“宅经济”时代,电商行业在人们的生活中扮演着越发重要的角色。2020年突如其来的疫情在缩短用户活动半径的同时,也增加了其触网时长,从而使电商平台业务迅速增长。对此,各大电商平台纷纷扩大各类促销活动的规模,以期获取用户增量,抢占发展先机。
然而,在抢占先机的过程中带来的利益和诱惑,也让电商平台成为了网络黑灰产的瞄准对象,线上身份认证问题、刷单、DDoS攻击、薅羊毛、黄牛党等问题不但让消费者无法有序参与促销活动,更是让商家面临获客成本增加、成交率降低等风险。
在“大物移云智”快速发展的今天,电商平台如何应对网络安全风险和挑战?如何在专注业务发展的同时,依托安全的云平台,高效构筑自身的黑产防御体系?腾讯安全『CSO面对面』第三期,对话微拍堂研发中心负责人张华伟,以微拍堂为实例,向大家分享电商平台在应对网络黑产时,如何做到筑牢安全防御体系、实现业务增长两不误。
对话微拍堂张华伟:百亿交易额背后的黑产对抗
张华伟是谁?张华伟,微拍堂研发中心负责人,负责微拍堂产品和技术中台的建设工作。具有多年服务端架构经验和业务架构经验,持续负责微拍堂电商安全体系的建立和巩固。
Q1: 电商平台面临的安全风险主要有哪些,如何进行体系化的安全建设?
张华伟:微拍堂对安全体系的理解,总体为三方面:即代码安全、资产安全、信息安全。代码安全涉及到渗透测试这一层,资产安全即所有云上的资金和财产安全,信息安全则包括内外部信息的整体安全性。从这三点分不同的细节进行切入,构建了微拍堂的安全体系。
首先,渗透测试针对的是代码安全,即应用级别的安全。其实对于工程师或者开发人员来说,他们更加关注的是业务的快速上线和快速迭代,相比之下对安全的关注度没有那么高。不过,在业务达到一定规模的时候,也会建立一些配套制度。比如从个人或团队角度出发引入安全测试工程师,针对不同项目、不同应用来定期扫描,扫描之后按照项目级别再去推进整改。
第二点是资产安全,这一点十分重要。因为线上所有的资金、财产都在云上,这时候黑客如果侵入到内部系统,后果不堪设想。所以,微拍堂也在云上进行了一些安全产品和解决方案的部署,比如利用主机安全和DDoS防护等产品进行防范,可以帮助电商平台快速构建外围的云安全体系。
第三点是信息安全。对信息安全的理解可以分为两点,第一点是哪些数据需要进行严格的加密。比如用户数据,用户在进行支付时使用的一些银行卡号,以及身份证实名认证。由于现在各类商家、平台都需要实名认证,所以这部分的信息安全尤为重要。此外,内部的信息安全问题也同样不容忽视,如何保证流动在企业内部的信息不外露,是每个企业都应该密切关注的问题。
Q2:针对电商平台应对身份认证的难题,有哪些建议?
张华伟:对于电商平台来说,身份验证可以分为两部分。第一部分是商家端,比如商家都需要进行实名认证,这对于用户的身份核实是十分关键的,像上传手持身份证,包括手持身份证头像如何做到合规等等,这时候我们就接入了一些云上的安全产品去保证这一点。
第二部分是用户端,其实我们有在用户端对用户进行分层,从而区分哪些用户是薅羊毛的,哪些是外挂。这种情况下,我们利用微信和手机号登录两种注册渠道,引入腾讯的安全体系,比如接入天御这种安全级别的产品,再结合各行业数据进行分析,就能够做到对用户安全等级的识别和判定。
基于这种数据分析的能力,针对不同的业务场景,微拍堂今年也建立了一套自己的严格风控体系。例如,对于注册场景,像我们做在线拍卖的公司会有一个出价,那么这个出价需不需要交保证金,又如何去识别,这也属于一个安全级别的范畴内。所以在这个体系之下,我们针对不同场景的特点去建立自己的风控体系。
Q3:现阶段,电商平台遇到的最突出安全风险和挑战有哪些?
张华伟:首先,刷单可能是电商平台成立以来一直面临的一个问题。企业发展业务、扩大生态,就需要干预这种不合规的运营手段,这时候我们怎么做呢?首先,对用户的介入、出价以及交易的整个过程进行全面监控,实现全面监控的重要途径就是基础能力+云上产品+业务场景,把它们结合在一起之后,实施相对细化的风控规则、策略来解决这部分问题。
第二点,撸羊毛。在做大促的时候,很多平台对优惠券或现金红包的投入力度会非常大,但是这其中的大部分投入被撸羊毛的用户撸走,是我们不希望看到的情况。事实上,一些用户从他们注册开始就被我们识别为撸羊毛用户或外挂用户,在他们去参与活动的时候,我们会对其行为进行相应的监控,从而达到限制撸羊毛的目的。
第三点,流量激增。其实这个问题对于每个电商平台抑或是业务发展突飞猛进的企业来说,都面临着一些潜在风险,因为这些平台、企业在发展前期大多更加关注业务,要在发展业务和夯实基础之间进行平衡。这个时候,纾解流量激增或是外部流量攻击等痛点的有效方式,就是引入云上的安全能力。
Q4:针对以上安全风险,如何系统性地进行治理?
张华伟:这三点其实是相辅相成的。以恶意bot为例,其过于集中的特点使得该行为轻易就能打垮一个系统,但反过来说,它其实也是很好拦截的,比如依托腾讯的一款安全产品腾讯云WAF,基于云原生架构的产品解决方案和天御风控能力的完整反爬防刷解决方案,能够对恶意bot这种行为进行有效识别和拦截,防止其下沉到后面的系统当中,这是第一点。
另外,像刚才提到的防刷、防撸羊毛,其实相对来说比较难,因为它不能一概而论,一下子就把它判断成坏的,所以我们利用腾讯天御风控系统,针对不同业务、不同场景,在完成注册环节之后,去判定安全级别。
由于不同的业务或场景会有不同的效果,所以还不能直接把刷单、撸羊毛这样的行为拦死,我们会允许一些目标用户进行相应的用户行为,比如说他出了个价,这时候他可能薅住了羊毛准备套现,可能集中在一个店铺,甚至和商家有一定关联……所以说,通过行为数据以及大数据平台的一些基础数据能力来分析,结合云上的基础能力构成完整的安全防护系统,才能做到对用户的精准判断。
Q5:云上安全体系相比于传统安全架构有哪些优势?
张华伟:首先,上云能够节省成本。构建云上安全体系一定是先具备基础安全能力、安全产品和解决方案的,再加上云WAF产品的应用以及自身具备的抗D能力等,就能够在上云过程中实现降本增效。如果在传统安全架构之下,则有可能去购买和使用硬件产品,或者需要自己去研发,成本会很高。
拿微拍堂来说,我们的业务在疫情期间实现了突飞猛进的转变,比如在搞大促活动的时候进行引流,但这些都是短期或临时性的内容,而不是一个长期的规划。正是在这种情况下,如果我们还要依靠传统架构,在传统机房去处理、应对即时性的需求和变化,那么这个痛点会一直存在。
其实在大促之后,机器扩容也面临着一个痛点,从采购、部署到网络防护以及安全能力的保证,整个流程都需要依靠自身来把控和主导。当然,上云之后,企业或电商平台只需要更关注自身业务,毕竟云上的产品会越来越丰富,不光是安全产品,其他的比如基础能力、负载均衡等等,都是上云赋予企业快速发展的能力。
还有一个痛点是,运维团队和安全厂商的侧重点存在偏差。现在我们的运维团队其实更注重的是应用运维+业务运维,在网络的基础设施以及机房的故障修复方面投入精力相对较少,这是因为运维团队更侧重网络和硬件设备,同时也需要具备机房的一些实际操作能力,所以网络基础设施的完善以及故障修复等问题就交由安全厂商来解决。安全厂商定期对设备进行巡检、淘汰、过保,都是有严格规章制度的,不一定会实时适应运维团队的需求,这一点对运维团队来说也是一个痛点,以往大家可能接触过这种传统机房的发展过程,这个痛点是非常明显的。
Q6:企业上云后,业务的发展与安全体系的建设存在怎样的关系?
张华伟:首先,企业上云后,基础能力构建在云上,云上有对应的安全体系,所以这时候我们可以在大环境下去选择自己的安全产品,这是第一点。
第二点,就是扩容以及应对,比如WAF,我可以在大促期间选择开启,那么这就涉及到流量峰值问题。打个比方,在10万QPS的状态下投入大促广告,再加上引流,就可能达到30万。这时候如果是在传统机房,应该怎么做?可能会去扩大设备的购买力度,这就会造成成本增加、效率降低的状况。
但是如果在云上的话,我们又会如何做?这时只需要把之前Web应用防火墙的一个QPS提升扩容到30万就可以了,那这个是非常简单的。再举个例子,之前做这个事情要准备一个月,现在可能和腾讯安全团队聊一聊,扩容一下,半天就好;而活动结束了之后,QPS不需要这么大,就缩容到10万,这就是效率和成本上的大大节省。
第三点,安全防护无止境,其实我们都做不到绝对安全,但是却要做到相对安全。外部环境一直在不断变化,如果让企业时时刻刻关心外界因素、根据环境变化不停做出改变和调整,对企业的要求就过于严苛了。但是,腾讯的云上安全产品则会对环境的变化始终保持敏感,并做出积极响应,同时长期专注于这一部分的研究,所以安全产品的形式是不会落后的。
比如说这次我们用到的一个组件有一些漏洞,腾讯安全可能就会提醒用户升级,他们同时也知道现在行业内哪些问题是企业想解决的痛点。这个时候我们就会想,在此基础上去扩充和提升自身的能力,快速构建安全体系,达到一个相对安全的级别。
【CSO面对面】往期回顾: