業務安全,指的是圍繞企業線上業務上發生的安全問題,業内公認的三大業務安全場景包含有賬号安全、内容安全、營運活動安全。
我們認為目前業務安全風險持續加大的原因是,一方面是數字化成為時代新引擎,另一方面是黑灰産犯罪技術也在不斷發展,相較而言,對于那些有着豐富對抗經驗的線上金融機構和網際網路廠商而言,業務安全都是一個頭疼問題,更何況那些剛剛開始數字化轉型的“小白”企業群體,其幾乎空白的防禦經驗在面對此類風險時無疑會捉襟見肘。
為了幫助企業在應對目前複雜多變的業務安全場景時,快速找到适合自身的安全建設之路,安全419啟動了《業務安全解決方案》系列調研,邀請業内細分領域内的代表廠商分享自身前沿觀點、創新技術和最佳實踐,以期為企業使用者們提供參考借鑒。
極驗GEETEST成立于2012年,其核心業務方向是提供企業級的網際網路安全互動服務。安全419在對話其産品總監張麗紅女士之後,總結了他們如下的業務安全領域的觀察思考和自身的解決方案:
業務安全新挑戰:這是一場流量治理大戲
企業以業務為王,進入數字時代,以及受持續的疫情影響,開展數字化服務已成企業未來,線上數字業務的創新和穩定将是未來的發展前提。極驗強調指出,企業應為數字化服務提前做好安全應對,業務本身的安全問題大于一切,越早布局業務安全,企業的收益也越高。
達沃斯論壇曾釋出權威報告指出,網絡犯罪将是未來十年全球商業中第二大安全風險,到2021年,網際網路黑灰産已給全球造成高達6萬億美元的經濟損失。相關資料顯示,在大陸黑灰産僅“薅羊毛”一項就能為企業線上業務制造接近千億元規模的年損失。
企業營運者面臨着連年業務增長壓力,與此同時獲客成本也越來越高,持續的營運壓力也像雪球一樣越滾越大。這是幾乎所有網際網路企業共同面臨的發展困境。獲客成本的不斷提高,其中最大的問題是60%的流量還是專門薅羊毛的黑灰産流量。
數字時代的企業業務安全,其實就是一場流量治理大戲。極驗從相關調研總結業務安全新趨勢認為,企業未來關注點已從流量的數量轉到品質上來,如何有效識别和對抗黑灰産所帶來的惡意流量成為企業業務營運的關鍵。
極驗告訴安全419,為了降低不斷上升的獲客成本,一些企業已經開展了這部分的流量治理工作,但效果并不明顯,現狀是僅10%的惡意流量被技術手段幹預處理,這也就無法有效地将黑灰産惡意流量拒之門外。
極驗強調稱,網際網路黑灰産攻擊門檻極低,企業需要系統化地進行針對線上業務安全的提前規劃和建設。
“黑産三闆斧”開辟企業流量時代破局之道
據悉,在2021年年底更新到第四代驗證技術之後,針對黑産多元度能力的全面分析,推出了可信流量治了解決方案,由其全新的行為驗、裝置驗、身份驗組成的被命名為“黑産三闆斧”SaaS化服務,開辟了企業流量時代的破局之道。
極驗長期跟蹤網際網路黑灰産的攻擊變化趨勢不斷做出産品和解決方案上的政策調整,其第四代驗證技術的最大特點是采取了積極的主動式防禦政策,并從多元度提供深度的對流量的治理。其優勢就像是一個動态的大網,不斷進行提前預判,讓黑灰産沒有可乘之機。
在這套整體的解決方案當中,其行為驗可以對黑灰産使用的爬蟲、腳本等自動化工具進行鑒别和阻斷,其解決的是有限的營銷資源應隻面向有效的客戶,而不是被黑灰産薅了羊毛。極驗行為驗證技術已更新為第四代适應型技術,能夠應對數千種行為變化提供鑒别,可令黑産攻擊成本大幅度提升。行為驗還可以與業務深度結合,以适用更多的業務安全場景,提供更深入防護。
在裝置驗方面,則是專門開發的針對黑灰産所采用雲控平台、群控平台的技術解決手段,在技術上其在極驗原有裝置指紋技術的基礎上,額外新增對曆史、歸因、風險三個次元的複查,利用三維複核技術,讓驗裝置更安全,為企業識别可信流量。以場景化舉例來說,這種裝置驗的能力可以應對所有持機軟體對線上遊戲營運造成的幹擾。
在身份驗方面,可以了解為針對業務安全場景上的初始威脅點,身份是黑灰産薅羊毛的必備前提,極驗的身份驗可以鑒别阻斷針對業務的惡意批量注冊,以及惡意賬号的批量喚醒。其中前者比較直接,後者則是黑灰産常采用的一種規避運作,俗稱“養号”,實際上這也是業務安全需要提前建設的重要理由之一。極驗通過創新利用風控隐形前置架構,在分析、記錄、防禦三個核心環節,将風控反應周期前置0.5h-48h,知的更早,防的更快。
極驗告訴安全419,其驗證服務的核心優勢在于防禦理念與防禦技術與網際網路黑灰産持續對标過程中的不斷更新。
前面提及其第四代驗證技術的推出,其防禦理念已從過去的被動防禦(驗證)提升到了主動防禦,且從多元度對黑灰産所帶來的惡意流量進行全面有效的治理。
在技術上,最新行為驗提出七層動态安全防禦,還首創将工作量證明(Proof-of-Work,簡稱“ PoW ”)引入到了第四代驗證碼技術當中,PoW簡單了解的話就是一份證明,用來确認你做過一定量的工作。黑灰産通過機器高頻批量通路,累計起來會大量增加黑灰産的攻擊成本和計算資源損耗,是以通常情況下通過主動監測以發現高請求量且不符合客戶業務規律的流量時開啟PoW共識防禦機制。在實踐應用時,該技術已得到了客戶側的高度好評。
另外,極驗驗證服務強化了B端業務安全的同時,還提升了C端的使用者體驗,過去15秒驗證過程如今被縮減至1秒,更好使用者體驗對使用者轉化率提升将達20%以上。其方案不僅是業務安全上的保障,更是對業務本體營運上的一種促進。
在采訪中,極驗分享了一些驗證技術應用的典型業務安全場景,比如進入數字時代,資料已成為企業的核心生産要素,企業需做好防爬蟲準備,以免自己的商業資料成為别人的生産力;在一些商務促銷場景中,如節假日的特價機票,也容易遭到黑産搶奪并加價倒賣(如倒賣不成會退票)。
一些企業的線上業務在使用者驗證環節多采用手機驗證碼的方式進行雙重通驗證,這也帶來業務安全上的挑戰,其多為商業競争層面的問題。極驗就曾為其某海外客戶提供了這方面的驗證服務,避免了其針對短信驗證平台的惡意攻擊。其實這種攻擊造成的單日損失并不大,但風險是攻擊手段簡單粗暴,長期損失巨大。
業務安全的場景随着資訊技術的不斷發展而不斷變化,而極驗要做的就是不斷為新的業務安全場景适配其不斷與時俱進的安全驗證解決方案。
尾聲.無處不在的極驗
十年磨一劍,極驗花了十年的時間專注在一件事上,并将自己打造成為網絡安全細分領域下的技術先驅,且保持着世界領先水準。
你可能沒有聽說過極驗,但你不可能沒用過他們的驗證技術。早起上班時,我們拿起手機閱讀早間新聞,線上訂餐,登入各類線上應用進行一天的工作;出差旅遊時,從車票、機票預訂,再到酒店預訂,景區門票訂購等;休閑娛樂時,登入浏覽短視訊、進行各類遊戲激戰,等等。極驗在保障企業免遭業務安全惡意流量困擾的同時,也無感覺地保障了我們每一個使用者的體驗與安全。
#薅羊毛小分隊##薅羊毛能有多厲害##網絡安全#