10月13日下午15:00顶象第七期业务安全大讲堂正式开讲,顶象资深解决方案专家鳯羽在直播详细分析了双十一期间电商的风险及防控难点,针对电商风险和防控难点针对性的提出了具体的防控思路,为双十一电商风控提供了重要参考。
直播当天也吸引了不少围观群众,针对电商风控提出了不少优质问题,现将部分问题整理出来,以供大家参考。
Q1:为什么说传统的字符式验证码在防机器流量的场景下效果差?不是应该越难识别效果越好吗?
鳯羽:在OCR技术大量普及应用和越来越成熟的背景下,传统字符验证能够轻易被OCR技术识别,再配合黑灰产常用的脚本软件,可以做到完全通过机器去完成高效的字符验证,这就导致了传统字符验证码在很多黑灰产面前形同虚设。另外传统字符验证大都通过变体来增加机器识别难度,但是这么做不仅对OCR识别技术没有太大作用,反而让正常用户看起来很痛苦,经常要刷新很多遍直到刷出容易辨识的字符。比如0和O,大写I和1容易混淆。
Q2:前面有讲到黑灰产正在逐步演变欺诈方式,真人众包这种欺诈方式越来越普遍,这类风险有什么特点?在防控时有什么建议?
鳯羽:众包风险对于传统风控而言面临两个主要问题:
1、识别难度高,因为众包人员使用的设备、手机号、IP等工具多为正常工具且分布相对离散,传统风险识别逻辑很难保证有效的召回。
2、识别后处理边界模糊,解释成本较高,面对客户投诉很难应对。因此对于众包风险的防范,不能像传统风控做法那样,仅仅只看设备、手机号、IP等要素是否正常,因为很大概率这些都是正常的,需要更多维度、更多指标去辅助判断用户行为的轨迹和特征是否正常,在条件允许的情况下可以考虑通过机器学习建模、构建关联网络、获得风险情报等加强手段。
Q3:请问使用一些网络安全产品或者数据安全产品能解决电商场景下风险吗?跟业务安全有什么区别?
鳯羽:传统网络安全/数据安全产品或方案,更多是从网络流量和数据传输中寻找异常,缺乏具体业务场景的业务属性,即使发现异常也无法具体映射出用户的异常行为表现。而业务安全主要从业务场景出发,不仅包含设备和网络的风险识别,更能从用户的行为特征中甄别出风险问题并加以防范,可以复现黑灰产的攻击路径,可以应对复杂、多样的电商业务。所以说两者还是有比较大的差异的,各自的侧重不同。
Q4:顶象的方案中涉及很多产品,有些我们已经有了,可以只用单个或者某几个吗?还是全部都要用?
鳯羽:我们在设计方案的时候,肯定是从最全面的角度去考虑的,当然每一个产品都是可以单独输出的,我们在设计产品的时候也充分考虑到了兼容性、模块化、快速部署和对接等问题,所以是可以用单个产品去补充某块能力的。
Q5:私有化方案和SaaS方案哪个更适合电商行业?
鳯羽:这个其实跟行业没有强关联,主要取决于客户企业的内部情况。比如预算、服务器资源、对数据出口的要求、对系统是否有二次开发的需求等等,我们一般会根据客户的需求以及实际情况去匹配最适合他们的方案。
Q6:随着业务获客成本及黑产成本提高,风控在安全边界的划分上有什么新的思路呢?有更客观的指标衡量风控的价值吗?
鳯羽:在获客成本提高的背景下,我们应该尽量避免相对单一的风控手段,比如仅仅靠手机号黑名单、IP黑名单、设备异常等单一维度去阻断用户操作。我们提倡根据不同业务场景去匹配不同权重的策略,比如在注册场景发现疑似异常,可以先打个标签,然后在领券、下单、支付等重点场景,结合多维度策略来加权判断是否有风险。
最后再给大家简单介绍下顶象业务安全大讲堂。
顶象业务安全大讲堂汇集了业内大咖,分享万亿级业务安全攻防经验,打造时下最专业的业务安全直播课,通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT等各类业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻防实战,助您打造零风险的数字业务。
下期将由顶象资深策略专家安心为大家带来主题为《电商场景风控策略应用实战》的直播分享,敬请期待!