(腾讯云AI安全矩阵)
第三重方案,放羊,吃肉。
这是我常*事情。
羊毛党要刷,就让他刷好了,干嘛费劲儿不让人刷呢。
只要踩死掉他们的获利渠道,让他们付出代价就可以了。
例如特定的活动里,专门配置发货规则,并且在规则中中设置大量的异常判定,有问题的,全部拦截,资金N天后再到账。
例如某些存在现金收益的产品,设计套利规则为需要先付钱再套利,例如满100减80,有问题的单子全都拦截提现,想提现带着实人认证来,经常可以套一大笔钱沉淀在账户,这钱也不能动,但是足够恶心人。
例如提现中,禁止多账号提现到同一个金融类账号中,并且要求账号必须和本人实名一一对应,然后再控制拉新的奖励成本,可以有效让羊毛党一通操作除了创造便宜日活没有任何其他意义。
例如规则设置中,对同样的坏用户,采取完全不同的处置策略,让他们也吃不准是哪个节点出了问题,干扰他们对于规则的试探,很多时候和经验老道的黑产交锋,只用传统策略没有意义的,人家比你懂的多了。
其实我也讨厌防守,防守必须要做,不想着反攻羊毛党的风控,显然更有趣一些。
8
真正的重点在第四重。
进攻,进攻,还是进攻。
从进攻者的角度找问题。
我始终坚持认为,不懂得进攻的安全从业者,是做不出真正的防守的。
防守本身就足够被动了,还干巴巴在家里坐着等人打上门来,非常愚蠢。
每一个安全从业者,都应该先去进攻,自己来进攻自己的系统,做攻防演练,以攻破为目的,刀刀见血,只有在这样的过程中,才能有着更强的防守。
给大家看看真正的黑产可以做到什么地步。
现在的黑产入侵已经可以做到构造一段包含任意命令的条码,并将其编码到激光中,条码阅读器接收激光后,会误以为扫到条形码,同时执行隐藏在其中的任意命令,从而攻入系统。合适的激光发射装置甚至可以在很远的地方发起这种攻击。
腾讯玄武实验室已成功实现这种进攻模式。
当今流行的屏下指纹,实际存在【残迹重用】的漏洞,玄武实验室首次破解并完成命名。
这一漏洞源头并非手机厂商,而是屏下指纹芯片厂商,是屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。利用该漏洞,攻击者只需一秒钟就可解锁手机。
黑客利用反射体欺骗的方法,通过残存指纹痕迹作案。
(腾讯安全玄武实验室破解并命名残迹重用漏洞)
只有对进攻了如指掌,才能做好防守。
没有进攻经验的防御,都是纸上谈兵。
9
刚才我提到了硬件防范,云时代的风控安全,是软硬结合的产物。
我提到的故事里,第一个故事明显就是黑产使用硬件来进行的进攻,其中的软件难度极低。
真正的安全,应该是从硬件阶段,就尽可能杜绝风险出现的可能性。
我举几个例子,你做内容安全风控,再NB的AI技术,再猛的规则词库,都是软功夫,假如不能把APP的外露接口加密,黑产随时写脚本改内容,累死风控你也干不好,你改规则永远没有人家进攻方用接口来往里灌快。
再例如假如有全套的决策引擎,无敌的规则配置,但是服务器上有后门,人家走流程直接不需要走你的业务流,你还怎么防守?
一个上半身无比壮硕的大个子,吃了一个扫堂腿,长得越高,摔的越惨。
再例如假如有全套的数据监控体系,但是数据库跳板机存在问题,被人入侵后你的数据监控体系就成了对方的竞争对手监控报表,很多互联网公司对于竞争对手的数据都是精准到秒级别的。
所以要做安全,就是软硬一起做。
硬件是身体,软件是精神。
脑子不好,再强壮的身体也过不好。
身体不好,再聪明的脑子也活不久。
全栈安全体系,是云时代必须要做的,腾讯云就是一个典型。
最后,说了这么多,其实也还是看老板的价值观。
毕竟风控本质上是为业务服务,并且要投入大量的成本。
老板没有这个决心的话,风控本身是做不了什么的。
与其费心费力去出力不讨好,还不如研究PPT制作,毕竟那个才是核心竞争力。