業(yè)務(wù)安全,指的是圍繞企業(yè)在線業(yè)務(wù)上發(fā)生的安全問題,業(yè)內(nèi)公認(rèn)的三大業(yè)務(wù)安全場(chǎng)景包含有賬號(hào)安全、內(nèi)容安全、運(yùn)營(yíng)活動(dòng)安全。我們認(rèn)為目前業(yè)務(wù)安全風(fēng)險(xiǎn)持續(xù)加大的原因是,一方面是數(shù)字化成為時(shí)代新引擎,同時(shí)黑灰產(chǎn)犯罪技術(shù)也在不斷發(fā)展,相較而言,對(duì)于那些有著豐富對(duì)抗經(jīng)驗(yàn)的在線金融機(jī)構(gòu)和互聯(lián)網(wǎng)廠商而言,業(yè)務(wù)安全都是一個(gè)頭疼問題,更何況那些剛剛開始數(shù)字化轉(zhuǎn)型的“小白”企業(yè)群體,其幾乎空白的防御經(jīng)驗(yàn)在面對(duì)此類風(fēng)險(xiǎn)時(shí)無(wú)疑會(huì)捉襟見肘。
為了幫助企業(yè)在應(yīng)對(duì)當(dāng)前復(fù)雜多變的業(yè)務(wù)安全場(chǎng)景時(shí),快速找到適合自身的安全建設(shè)之路,安全419啟動(dòng)了《業(yè)務(wù)安全解決方案》系列調(diào)研,邀請(qǐng)業(yè)內(nèi)細(xì)分領(lǐng)域內(nèi)的代表廠商分享自身前沿觀點(diǎn)、創(chuàng)新技術(shù)和最佳實(shí)踐,以期為企業(yè)用戶們提供參考借鑒。
極驗(yàn)GEETEST成立于2012年,其核心業(yè)務(wù)方向是提供企業(yè)級(jí)的互聯(lián)網(wǎng)安全交互服務(wù)。極驗(yàn)服務(wù)領(lǐng)域遍及航空、電商、游戲、金融、地產(chǎn)、教育、政務(wù)等多個(gè)方面,服務(wù)客戶包括Airbnb、榮耀、小米、微博、東方航空、幣安等知名企業(yè),實(shí)現(xiàn)了在20個(gè)細(xì)分行業(yè)的頭部企業(yè)52.4%的覆蓋率,成為網(wǎng)絡(luò)安全細(xì)分領(lǐng)域下的技術(shù)先驅(qū),且保持著世界領(lǐng)先水平。
在對(duì)話極驗(yàn)產(chǎn)品總監(jiān)張麗紅女士之后,總結(jié)了他們?nèi)缦碌臉I(yè)務(wù)安全領(lǐng)域的觀察思考和自身的解決方案:
業(yè)務(wù)安全新挑戰(zhàn):這是一場(chǎng)流量治理大戲
企業(yè)以業(yè)務(wù)為王,進(jìn)入數(shù)字時(shí)代,以及受持續(xù)的疫情影響,開展數(shù)字化服務(wù)已成企業(yè)未來(lái),線上數(shù)字業(yè)務(wù)的創(chuàng)新和穩(wěn)定將是未來(lái)的發(fā)展前提。極驗(yàn)強(qiáng)調(diào)指出,企業(yè)應(yīng)為數(shù)字化服務(wù)提前做好安全應(yīng)對(duì),業(yè)務(wù)本身的安全問題大于一切,越早布局業(yè)務(wù)安全,企業(yè)的收益也越高。
達(dá)沃斯論壇曾發(fā)布權(quán)威報(bào)告指出,網(wǎng)絡(luò)犯罪將是未來(lái)十年全球商業(yè)中第二大安全風(fēng)險(xiǎn),到2021年,互聯(lián)網(wǎng)黑灰產(chǎn)已給全球造成高達(dá)6萬(wàn)億美元的經(jīng)濟(jì)損失。相關(guān)數(shù)據(jù)顯示,在我國(guó)黑灰產(chǎn)僅“薅羊毛”一項(xiàng)就能為企業(yè)在線業(yè)務(wù)制造接近千億元規(guī)模的年損失。
企業(yè)運(yùn)營(yíng)者面臨著連年業(yè)務(wù)增長(zhǎng)壓力,與此同時(shí)獲客成本也越來(lái)越高,持續(xù)的運(yùn)營(yíng)壓力也像雪球一樣越滾越大。這是幾乎所有互聯(lián)網(wǎng)企業(yè)共同面臨的發(fā)展困境。獲客成本的不斷提高,其中最大的問題是60%的流量還是專門薅羊毛的黑灰產(chǎn)流量。
所以極驗(yàn)認(rèn)為,數(shù)字時(shí)代的企業(yè)業(yè)務(wù)安全,其實(shí)就是一場(chǎng)流量治理大戲。極驗(yàn)從相關(guān)調(diào)研總結(jié)業(yè)務(wù)安全新趨勢(shì)認(rèn)為,企業(yè)未來(lái)關(guān)注點(diǎn)已從流量的數(shù)量轉(zhuǎn)到質(zhì)量上來(lái),如何有效識(shí)別和對(duì)抗黑灰產(chǎn)所帶來(lái)的惡意流量成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵。
極驗(yàn)告訴安全419,為了降低不斷上升的獲客成本,一些企業(yè)已經(jīng)開展了這部分的流量治理工作,但效果并不明顯,現(xiàn)狀是僅10%的惡意流量被技術(shù)手段干預(yù)處理,這也就無(wú)法有效地將黑灰產(chǎn)惡意流量拒之門外。
極驗(yàn)強(qiáng)調(diào)稱,互聯(lián)網(wǎng)黑灰產(chǎn)攻擊門檻極低,企業(yè)需要系統(tǒng)化地進(jìn)行針對(duì)線上業(yè)務(wù)安全的提前規(guī)劃和建設(shè)。
“黑產(chǎn)三板斧”開辟企業(yè)流量時(shí)代破局之道
據(jù)悉,在2021年年底升級(jí)到第四代驗(yàn)證技術(shù)之后,極驗(yàn)針對(duì)黑產(chǎn)多維度能力的全面分析,推出了可信流量治理解決方案,由其全新的行為驗(yàn)、設(shè)備驗(yàn)、身份驗(yàn)組成的被命名為“可信流量三要素治理解決方案”,開辟了企業(yè)流量時(shí)代的破局之道。
極驗(yàn)長(zhǎng)期跟蹤互聯(lián)網(wǎng)黑灰產(chǎn)的攻擊變化趨勢(shì)不斷做出產(chǎn)品和解決方案上的策略調(diào)整,其第四代驗(yàn)證技術(shù)的最大特點(diǎn)是采取了積極的主動(dòng)式防御策略,并從多維度提供深度的對(duì)流量的治理。其優(yōu)勢(shì)就像是一個(gè)動(dòng)態(tài)的大網(wǎng),不斷進(jìn)行提前預(yù)判,讓黑灰產(chǎn)沒有可乘之機(jī)。
在這套整體的解決方案當(dāng)中:
其行為驗(yàn)可以對(duì)黑灰產(chǎn)使用的爬蟲、腳本等自動(dòng)化工具進(jìn)行鑒別和阻斷,其解決的是有限的營(yíng)銷資源應(yīng)只面向有效的客戶,而不是被黑灰產(chǎn)薅了羊毛。極驗(yàn)行為驗(yàn)證技術(shù)已升級(jí)為第四代適應(yīng)型技術(shù),能夠應(yīng)對(duì)數(shù)千種行為變化提供鑒別,可令黑產(chǎn)攻擊成本大幅度提升。極驗(yàn)行為驗(yàn)還可以與業(yè)務(wù)深度結(jié)合,以適用更多的業(yè)務(wù)安全場(chǎng)景,提供更深入防護(hù)。
在設(shè)備驗(yàn)方面,則是極驗(yàn)專門開發(fā)的針對(duì)黑灰產(chǎn)所采用云控平臺(tái)、群控平臺(tái)的技術(shù)解決手段,在技術(shù)上其在極驗(yàn)原有設(shè)備指紋技術(shù)的基礎(chǔ)上,額外新增對(duì)歷史、歸因、風(fēng)險(xiǎn)三個(gè)維度的復(fù)查,利用三維復(fù)核技術(shù),讓驗(yàn)設(shè)備更安全,為企業(yè)識(shí)別可信流量。以場(chǎng)景化舉例來(lái)說(shuō),這種設(shè)備驗(yàn)的能力可以應(yīng)對(duì)所有持機(jī)軟件對(duì)在線游戲運(yùn)營(yíng)造成的干擾。
在身份驗(yàn)方面,可以理解為針對(duì)業(yè)務(wù)安全場(chǎng)景上的初始威脅點(diǎn),身份是黑灰產(chǎn)薅羊毛的必備前提,極驗(yàn)的身份驗(yàn)可以鑒別阻斷針對(duì)業(yè)務(wù)的惡意批量注冊(cè),以及惡意賬號(hào)的批量喚醒。其中前者比較直接,后者則是黑灰產(chǎn)常采用的一種規(guī)避運(yùn)作,俗稱“養(yǎng)號(hào)”,實(shí)際上這也是業(yè)務(wù)安全需要提前建設(shè)的重要理由之一。極驗(yàn)通過創(chuàng)新利用風(fēng)控隱形前置架構(gòu),在分析、記錄、防御三個(gè)核心環(huán)節(jié),將風(fēng)控反應(yīng)周期前置0.5h-48h,知的更早,防的更快。
其驗(yàn)證服務(wù)的核心優(yōu)勢(shì)在于防御理念與防御技術(shù)與互聯(lián)網(wǎng)黑灰產(chǎn)持續(xù)對(duì)標(biāo)過程中的不斷升級(jí)。
前面提及其第四代驗(yàn)證技術(shù)的推出,其防御理念已從過去的被動(dòng)防御(驗(yàn)證)提升到了主動(dòng)防御,且從多維度對(duì)黑灰產(chǎn)所帶來(lái)的惡意流量進(jìn)行全面有效的治理。
在技術(shù)上,如極驗(yàn)最新行為驗(yàn)提出七層動(dòng)態(tài)安全防御,還首創(chuàng)將工作量證明(Proof-of-Work,簡(jiǎn)稱“ PoW ”)引入到了第四代驗(yàn)證碼技術(shù)當(dāng)中,PoW簡(jiǎn)單理解的話就是一份證明,用來(lái)確認(rèn)你做過一定量的工作。極驗(yàn)解釋稱,黑灰產(chǎn)通過機(jī)器高頻批量訪問,累計(jì)起來(lái)會(huì)大量增加黑灰產(chǎn)的攻擊成本和計(jì)算資源損耗,所以通常情況下極驗(yàn)會(huì)通過主動(dòng)監(jiān)測(cè)以發(fā)現(xiàn)高請(qǐng)求量且不符合客戶業(yè)務(wù)規(guī)律的流量時(shí)開啟PoW共識(shí)防御機(jī)制。在實(shí)踐應(yīng)用時(shí),該技術(shù)已得到了客戶側(cè)的高度好評(píng)。
另外,極驗(yàn)驗(yàn)證服務(wù)強(qiáng)化了B端業(yè)務(wù)安全的同時(shí),還提升了C端的用戶體驗(yàn),極驗(yàn)驗(yàn)證服務(wù)本身加入了大量的AI技術(shù),同時(shí)極驗(yàn)的身份驗(yàn)產(chǎn)品已獲三大運(yùn)營(yíng)商官方授權(quán),三網(wǎng)融合技術(shù)讓驗(yàn)身份不再成為用戶體驗(yàn)痛點(diǎn),過去15秒驗(yàn)證過程如今被縮減至1秒,更好用戶體驗(yàn)對(duì)用戶轉(zhuǎn)化率提升將達(dá)20%以上。其方案不僅是業(yè)務(wù)安全上的保障,更是對(duì)業(yè)務(wù)本體運(yùn)營(yíng)上的一種促進(jìn)。
在采訪中,極驗(yàn)分享了一些驗(yàn)證技術(shù)應(yīng)用的典型業(yè)務(wù)安全場(chǎng)景,比如進(jìn)入數(shù)字時(shí)代,數(shù)據(jù)已成為企業(yè)的核心生產(chǎn)要素,企業(yè)需做好防爬蟲準(zhǔn)備,以免自己的商業(yè)數(shù)據(jù)成為別人的生產(chǎn)力;在一些商務(wù)促銷場(chǎng)景中,如節(jié)假日的特價(jià)機(jī)票,也容易遭到黑產(chǎn)搶奪并加價(jià)倒賣(如倒賣不成會(huì)退票)。
一些企業(yè)的在線業(yè)務(wù)在用戶驗(yàn)證環(huán)節(jié)多采用手機(jī)驗(yàn)證碼的方式進(jìn)行驗(yàn)證,這也帶來(lái)業(yè)務(wù)安全上的挑戰(zhàn),其多為商業(yè)競(jìng)爭(zhēng)層面的問題。極驗(yàn)就曾建議某海外客戶在獲取短信驗(yàn)證前部署行為驗(yàn)證碼,成功避免了黑灰產(chǎn)針對(duì)短信驗(yàn)證平臺(tái)的惡意攻擊。其實(shí)這種攻擊造成的單日損失并不大,但風(fēng)險(xiǎn)是攻擊手段簡(jiǎn)單粗暴,長(zhǎng)期損失巨大。
極驗(yàn)強(qiáng)調(diào)稱,業(yè)務(wù)安全的場(chǎng)景隨著信息技術(shù)的不斷發(fā)展而不斷變化,而極驗(yàn)要做的就是不斷為新的業(yè)務(wù)安全場(chǎng)景適配其不斷與時(shí)俱進(jìn)的安全驗(yàn)證解決方案。實(shí)際上最近幾年的數(shù)字化發(fā)展在移動(dòng)端應(yīng)用是最顯見的,極驗(yàn)也為此做了大量的適配工作,其驗(yàn)證服務(wù)也成為數(shù)字化發(fā)展的有力幫手。
尾聲 無(wú)處不在的極驗(yàn)
你可能沒有聽說(shuō)過極驗(yàn),但你不可能沒用過極驗(yàn)的驗(yàn)證技術(shù)。早起上班時(shí),我們拿起手機(jī)閱讀早間新聞,在線訂餐,登錄各類在線應(yīng)用進(jìn)行一天的工作;出差旅游時(shí),從車票、機(jī)票預(yù)訂,再到酒店預(yù)訂,景區(qū)門票訂購(gòu)等;休閑娛樂時(shí),登錄瀏覽短視頻、進(jìn)行各類游戲激戰(zhàn),等等。極驗(yàn)在保障企業(yè)免遭業(yè)務(wù)安全惡意流量困擾的同時(shí),也無(wú)感知的保障了我們每一個(gè)用戶的體驗(yàn)與安全。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<