是核心技术人员,开发专门的黑灰产软件并通过租赁软件获利,
中游的组成自己的黑灰产团伙,搭建“羊毛项目群“,收集羊毛情报并向下游售卖公开。
下游则可能是我们身边的任何一个人,通过中游分享的情报去特定的app获取利益变现。
相对于黑灰产的细致区分,时至今日业务安全仍然没能在互联网公司大面积发展,很多公司在没有意识到业务风险点之前是不会设立单独的业务安全部门,甚至在意识到风险点之后也仅仅只是设立简单的业务安全负责人,放在运维或者开发部门下面。
一个独角兽企业中负责业务安全的寥寥数人,相比较庞大的、业务细化的用户运营团队和产品研发团队,业务安全人员往往需要身兼数职。
现阶段,绝大多数的业务安全从业者仍在乙方团队,像业务知名的顶象技术、同盾技术等。
除此之外,由于行业特性,互联网行业始终属于比较激进的模式,就算在同一家公司内部,业务方和安全方也是一直处在相爱相杀的局面。
业务方觉得安全方保守,阻碍了业务的发展;安全方觉得业务方过分激进,全然不顾公司能否规避风险。在互联网公司内部,业务方是典型的风险爱好者,而安全方就是典型的风险厌恶者,两者的状态是敌对的。
相较于传统信息安全,“业务安全“,业务一定是最优先的条件,不懂业务,何谈安全。
举个简单的例子:完善的业务就像是一段高速公路,有起点、有终点;而业务安全人员,就是这条高速公路的维修团队和改良团队。
只有非常熟悉这条公路,才会知道公路哪个阶段有坑、哪个阶段特别磨损轮胎、哪个阶段车道不够会引起堵塞、甚至是哪个时间点在哪个位置容易发生车祸,只有明确了这些问题点才能正确的、高效的解决问题。
现阶段的互联网行业,主动发展业务安全部门的公司仍在少数,业务安全做的好的公司更是寥寥无几,绝大多数公司仍依靠传统的安全部门解决营销活动薅羊毛、反欺诈的问题,最终通过基础安全团队反馈的处理效果远远没有达到预期。
黑灰产的大规模扩张和业务安全发展的窘迫,有着鲜明的对比。不过,随着现阶段大型互联网公司市场扩张的逐步稳定,怎么“守家“成了现阶段的首要任务,业务安全的发展也会逐步走上台面。
三、业务安全切入点
作为一个业务安全的从业者,业务安全的难点不仅仅有技术或者是机器学习模型的设定,再强大的APK加固、再独特的设备指纹、再完整的黑名单,都不是解决业务安全难点的关键。
业务安全最终服务于业务,而业务并不是依靠所谓的黑白一刀切的,曾经的好用户可能会转变为黑产,黑产、灰产也同样能够转变为高价值用户。
同样的,安全也不是一种对抗,持续的对抗只会衍生不满。用户对app的不满,业务部门对安全部门的不满,只要技术在发展,这种对抗就不会停止。
因此,我认为业务安全要做到最重要的是进行用户身份的监控,对待用户的分层。
如同建立漏斗一样,通过前端的技术进行人机识别,标识用户的不正常行为。
例如:不正常的使用环境,ROOT,HOOK,模拟器等等,记录这些情况,进行监控,和业务方进行沟通,明确针对各类用户的策略,完善用户画像和黑灰产画像。
如何制定所谓“黑产”、“灰产”、“高价值用户”也不仅仅是依靠数据或者调查得出的简单结论,而是需要根据不同公司的业务特色进行区分,而这也是业务逻辑中的核心要点。
也有的人过分强调夸大业务安全的能力,认为业务安全能够一步到位解决问题。
从我的角度看,这件事并不是简单一次性的和黑灰产的攻防对抗,黑灰产之所以会对企业进行攻击,很大程度上是因为他们需要付出的获利成本低,而获取的利益高。
作为安全方,这个对抗阶段其实就是提高黑灰产攻击成本的阶段,安全没办法一劳永逸,只能循序渐进,不断地增加黑灰产攻击所付出的成本,使得黑灰产在发动攻击时,需要用真实的设备和真实的人在屏幕面前操作。
当到这个情况时,企业面对的就是真实的用户而不是机器脚本了。
整个业务安全体系的建设也是长期规划的,从最基础的app加固、链路加固,以及黑名单的获取;到app前端埋点识别用户操作环境生成设备指纹;再到后端加入风控引擎,在风控引擎内部配置策略,和机器学习模型配合、查缺补漏,完成整个业务安全风控体系的搭建。
四、业务安全的发展
业务安全对一个企业而言十分重要,但在发展业务安全的途中同样会出现一些难点。
业务安全一定会涉及到风控,而风控的发展在中国又要属金融业发展的最快,金融业的风控设计相对严格,是最典型的一刀切,严格、宁可错杀不放过的态度。
加之近年来信息安全政策的细化严格程度,导致了前端业务人员对风控的印象是不利于业务发展的,这种固有印象限制了双方的沟通。
互联网行业员工的流动性较大,而业务安全部门往往是了解公司核心业务规划和风险点的部门,公司的高层领导始终会对这块业务进行一定的管控,推动建立一个能与之对抗的前端业务部门。
这样的设置,将相辅相成的双方彻底推向对立的两端。
此外,现阶段的互联网公司的发展模式受“千团大战”影响,强调前端业务的推动和市场占有率,运营部门整体的KPI不是获客成本的降低,而是无条件获客,这种获客模式在转化上会形成较高的成本。
当运营部门需要降低获客成本时会发现有很大一部分用户是所谓的“脚本”、机器,这种割裂化的运营模式,虽说在一个阶段能够吸引大量流量注册,但在后台审核的时候也给业务安全部门出了个难题。
业务安全在公司内部的发展需要依靠业务部门的推动,这就需要业务部门充分意识到业务安全风控的重要性。目前各大独角兽企业都存在因为忽视黑产导致巨大损失的情况,损失够大,才能引起足够的重视。
五、最后
目前整个业务安全行业水平有了很高的提升,但甲方仍缺乏大量熟悉业务安全领域的人,相对来说乙方业务安全团队的技术能力和场景熟悉度都要高于甲方,却会受制于甲方不明确的需求点。
甲方常常将营销活动的转化效果通过业务安全体系去解释,双方对业务安全体系的能力理解的偏差会导致项目的发展最终偏离预期。
行业的整体发展还是需要更多业务安全人才的流入,希望能有更多的小伙伴加入业务安全领域。
本文由 @[太阳] 原创发布于人人都是产品经理。未经许可,禁止转载
题图来自 Pexels,基于 CC0 协议
您好,看了您的文章觉得写的很棒,不知道是否能有机会加您一个微信呢,我们最近举办一些业务安全的沙龙,希望能够邀请您来演讲。