业务安全,指的是围绕企业在线业务上发生的安全问题,业内公认的三大业务安全场景包含有账号安全、内容安全、运营活动安全。我们认为目前业务安全风险持续加大的原因是,一方面是数字化成为时代新引擎,同时黑灰产犯罪技术也在不断发展,相较而言,对于那些有着丰富对抗经验的在线金融机构和互联网厂商而言,业务安全都是一个头疼问题,更何况那些刚刚开始数字化转型的“小白”企业群体,其几乎空白的防御经验在面对此类风险时无疑会捉襟见肘。
为了帮助企业在应对当前复杂多变的业务安全场景时,快速找到适合自身的安全建设之路,安全419启动了《业务安全解决方案》系列调研,邀请业内细分领域内的代表厂商分享自身前沿观点、创新技术和最佳实践,以期为企业用户们提供参考借鉴。
极验GEETEST成立于2012年,其核心业务方向是提供企业级的互联网安全交互服务。极验服务领域遍及航空、电商、游戏、金融、地产、教育、政务等多个方面,服务客户包括Airbnb、荣耀、小米、微博、东方航空、币安等知名企业,实现了在20个细分行业的头部企业52.4%的覆盖率,成为网络安全细分领域下的技术先驱,且保持着世界领先水平。
安全419在对话极验产品总监张丽红女士之后,总结了他们如下的业务安全领域的观察思考和自身的解决方案:
业务安全新挑战:这是一场流量治理大戏
企业以业务为王,进入数字时代,以及受持续的疫情影响,开展数字化服务已成企业未来,线上数字业务的创新和稳定将是未来的发展前提。极验强调指出,企业应为数字化服务提前做好安全应对,业务本身的安全问题大于一切,越早布局业务安全,企业的收益也越高。
达沃斯论坛曾发布权威报告指出,网络犯罪将是未来十年全球商业中第二大安全风险,到2021年,互联网黑灰产已给全球造成高达6万亿美元的经济损失。相关数据显示,在我国黑灰产仅“薅羊毛”一项就能为企业在线业务制造接近千亿元规模的年损失。
企业运营者面临着连年业务增长压力,与此同时获客成本也越来越高,持续的运营压力也像雪球一样越滚越大。这是几乎所有互联网企业共同面临的发展困境。获客成本的不断提高,其中最大的问题是60%的流量还是专门薅羊毛的黑灰产流量。
所以极验认为,数字时代的企业业务安全,其实就是一场流量治理大戏。极验从相关调研总结业务安全新趋势认为,企业未来关注点已从流量的数量转到质量上来,如何有效识别和对抗黑灰产所带来的恶意流量成为企业业务运营的关键。
极验告诉安全419,为了降低不断上升的获客成本,一些企业已经开展了这部分的流量治理工作,但效果并不明显,现状是仅10%的恶意流量被技术手段干预处理,这也就无法有效地将黑灰产恶意流量拒之门外。
极验强调称,互联网黑灰产攻击门槛极低,企业需要系统化地进行针对线上业务安全的提前规划和建设。
“黑产三板斧”开辟企业流量时代破局之道
据悉,在2021年年底升级到第四代验证技术之后,极验针对黑产多维度能力的全面分析,推出了可信流量治理解决方案,由其全新的行为验、设备验、身份验组成的被命名为“可信流量三要素治理解决方案”,开辟了企业流量时代的破局之道。
极验长期跟踪互联网黑灰产的攻击变化趋势不断做出产品和解决方案上的策略调整,其第四代验证技术的最大特点是采取了积极的主动式防御策略,并从多维度提供深度的对流量的治理。其优势就像是一个动态的大网,不断进行提前预判,让黑灰产没有可乘之机。
在这套整体的解决方案当中,其行为验可以对黑灰产使用的爬虫、脚本等自动化工具进行鉴别和阻断,其解决的是有限的营销资源应只面向有效的客户,而不是被黑灰产薅了羊毛。极验行为验证技术已升级为第四代适应型技术,能够应对数千种行为变化提供鉴别,可令黑产攻击成本大幅度提升。极验行为验还可以与业务深度结合,以适用更多的业务安全场景,提供更深入防护。
在设备验方面,则是极验专门开发的针对黑灰产所采用云控平台、群控平台的技术解决手段,在技术上其在极验原有设备指纹技术的基础上,额外新增对历史、归因、风险三个维度的复查,利用三维复核技术,让验设备更安全,为企业识别可信流量。以场景化举例来说,这种设备验的能力可以应对所有持机软件对在线游戏运营造成的干扰。
在身份验方面,可以理解为针对业务安全场景上的初始威胁点,身份是黑灰产薅羊毛的必备前提,极验的身份验可以鉴别阻断针对业务的恶意批量注册,以及恶意账号的批量唤醒。其中前者比较直接,后者则是黑灰产常采用的一种规避运作,俗称“养号”,实际上这也是业务安全需要提前建设的重要理由之一。极验通过创新利用风控隐形前置架构,在分析、记录、防御三个核心环节,将风控反应周期前置0.5h-48h,知的更早,防的更快。
极验告诉安全419,其验证服务的核心优势在于防御理念与防御技术与互联网黑灰产持续对标过程中的不断升级。
前面提及其第四代验证技术的推出,其防御理念已从过去的被动防御(验证)提升到了主动防御,且从多维度对黑灰产所带来的恶意流量进行全面有效的治理。
在技术上,如极验最新行为验提出七层动态安全防御,还首创将工作量证明(Proof-of-Work,简称“ PoW ”)引入到了第四代验证码技术当中,PoW简单理解的话就是一份证明,用来确认你做过一定量的工作。极验解释称,黑灰产通过机器高频批量访问,累计起来会大量增加黑灰产的攻击成本和计算资源损耗,所以通常情况下极验会通过主动监测以发现高请求量且不符合客户业务规律的流量时开启PoW共识防御机制。在实践应用时,该技术已得到了客户侧的高度好评。
另外,极验验证服务强化了B端业务安全的同时,还提升了C端的用户体验,极验验证服务本身加入了大量的AI技术,同时极验的身份验产品已获三大运营商官方授权,三网融合技术让验身份不再成为用户体验痛点,过去15秒验证过程如今被缩减至1秒,更好用户体验对用户转化率提升将达20%以上。其方案不仅是业务安全上的保障,更是对业务本体运营上的一种促进。
在采访中,极验分享了一些验证技术应用的典型业务安全场景,比如进入数字时代,数据已成为企业的核心生产要素,企业需做好防爬虫准备,以免自己的商业数据成为别人的生产力;在一些商务促销场景中,如节假日的特价机票,也容易遭到黑产抢夺并加价倒卖(如倒卖不成会退票)。
一些企业的在线业务在用户验证环节多采用手机验证码的方式进行验证,这也带来业务安全上的挑战,其多为商业竞争层面的问题。极验就曾建议某海外客户在获取短信验证前部署行为验证码,成功避免了黑灰产针对短信验证平台的恶意攻击。其实这种攻击造成的单日损失并不大,但风险是攻击手段简单粗暴,长期损失巨大。
极验强调称,业务安全的场景随着信息技术的不断发展而不断变化,而极验要做的就是不断为新的业务安全场景适配其不断与时俱进的安全验证解决方案。实际上最近几年的数字化发展在移动端应用是最显见的,极验也为此做了大量的适配工作,其验证服务也成为数字化发展的有力帮手。
尾声.无处不在的极验
你可能没有听说过极验,但你不可能没用过极验的验证技术。早起上班时,我们拿起手机阅读早间新闻,在线订餐,登录各类在线应用进行一天的工作;出差旅游时,从车票、机票预订,再到酒店预订,景区门票订购等;休闲娱乐时,登录浏览短视频、进行各类游戏激战,等等。极验在保障企业免遭业务安全恶意流量困扰的同时,也无感知的保障了我们每一个用户的体验与安全。