“宅經濟”時代,電商行業在人們的生活中扮演著越發重要的角色。2020年突如其來的疫情在縮短使用者活動半徑的同時,也增加了其觸網時長,從而使電商平臺業務迅速增長。對此,各大電商平臺紛紛擴大各類促銷活動的規模,以期獲取使用者增量,搶佔發展先機。
然而,在搶佔先機的過程中帶來的利益和誘惑,也讓電商平臺成為了網路黑灰產的瞄準物件,線上身份認證問題、刷單、DDoS攻擊、薅羊毛、黃牛黨等問題不但讓消費者無法有序參與促銷活動,更是讓商家面臨獲客成本增加、成交率降低等風險。
在“大物移雲智”快速發展的今天,電商平臺如何應對網路安全風險和挑戰?如何在專注業務發展的同時,依託安全的雲平臺,高效構築自身的黑產防禦體系?騰訊安全『CSO面對面』第三期,對話微拍堂研發中心負責人張華偉,以微拍堂為例項,向大家分享電商平臺在應對網路黑產時,如何做到築牢安全防禦體系、實現業務增長兩不誤。
點選觀看影片:對話微拍堂張華偉:百億交易額背後的黑產對抗
張華偉是誰?張華偉,微拍堂研發中心負責人,負責微拍堂產品和技術中臺的建設工作。具有多年服務端架構經驗和業務架構經驗,持續負責微拍堂電商安全體系的建立和鞏固。
Q1: 電商平臺面臨的安全風險主要有哪些,如何進行體系化的安全建設?
張華偉:微拍堂對安全體系的理解,總體為三方面:即程式碼安全、資產安全、資訊保安。程式碼安全涉及到滲透測試這一層,資產安全即所有云上的資金和財產安全,資訊保安則包括內外部資訊的整體安全性。從這三點分不同的細節進行切入,構建了微拍堂的安全體系。
首先,滲透測試針對的是程式碼安全,即應用級別的安全。其實對於工程師或者開發人員來說,他們更加關注的是業務的快速上線和快速迭代,相比之下對安全的關注度沒有那麼高。不過,在業務達到一定規模的時候,也會建立一些配套制度。比如從個人或團隊角度出發引入安全測試工程師,針對不同專案、不同應用來定期掃描,掃描之後按照專案級別再去推進整改。
第二點是資產安全,這一點十分重要。因為線上所有的資金、財產都在雲上,這時候駭客如果侵入到內部系統,後果不堪設想。所以,微拍堂也在雲上進行了一些安全產品和解決方案的部署,比如利用主機安全和DDoS防護等產品進行防範,可以幫助電商平臺快速構建外圍的雲安全體系。
第三點是資訊保安。對資訊保安的理解可以分為兩點,第一點是哪些資料需要進行嚴格的加密。比如使用者資料,使用者在進行支付時使用的一些銀行卡號,以及身份證實名認證。由於現在各類商家、平臺都需要實名認證,所以這部分的資訊保安尤為重要。此外,內部的資訊保安問題也同樣不容忽視,如何保證流動在企業內部的資訊不外露,是每個企業都應該密切關注的問題。
Q2:針對電商平臺應對身份認證的難題,有哪些建議?
張華偉:對於電商平臺來說,身份驗證可以分為兩部分。第一部分是商家端,比如商家都需要進行實名認證,這對於使用者的身份核實是十分關鍵的,像上傳手持身份證,包括手持身份證頭像如何做到合規等等,這時候我們就接入了一些雲上的安全產品去保證這一點。
第二部分是使用者端,其實我們有在使用者端對使用者進行分層,從而區分哪些使用者是薅羊毛的,哪些是外掛。這種情況下,我們利用微信和手機號登入兩種註冊渠道,引入騰訊的安全體系,比如接入天御這種安全級別的產品,再結合各行業資料進行分析,就能夠做到對使用者安全等級的識別和判定。
基於這種資料分析的能力,針對不同的業務場景,微拍堂今年也建立了一套自己的嚴格風控體系。例如,對於註冊場景,像我們做線上拍賣的公司會有一個出價,那麼這個出價需不需要交保證金,又如何去識別,這也屬於一個安全級別的範疇內。所以在這個體系之下,我們針對不同場景的特點去建立自己的風控體系。
Q3:現階段,電商平臺遇到的最突出安全風險和挑戰有哪些?
張華偉:首先,刷單可能是電商平臺成立以來一直面臨的一個問題。企業發展業務、擴大生態,就需要干預這種不合規的運營手段,這時候我們怎麼做呢?首先,對使用者的介入、出價以及交易的整個過程進行全面監控,實現全面監控的重要途徑就是基礎能力+雲上產品+業務場景,把它們結合在一起之後,實施相對細化的風控規則、策略來解決這部分問題。
第二點,擼羊毛。在做大促的時候,很多平臺對優惠券或現金紅包的投入力度會非常大,但是這其中的大部分投入被擼羊毛的使用者擼走,是我們不希望看到的情況。事實上,一些使用者從他們註冊開始就被我們識別為擼羊毛使用者或外掛使用者,在他們去參與活動的時候,我們會對其行為進行相應的監控,從而達到限制擼羊毛的目的。
第三點,流量激增。其實這個問題對於每個電商平臺抑或是業務發展突飛猛進的企業來說,都面臨著一些潛在風險,因為這些平臺、企業在發展前期大多更加關注業務,要在發展業務和夯實基礎之間進行平衡。這個時候,紓解流量激增或是外部流量攻擊等痛點的有效方式,就是引入雲上的安全能力。
Q4:針對以上安全風險,如何系統性地進行治理?
張華偉:這三點其實是相輔相成的。以惡意bot為例,其過於集中的特點使得該行為輕易就能打垮一個系統,但反過來說,它其實也是很好攔截的,比如依託騰訊的一款安全產品騰訊雲WAF,基於雲原生架構的產品解決方案和天御風控能力的完整反爬防刷解決方案,能夠對惡意bot這種行為進行有效識別和攔截,防止其下沉到後面的系統當中,這是第一點。
另外,像剛才提到的防刷、防擼羊毛,其實相對來說比較難,因為它不能一概而論,一下子就把它判斷成壞的,所以我們利用騰訊天御風控系統,針對不同業務、不同場景,在完成註冊環節之後,去判定安全級別。
由於不同的業務或場景會有不同的效果,所以還不能直接把刷單、擼羊毛這樣的行為攔死,我們會允許一些目標使用者進行相應的使用者行為,比如說他出了個價,這時候他可能薅住了羊毛準備套現,可能集中在一個店鋪,甚至和商家有一定關聯……所以說,透過行為資料以及大資料平臺的一些基礎資料能力來分析,結合雲上的基礎能力構成完整的安全防護系統,才能做到對使用者的精準判斷。
Q5:雲上安全體系相比於傳統安全架構有哪些優勢?
張華偉:首先,上雲能夠節省成本。構建雲上安全體系一定是先具備基礎安全能力、安全產品和解決方案的,再加上雲WAF產品的應用以及自身具備的抗D能力等,就能夠在上雲過程中實現降本增效。如果在傳統安全架構之下,則有可能去購買和使用硬體產品,或者需要自己去研發,成本會很高。
拿微拍堂來說,我們的業務在疫情期間實現了突飛猛進的轉變,比如在搞大促活動的時候進行引流,但這些都是短期或臨時性的內容,而不是一個長期的規劃。正是在這種情況下,如果我們還要依靠傳統架構,在傳統機房去處理、應對即時性的需求和變化,那麼這個痛點會一直存在。
其實在大促之後,機器擴容也面臨著一個痛點,從採購、部署到網路防護以及安全能力的保證,整個流程都需要依靠自身來把控和主導。當然,上雲之後,企業或電商平臺只需要更關注自身業務,畢竟雲上的產品會越來越豐富,不光是安全產品,其他的比如基礎能力、負載均衡等等,都是上雲賦予企業快速發展的能力。
還有一個痛點是,運維團隊和安全廠商的側重點存在偏差。現在我們的運維團隊其實更注重的是應用運維+業務運維,在網路的基礎設施以及機房的故障修復方面投入精力相對較少,這是因為運維團隊更側重網路和硬體裝置,同時也需要具備機房的一些實際操作能力,所以網路基礎設施的完善以及故障修復等問題就交由安全廠商來解決。安全廠商定期對裝置進行巡檢、淘汰、過保,都是有嚴格規章制度的,不一定會實時適應運維團隊的需求,這一點對運維團隊來說也是一個痛點,以往大家可能接觸過這種傳統機房的發展過程,這個痛點是非常明顯的。
Q6:企業上雲後,業務的發展與安全體系的建設存在怎樣的關係?
張華偉:首先,企業上雲後,基礎能力構建在雲上,雲上有對應的安全體系,所以這時候我們可以在大環境下去選擇自己的安全產品,這是第一點。
第二點,就是擴容以及應對,比如WAF,我可以在大促期間選擇開啟,那麼這就涉及到流量峰值問題。打個比方,在10萬QPS的狀態下投入大促廣告,再加上引流,就可能達到30萬。這時候如果是在傳統機房,應該怎麼做?可能會去擴大裝置的購買力度,這就會造成成本增加、效率降低的狀況。
但是如果在雲上的話,我們又會如何做?這時只需要把之前Web應用防火牆的一個QPS提升擴容到30萬就可以了,那這個是非常簡單的。再舉個例子,之前做這個事情要準備一個月,現在可能和騰訊安全團隊聊一聊,擴容一下,半天就好;而活動結束了之後,QPS不需要這麼大,就縮容到10萬,這就是效率和成本上的大大節省。
第三點,安全防護無止境,其實我們都做不到絕對安全,但是卻要做到相對安全。外部環境一直在不斷變化,如果讓企業時時刻刻關心外界因素、根據環境變化不停做出改變和調整,對企業的要求就過於嚴苛了。但是,騰訊的雲上安全產品則會對環境的變化始終保持敏感,並做出積極響應,同時長期專注於這一部分的研究,所以安全產品的形式是不會落後的。
比如說這次我們用到的一個元件有一些漏洞,騰訊安全可能就會提醒使用者升級,他們同時也知道現在行業內哪些問題是企業想解決的痛點。這個時候我們就會想,在此基礎上去擴充和提升自身的能力,快速構建安全體系,達到一個相對安全的級別。
【CSO面對面】往期回顧:
對話電通安吉斯副總裁陳家駒:企業如何破解虛假廣告刷量難題?
對話京東安全首席架構師:電商平臺構建安全防護體系關鍵點