“宅经济”时代,电商行业在人们的生活中扮演着越发重要的角色。2020年突如其来的疫情在缩短用户活动半径的同时,也增加了其触网时长,从而使电商平台业务迅速增长。对此,各大电商平台纷纷扩大各类促销活动的规模,以期获取用户增量,抢占发展先机。
然而,在抢占先机的过程中带来的利益和诱惑,也让电商平台成为了网络黑灰产的瞄准对象,线上身份认证问题、刷单、DDoS攻击、薅羊毛、黄牛党等问题,不但让消费者无法有序参与促销活动,更是让商家面临获客成本增加、成交率降低等风险。
在“大物移云智”快速发展的今天,电商平台如何应对网络安全风险和挑战?如何在专注业务发展的同时,依托安全的云平台,高效构筑自身的黑产防御体系?腾讯安全『CSO面对面』第三期,对话微拍堂研发中心负责人张华伟,以微拍堂为实例,在腾讯安全分享电商平台在应对网络黑产时,如何做到筑牢安全防御体系、实现业务增长两不误。
张华伟是谁?
张华伟,微拍堂研发中心负责人,负责微拍堂产品和技术中台的建设工作。具有多年服务端架构经验和业务架构经验,持续负责微拍堂电商安全体系的建立和巩固。
三方面不同细节切入,构建微拍堂安全体系
在张华伟看来,微拍堂对安全体系的理解,总体分为三方面,即代码安全、资产安全、信息安全。代码安全涉及渗透测试,资产安全即所有云上的资金和财产安全,信息安全则包括内外部信息的整体安全性。微拍堂从这三方面分不同细节进行切入,从而构建了自身的安全体系。
首先,渗透测试针对代码安全,即应用级别的安全。一般而言,对于工程师或者开发人员来说,往往更关注业务的快速上线和快速迭代,相比之下对安全的关注度则稍显不足。不过,当业务达到一定规模,相关企业也会建立一些配套制度。比如从个人或团队角度出发引入安全测试工程师,针对不同项目、不同应用来定期扫描,扫描之后按照项目级别再去推进整改等。
第二点,资产安全。对于微拍堂来说,这一点十分重要。因为线上所有的资金、财产都在云上,若被黑客侵入内部系统,后果不堪设想。所以,微拍堂团队也在云上进行了一些安全产品和解决方案的部署,比如利用主机安全和DDoS防护等产品进行防范,可以帮助平台快速构建外围的云安全体系。
第三点,信息安全。张华伟认为,对信息安全的理解可以分为两点,一是需要进行严格加密的数据保护。比如用户数据,用户在进行支付时使用的一些银行卡号,以及身份证实名认证。由于当前各类商家、平台都需实名认证,所以这类信息安全尤为重要。二是企业内部信息安全问题。如何保证流动在企业内部的信息不外露,也是每个企业都应该密切关注的问题。
接入“天御”、建立严格风控体系,解决身份认证难题
身份认证,对于电商平台来说一直是个难题。张华伟认为,身份验证可以分为两部分:第一部分是商家端,比如商家都需要进行实名认证。“这对于用户的身份核实是十分关键的,像上传手持身份证,包括手持身份证头像如何做到合规等等,这时候我们就接入了一些云上的安全产品去保证这一点。”
第二部分是用户端。在这方面,微拍堂对用户进行了分层,用以区分哪些是薅羊毛用户,哪些是外挂用户。与此同时,微拍堂还利用微信和手机号登录两种注册渠道,引入腾讯安全体系,比如接入“天御”这种安全级别的产品,再结合各行业数据进行分析,从而能够做到对用户安全等级的识别和判定。
基于这种数据分析能力,针对不同业务场景,微拍堂今年也建立了一套自己的严格风控体系。“例如,对于注册场景,像我们做在线拍卖的公司会有一个出价,那么这个出价需不需要交保证金,又如何去识别,这也属于一个安全级别的范畴内。所以在这个体系之下,我们针对不同场景的特点去建立自己的风控体系。”张华伟这样告诉记者。
引入云上安全能力 应对安全风险和挑战
谈及现阶段电商平台遇到的最突出安全风险和挑战,张华伟表示刷单、撸羊毛、流量激增等可能是众多电商平台都需要面对的难题。
在他看来,刷单可能是电商平台成立以来就一直面临的一个问题。而且随着企业业务发展、生态扩展,需要对这种不合规的运营手段进行干预。微拍堂首先对用户的介入、出价以及交易的整个过程进行全面监控。实现全面监控的重要途径就是将“基础能力+云上产品+业务场景”结合,然后实施相对细化的风控规则、策略来进一步解决这部分问题。
其次,是撸羊毛。在做大促的时候,很多平台对优惠券或现金红包的投入力度会非常大,但是这其中的大部分投入有可能被撸羊毛的用户撸走,这些是各电商平台所不希望看到的。通过张华伟团队的努力,一些用户自注册开始就能够被微拍堂后台识别为撸羊毛用户或外挂用户。这些用户参与活动,微拍堂会对其行为进行相应的监控,从而达到限制撸羊毛的目的。
第三点,是流量激增问题。每个电商平台抑或业务发展突飞猛进的企业,都面临由此带来的潜在风险。这些平台、企业在发展前期大多更加关注业务,现在要在发展业务和夯实基础之间进行平衡,纾解流量激增或是外部流量攻击等痛点的有效方式,就是引入云上的安全能力。
联合腾讯安全,结合自身特点进行系统性治理
张华伟认为,以上三点问题其实是相辅相成的。以恶意bot为例,其过于集中的特点使得该行为轻易就能打垮一个系统,但反过来说,它其实也很好被拦截,比如依托腾讯的一款安全产品腾讯云WAF,基于云原生架构的产品解决方案和天御风控能力的完整反爬防刷解决方案,能够对恶意bot这种行为进行有效识别和拦截,防止其下沉到后面的系统当中。
另外,对于防刷单、防撸羊毛这些问题来说,安全防控相对较难。因为对于这些问题不能一概而论,不能一下将其判断成坏的,因此微拍堂利用腾讯天御风控系统,针对不同业务、不同场景进行安全级别判定,从而解决问题。
在张华伟看来,由于不同的业务或场景会有不同的效果,所以不能直接把刷单、撸羊毛这样的行为拦死。微拍堂会允许一些目标用户进行相应的用户行为,比如说该用户出了个价,然后可能薅住了羊毛准备套现等等。
张华伟团队发现,只有通过行为数据以及大数据平台的一些基础数据能力,同时结合云上的基础能力构成完整的安全防护系统进行综合分析,才能更好地做到对用户的精准判断。
云上安全体系:为企业节省成本
张华伟认为,上云能够为企业节省成本。构建云上安全体系一定要先具备基础安全能力、安全产品和解决方案,再加上云WAF产品的应用以及自身具备的抗D能力等,就能够在上云过程中实现降本增效。如果在传统安全架构之下,企业往往有可能去购买和使用硬件产品,或者需要自己去研发,成本会很高。
企业在搞大促活动时进行引流是短期或临时性的内容,而非一个长期的规划。正是在此情况下,如果企业还要依靠传统架构,在传统机房去处理、应对即时性的需求和变化,高成本的痛点就会一直存在。
而且,在大促之后,机器扩容也面临着一个痛点,从采购、部署到网络防护以及安全能力的保证,整个流程都需要依靠自身来把控和主导。“上云之后,企业或电商平台只需要更关注自身业务,毕竟云上的产品会越来越丰富,不光是安全产品,其他的比如基础能力、负载均衡等等,都是上云赋予企业快速发展的能力。”张华伟说。
在张华伟看来,另一个痛点则是运维团队和安全厂商的侧重点存在偏差。现在微拍堂运维团队更注重应用运维+业务运维,在网络的基础设施以及机房的故障修复方面投入精力相对较少,这是因为运维团队更侧重网络和硬件设备,同时也需要具备机房的一些实际操作能力,所以网络基础设施的完善以及故障修复等问题就交由安全厂商来解决。安全厂商定期对设备进行巡检、淘汰、过保,都有严格规章制度,不一定会实时适应运维团队的需求,这一点对运维团队来说也是一个痛点,而且非常明显。
企业上云后,业务发展与安全体系建设存在怎样的关系?
对于这一问题,张华伟认为,首先企业上云后,基础能力构建在云上,云上有对应的安全体系,所以此时企业可以在大环境下选择自己的安全产品。
第二,是扩容以及应对。以WAF为例,企业可以在大促期间选择开启,这会涉及到流量峰值问题。打个比方,在10万QPS的状态下投入大促广告,再加上引流,就可能达到30万。这时候如果是在传统机房,应该怎么做?可能会去扩大设备的购买力度,这就会造成企业成本增加、效率降低。
但是如果是在云上,这时只需把之前Web应用防火墙的一个QPS提升扩容到30万就可以了,非常简单。以往做这个事情要准备一个月,现在微拍堂和腾讯安全团队合作,扩容一下,半天就好;而活动结束了之后,QPS不需要这么大,就缩容到10万,这就大大提高了效率、节省了成本。
第三,安全防护无止境,人们做不到绝对安全,但要做到相对安全。外部环境一直在不断变化,如果要求企业时时刻刻关心外界因素、根据环境变化不停做出改变和调整,则显得过于严苛。
“腾讯的云上安全产品则会对环境的变化始终保持敏感,并做出积极响应,同时长期专注于这一部分的研究,所以安全产品的形式是不会落后的。
比如说这次我们用到的一个组件有一些漏洞,腾讯安全可能就会提醒用户升级,他们同时也知道现在行业内哪些问题是企业想解决的痛点。这个时候我们就会想,在此基础上去扩充和提升自身的能力,快速构建安全体系,达到一个相对安全的级别。”张伟华这样说道。