从业务安全的角度看社交行业产品面临的风险
编辑导读:社交APP是每个人经常用到的产品,因此,它的安全性应当受到高度重视。但是,近年来,用户隐私泄露等危害信息安全的事件时有发生。用户在使用产品时会遇到哪些风险,应该如何治理?本文作者围绕这些问题,从业务安全的角度看社交行业产品面临的风险,希望对你有帮助。
一、社交APP发展现状
相信很多人都了解过马斯洛需求层次理论,马斯洛根据人类在做每件事的动机进行分类,借此推断出这个人处在什么阶段,但不意味每个阶段都只有一种需求,人在每一个时期,都会有一种需求占主导地位,而其他需求处于从属地位。
同样的,社交也是人类的需求之一。人始终都是社会性群居动物,根据哈佛大学Robert Waldinger曾经介绍过一个实验,历时75年,跟踪了742名被试者,实验中最明显的一个研究结论是,良好的社交关系能够让人感觉更幸福(当然,是建立在有一定经济基础能力的前提下)。
当最基础的生理需求和安全需求满足之后人类开始在社交中寻找爱、归属以及尊重需求,随着社会发展,生理需求和安全需求获取难度降低,人在获取爱、归属、自我实现需求上面所付出的精力就会相对较多。
在有交友需求的用户中,单身个体的数量要占多数。根据国家统计局的数据,2019年度,家庭规模逐渐缩小,未婚男女比例持续扩大,未婚男性规模相较未婚女性规模净多出3400万,单身化逐渐成为趋势。而在有需求的单身个体中,根据性别,其社交需求种类也不同。
从互联网近年社交APP的发展来看,近些年层出不穷的社交类APP在不断地探索各类有特征标识的目标客户群,在腾讯系社交产品在国内几乎占据垄断地位的状况下,没有任何一个即时通讯类的社交产品能够避开。
微信、QQ作为即时类社交通讯的老大和老二,在这种情况下,微信、QQ的第一曲线是通讯工具,第二曲线则是平台、连接器。
在平台和连接器的概念下,微信、QQ连接了阅读、支付、游戏、视频以及各式各样的APP和小程序,这样的连接将最能占据用户时间的几个要素全部囊括在内,即媒体、社区、社交产品。但在这种连接模式下,微信、QQ的属性基本可以定性为“信息的传达”,这与现阶段市场上大多数社交产品的属性存在一定差别,现阶段市面上的社交产品想引导用户在自己产品上面“开口”。
在这种情况下,微信类产品会坚持自己的客观性,不做任何方向的引导,不能过分参与各类型事件的推动,因为微信、QQ在现阶段的角色类型与短信类似,成为了基础通信模块建设的一部分。
可以理解为,在一定程度下,微信成为了各个社交途径的终点,大多数的社交产品作为陌生人社交的起点,通过自身优势完成了让用户“开口”的行为,但难以在APP内完成沟通的闭合,由陌生人转化为熟人后沟通最终会在微信、QQ平台上呈现。没有足够的粘合性和且相对微信、QQ来说缺乏对运营平台的信任度。
据统计,中国人平均13分钟就用一次手机,平均一天能用108次,根据Questmobile2020年上半年的统计,可以看出即时通讯类用户活跃度在所有类型APP内仍然排名前茅。
且通过整体使用时常可以看出,即时通讯社交的使用时间在所有APP内也是最高的,微博类社交平台相对来说使用时间较少,未能达到前五,在7-8名左右。
根据社交产品的不同类型可以进行一定程度的分类。
第一类社交产品时即时通讯,即时通讯类强调信息及时触达,微信、QQ在完成这一基础的条件上,完成了公众号、视频号、新闻资讯、UGC内容的传播,由于用户群体特有的社群属性,用户会自然地去进行内容地传播、分享,这而即时通讯平台只需要在用户应用场景下优化用户体验,减少用户参与信息传播的难度,鼓励社群内容运营人员进行创作,能大幅度的提高用户在即时通讯类APP的使用时间;
第二类社交产品是类似于微博、绿洲、soul、陌陌,这类社交产品在用户群体的定位上更加垂直、清晰,同类型用户的聚集效应也更好,因为本身产出的内容质量参差不齐,内容对用户的吸引力较弱,需要引入一些活动增加用户对APP的粘性,像微博和各个节目联合所推出的打榜、投票等活动,能够增加用户的使用时间。
第三类社交产品是虎扑、最右、知乎、豆瓣等论坛类产品,从某一领域论坛开始发展,培养社区氛围后逐渐成为一种社区文化,在通过一定形式“出圈”被大众熟知后吸引到更多同类型的用户参与,这种模式下用户对APP、对社区的忠诚度较高,也容易形成高粘合性的社群,这群人有着不俗的内容产出能力,再结合即刻本身的运营和产品机制,形成了现在的优质社区。此类用户会主动地增加自己使用APP的时间。
由于社交产品的特性,各个社交平台的留存率和日活月活成为平台重要的指标,这些指标的实现需要平台持续输出吸引用户的点,可以是社区环境、社区内容质量,优质用户,小游戏,通过这些社区要素的搭建,提高用户粘性,避免用户流失。
在实现了用户群体的聚合之后,产品会开始进入变现的阶段,和腾讯在2010年之前面临的问题一样,绝大部分的社交产品在商业化变现的能力上没有足够的沉淀,由于每个社交产品不同点,适合的变现模式也不同,常用的变现模式有以下几类,广告流量变现、电商卖货、搜索排名、增值服务、入驻分层、金融业务、数据售卖,这些变现模式最终都会落脚在流量的不同应用方式上。
但从目前的状况看来,社交类APP往往在变现的过程中会出现脚步过快,步子迈的过大,会出现安全能力跟不上业务发展的情况。
二、风险点分析
1. 产品引流、转化留存阶段
根据现阶段社交类APP的业务特性和预期实现的目标,需要社交APP的运营人员分产品阶段设置不同的活动形式,第一阶段需要通过各种具有吸引力的活动,例如一些注册有奖、邀请有奖等活动获得大量新注册用户,第二阶段是举办各种增加使用频次和使用时间类型的活动,类似于签到积分商城、APP内小游戏、登录一定时常给予奖励,培养用户使用APP的习惯。由于这些活动的特性,容易吸引到大批黑灰产。
根据运营活动的不同阶段可以将黑灰产的攻击模式和攻击手段进行分类。
第一阶段,这些黑灰产会通过一些技术手段模拟成真实用户,注册大量账号以获取新账户注册优惠;
第二阶段,黑灰产在获得第一阶段的利益后通过养号生产大批量高价值账号活动,以机器化脚本的模式进行点赞、分享等活动,累计日活月活,获取活跃度奖励,或者直接对APP进行编译的方法破解积分商城,兑换奖品;
最后一个阶段,黑灰产出售这些高价值账号以及大量通过撞库破解盗取的账号给一些店家,店家通过这些账号在平台发布广告,引导社交平台内部真实用户到其他平台购买产品,更有同业竞争者会通过账号买卖雇佣水军破坏平台内部的氛围,从而将竞对的用户群体吸引到自家。
2. 商业化变现阶段
通常来说,在商业化变现阶段会遭遇的风险点根据商业化变现模式的不同有一定的差别。以最近特别热门的电商带货的模式为例,各个社区内所谓的达人对社区内用户和群体有一定的影响力,品牌方和社交平台以及平台内达人合作,通过达人输出广告和购买链接。和刷单一样,达人如果想获得更多平台方的补贴,会雇佣一些黑灰产刷单、刷量,在刷单之后退款或者转售,获取大量订单,以骗取平台和品牌方的补贴,这也是常见的商业化作弊方式之一。
三、损失和难点
从现阶段整体行业发展的情况来看,除了小部分产品本身已经经过多年沉淀,拥有较为忠诚的用户群体,剩下社交类产品仍处在急速扩张阶段,需要吸引大量的用户注册。
现阶段还在业务发展期的APP普遍打着垂直领域氛围最好的社交圈之类的旗号,以社区氛围和环境作为卖点,强化社交环境的重要性。在这种宣传模式下确实在运营初期能够吸引到一定数量的真实用户群体,这种模式的获利者类似早期的豆瓣、知乎,还有如今的soul、绿洲。
类似的发展模式在很长的一段时间之内被印证为有效的社交APP推广运营模式,随着整体用户量的增加,APP也慢慢开始“出圈”,更多的外围用户开始尝试注册使用,这时候绝大多数的运营方采取的策略是进一步扩大影响力,购买广告、增加新用户注册福利。
这种模式放在早期的互联网社交运营是非常好的方法,但在2020年,大多数的社交平台没有足够重视黑灰产的实力,仍采用较为老式的策略容易被黑灰产抓住漏洞,据三方统计,有部分成立5-10年的社区类社交平台仍能发现大量设备ROOT后通过虚拟机多开APP的情况,严重的情况下能发现同一设备上存在50+账号。
进入流量时代后,类似B站、虎扑之类带有较强社交属性的APP都逐步放宽发帖、发送弹幕需要完成答题的规则,又没有强度高的设备指纹和风控决策引擎进行配合,无法识别、监控这类账号问题,导致引以为傲的社区环境大幅度下降,对公司形象造成了较大的影响。
套用政治课本上的一句话,我国目前社会主要矛盾为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾,在社交领域,那就是业务端日益增长的活动运营需求和不平衡不充分的安全风控发展之间的矛盾。业务端的急速扩张和安全风控端的不受重视让社交行业的发展多少有点“长短腿”。如何帮助业务端运营人员树立起安全风控意识,采用正确的风控技术和策略是现阶段的重要课题。
四、解决方法
这些风险点的解决需要经过两个步骤,第一步前端识别风险,损失一旦发生是难以挽回的,所以,需要通过一些技术手段和策略手段,在风险发生之前意识到风险点的存在,做好前端风险信息的收集,第二步是后台通过前端收集的风险信息采取对应的策略和行为处理风险。
在互联网公司中,针对这类风险点的风控体系搭建通常分为两个阶段。
第一个阶段是通过运营人员的经验,在业务系统内设定合适的规则策略,根据经验和现状不断调整阈值,同时增加人工审核人员,通过人力去判断遭受风险的状况和损失。这种策略制定的正确性在上线初期相当高,效果显著,但随着黑灰产不断地尝试,阈值地范围能够被测试出来,若最终采用一刀切的策略对社交平台而言是非常不利的,会出现大量的误杀情况。
此外,还有一个隐患是大量的规则策略若始终存在业务系统内必然会出现业务系统反应延迟的情况。
一般来说,公司所自研的风控引擎分为两个模块,在线同步模块和离线异步模块,如果对在线同步这块的风控规则进行了加强和优化,会导致整个业务接口的执行链路更长,最终带来TPS和QPS这两个关键指标下降,很多公司在每次碰上风险损失后都会配置不同的策略放在风控系统,互联网公司员工流动性又相对较大,前人配置的策略逐步累加,却没有后人进行删减,有的公司在进行风控自查的时候甚至发现了针对同一活动风险场景配置了2000条策略。
策略、规则的堆积和风控引擎嵌入业务系统的方式,只会让性能急剧下降,除了不断买服务器这个方法,绝大多数公司会选择进入第二阶段。
第二个阶段是通过前端用户设备维度的设备指纹识别用户操作环境,通过旁路设置的风控引擎和配置好的专家规则配合,这个阶段能大大减轻人力成本的付出,同时减轻业务系统的负担,在保持整体响应速度的前提下,减少性能的损耗。
这种模式需要在用户端设置设备指纹,生成设备唯一标识,对用户的操作环境进行风险评分,识别用户操作环境是否存在多开、ROOT、HOOK、模拟器等,后端风控引擎根据前端设备指纹信息和专家策略规则在极短时间内完成策略的输出,处理风险点。
此外,旁路设置的风控引擎能够和业务系统保持各自的独立性,在业务系统宕机时主动发起提醒,帮助运营及运维人员审查。
五、最后
根据不完全调研数据,中国现在从事专职黑灰产的人数在千万级别,而网络安全领域从业人员才200万人,而这其中从事业务安全、理解业务安全的人更是少数。
缺乏业务安全的常识和对黑灰产的警惕心是近些年互联网公司被盯上、被薅取大量利益的根源。
只有熟悉业务风险点,正视且重视黑灰产的存在,才能够做好风险防范。
本文由 @[太阳] 原创发布于人人都是产品经理。未经许可,禁止转载
题图来自Unsplash,基于 CC0 协议
- 目前还没评论,等你发挥!