乐趣区

关于云安全:对话微拍堂张华伟百亿交易额背后的黑产对抗

“宅经济”时代,电商行业在人们的生存中扮演着越发重要的角色。2020 年从天而降的疫情在缩短用户流动半径的同时,也减少了其触网时长,从而使电商平台业务迅速增长。对此,各大电商平台纷纷扩充各类促销流动的规模,以期获取用户增量,抢占倒退先机。

然而,在抢占先机的过程中带来的利益和引诱,也让电商平台成为了网络黑灰产的瞄准对象,线上身份认证问题、刷单、DDoS 攻打、薅羊毛、黄牛党等问题岂但让消费者无奈有序参加促销流动,更是让商家面临获客成本增加、成交率升高等危险。

在“大物移云智”疾速倒退的明天,电商平台如何应答网络安全危险和挑战?如何在专一业务倒退的同时,依靠平安的云平台,高效构筑本身的黑产进攻体系? 腾讯平安『CSO 面对面』第三期,对话微拍堂研发核心负责人张华伟 ,以微拍堂为实例,向大家分享电商平台在应答网络黑产时,如何做到筑牢平安进攻体系、实现业务增长两不误。
https://www.qq.com/video/i322…

张华伟是谁? 张华伟,微拍堂研发核心负责人,负责微拍堂产品和技术中台的建设工作。具备多年服务端架构教训和业务架构教训,继续负责微拍堂电商平安体系的建设和坚固。

Q1: 电商平台面临的平安危险次要有哪些,如何进行体系化的平安建设?

张华伟 :微拍堂对平安体系的了解,总体为三方面:即代码平安、资产平安、信息安全。代码平安波及到浸透测试这一层,资产平安即所有云上的资金和财产平安,信息安全则包含内外部信息的整体安全性。从这三点分不同的细节进行切入,构建了微拍堂的平安体系。

首先,浸透测试针对的是代码平安,即利用级别的平安。其实对于工程师或者开发人员来说,他们更加关注的是业务的疾速上线和疾速迭代,相比之下对平安的关注度没有那么高。不过,在业务达到肯定规模的时候,也会建设一些配套制度。比方从集体或团队角度登程引入平安测试工程师,针对不同我的项目、不同利用来定期扫描,扫描之后依照我的项目级别再去推动整改。

第二点是资产平安,这一点非常重要。因为线上所有的资金、财产都在云上,这时候黑客如果侵入到外部零碎,结果不堪设想。所以,微拍堂也在云上进行了一些平安产品和解决方案的部署,比方利用主机平安和 DDoS 防护等产品进行防备,能够帮忙电商平台疾速构建外围的云平安体系。

第三点是信息安全。对信息安全的了解能够分为两点,第一点是哪些数据须要进行严格的加密。比方用户数据,用户在进行领取时应用的一些银行卡号,以及身份证实名认证。因为当初各类商家、平台都须要实名认证,所以这部分的信息安全尤为重要。此外,外部的信息安全问题也同样不容忽视,如何保障流动在企业外部的信息不外露,是每个企业都应该亲密关注的问题。

Q2: 针对电商平台应答身份认证的难题,有哪些倡议?

张华伟 :对于电商平台来说,身份验证能够分为两局部。第一局部是商家端,比方商家都须要进行实名认证,这对于用户的身份核实是非常要害的,像上传手持身份证,包含手持身份证头像如何做到合规等等,这时候咱们就接入了一些云上的平安产品去保障这一点。

第二局部是用户端,其实咱们有在用户端对用户进行分层,从而辨别哪些用户是薅羊毛的,哪些是外挂。这种状况下,咱们利用微信和手机号登录两种注册渠道,引入腾讯的平安体系,比方接入天御这种安全级别的产品,再联合各行业数据进行剖析,就可能做到对用户安全等级的辨认和断定。

基于这种数据分析的能力,针对不同的业务场景,微拍堂往年也建设了一套本人的严格风控体系。例如,对于注册场景,像咱们做在线拍卖的公司会有一个出价,那么这个出价需不需要交保证金,又如何去辨认,这也属于一个安全级别的领域内。所以在这个体系之下,咱们针对不同场景的特点去建设本人的风控体系。

Q3:现阶段,电商平台遇到的最突出平安危险和挑战有哪些?

张华伟 :首先,刷单可能是电商平台成立以来始终面临的一个问题。企业倒退业务、扩充生态,就须要干涉这种不合规的经营伎俩,这时候咱们怎么做呢?首先,对用户的染指、出价以及交易的整个过程进行全面监控,实现全面监控的重要途径就是根底能力 + 云上产品 + 业务场景,把它们联合在一起之后,施行绝对细化的风控规定、策略来解决这部分问题。

第二点,撸羊毛。在做大促的时候,很多平台对优惠券或现金红包的投入力度会十分大,然而这其中的大部分投入被撸羊毛的用户撸走,是咱们不心愿看到的状况。事实上,一些用户从他们注册开始就被咱们辨认为撸羊毛用户或外挂用户,在他们去参加流动的时候,咱们会对其行为进行相应的监控,从而达到限度撸羊毛的目标。

第三点,流量激增。其实这个问题对于每个电商平台抑或是业务倒退突飞猛进的企业来说,都面临着一些潜在危险,因为这些平台、企业在倒退后期大多更加关注业务,要在倒退业务和夯实根底之间进行均衡。这个时候,纾解流量激增或是内部流量攻打等痛点的无效形式,就是引入云上的平安能力。

Q4: 针对以上平安危险,如何系统性地进行治理?

张华伟 :这三点其实是相辅相成的。以歹意 bot 为例,其过于集中的特点使得该行为轻易就能打垮一个零碎,但反过来说,它其实也是很好拦挡的,比方依靠腾讯的一款平安产品腾讯云 WAF,基于云原生架构的产品解决方案和天御风控能力的残缺反爬防刷解决方案,可能对歹意 bot 这种行为进行无效辨认和拦挡,避免其下沉到前面的零碎当中,这是第一点。

另外,像方才提到的防刷、防撸羊毛,其实相对来说比拟难,因为它不能一概而论,一下子就把它判断成坏的,所以咱们利用腾讯天御风控系统,针对不同业务、不同场景,在实现注册环节之后,去断定安全级别。

因为不同的业务或场景会有不同的成果,所以还不能间接把刷单、撸羊毛这样的行为拦死,咱们会容许一些指标用户进行相应的用户行为,比如说他出了个价,这时候他可能薅住了羊毛筹备套现,可能集中在一个店铺,甚至和商家有肯定关联……所以说,通过行为数据以及大数据平台的一些根底数据能力来剖析,联合云上的根底能力形成残缺的平安防护系统,能力做到对用户的精准判断。

Q5: 云上平安体系相比于传统平安架构有哪些劣势?

张华伟 :首先,上云可能节省成本。构建云上平安体系肯定是先具备根底平安能力、平安产品和解决方案的,再加上云 WAF 产品的利用以及本身具备的抗 D 能力等,就可能在上云过程中实现降本增效。如果在传统平安架构之下,则有可能去购买和应用硬件产品,或者须要本人去研发,老本会很高。

拿微拍堂来说,咱们的业务在疫情期间实现了突飞猛进的转变,比方在搞大促流动的时候进行引流,但这些都是短期或临时性的内容,而不是一个长期的布局。正是在这种状况下,如果咱们还要依附传统架构,在传统机房去解决、应答即时性的需要和变动,那么这个痛点会始终存在。

其实在大促之后,机器扩容也面临着一个痛点,从洽购、部署到网络防护以及平安能力的保障,整个流程都须要依附本身来把控和主导。当然,上云之后,企业或电商平台只须要更关注本身业务,毕竟云上的产品会越来越丰盛,不光是平安产品,其余的比方根底能力、负载平衡等等,都是上云赋予企业疾速倒退的能力。

还有一个痛点是,运维团队和平安厂商的侧重点存在偏差。当初咱们的运维团队其实更重视的是利用运维 + 业务运维,在网络的基础设施以及机房的故障修复方面投入精力绝对较少,这是因为运维团队更偏重网络和硬件设施,同时也须要具备机房的一些实际操作能力,所以网络基础设施的欠缺以及故障修复等问题就交由平安厂商来解决。平安厂商定期对设施进行巡检、淘汰、过保,都是有严格规章制度的,不肯定会实时适应运维团队的需要,这一点对运维团队来说也是一个痛点,以往大家可能接触过这种传统机房的倒退过程,这个痛点是非常明显的。

Q6: 企业上云后,业务的倒退与平安体系的建设存在怎么的关系?

张华伟 :首先,企业上云后,根底能力构建在云上,云上有对应的平安体系,所以这时候咱们能够在大环境上来抉择本人的平安产品,这是第一点。

第二点,就是扩容以及应答,比方 WAF,我能够在大促期间抉择开启,那么这就波及到流量峰值问题。打个比方,在 10 万 QPS 的状态下投入大促广告,再加上引流,就可能达到 30 万。这时候如果是在传统机房,应该怎么做?可能会去扩充设施的购买力度,这就会造成成本增加、效率升高的情况。

然而如果在云上的话,咱们又会如何做?这时只须要把之前 Web 利用防火墙的一个 QPS 晋升扩容到 30 万就能够了,那这个是非常简单的。再举个例子,之前做这个事件要筹备一个月,当初可能和腾讯平安团队聊一聊,扩容一下,半天就好;而流动完结了之后,QPS 不须要这么大,就缩容到 10 万,这就是效率和老本上的大大节俭。

第三点,平安防护无止境,其实咱们都做不到相对平安,然而却要做到绝对平安。外部环境始终在一直变动,如果让企业时时刻刻关怀外界因素、依据环境变动不停做出扭转和调整,对企业的要求就过于严苛了。然而,腾讯的云上平安产品则会对环境的变动始终保持敏感,并做出积极响应,同时长期专一于这一部分的钻研,所以平安产品的模式是不会落后的。

比如说这次咱们用到的一个组件有一些破绽,腾讯平安可能就会揭示用户降级,他们同时也晓得当初行业内哪些问题是企业想解决的痛点。这个时候咱们就会想,在此基础下来裁减和晋升本身的能力,疾速构建平安体系,达到一个绝对平安的级别。

【CSO 面对面】往期回顾:

对话电通安吉斯副总裁陈家驹:企业如何破解虚伪广告刷量难题?

对话京东平安首席架构师:电商平台构建平安防护体系关键点

退出移动版