中文站

网易易盾首席产品风控官imlolo分享对社交业务安全风控的认知和思考

2020年3月28日晚,安在新媒体携手网易共同举办了安在讲堂网络安全公益讲座第一季特别专场,以“泛社交业务安全风控”为主题,进行了深入的探讨和分享。网易易盾首席产品风控官imlolo、恺英网络信息安全总监杨晓东、VIPKID业务安全专家冯博围绕着活动主题发表各自的见解和看法。

本文记录了网易易盾首席产品风控官imlolo在公益讲座时所做的分享,具体请见如下:

话题一:我们常说业务安全很重要,但到底怎么理解业务安全,有无确切定义?或者谁来定义?业务部门还是安全部门?

imlolo:我认为业务安全其实是没有确切定义的,往大了说,业务在运营过程中涉及的所有安全问题都统称为业务安全。这与安全部门控制风险,治理问题,保障业务安全运营的职能有很大关系。

安全部门需要从落实政策角度出发,而站在业务的角度,需要考虑的是用户体验,运营平衡,考虑业务发展,比如是否存在薅羊毛的行为,对平台产生资损,是否存在虚假注册,拉低平台的用户质量等。所以为了解决不同的问题,我们逐步剥离出内容安全、网络安全、移动安全,由专业的人负责更垂直的事情,而其他围绕业务产生的新安全问题统称为业务安全,也叫业务风控。当然,从治理的角度,解决方法可以是交叉、串行的,比如业务风控部门也有可能解决内容安全的问题,具体就看各个公司的业务情况及内部分工了。

所以总的来说,业务安全是没有明确定义的,但是它紧贴业务,根据新风险不断加强治理能力是一定的。未来,业务安全能解决的问题也将越来越具体,越来越场景化。

话题二:疫情当下,这样的黑天鹅,对互联网业务为主的企业有怎样的影响?

imlolo:对于我们所服务的厂商多是文娱社交产品来说,业务影响并不是很大,因为用户线上时间变多,访问量活跃度都有大幅提升。但是对我们业务风控部门来说,支持业务的压力变大了。

这次疫情对我的最大的启发就是,各个企业中的风控部门平时就需要对紧急情况进行准备,尤其是积累建设业务风控能力非常重要,主要分为以下几个方面:

第一个是治理经验,体现在配合各类业务营销活动的经验沉淀。在面对突发情况,我们需要快速配合业务部门上线风控策略,这里面涉及到对活动规则的安全审计,对活动玩法的风险评控,以及制定的风控策略对用户体验的平衡。如果我们已经具备积累多场景多玩法的活动风控案例,那在这个环节上就可以事半功倍。

其次是平台能力,各类营销活动同时接入,我们的业务安全人员只需简单的交互操作,就能完成对应活动玩法的风控模型配置,解放业务安全人员机械式的对接活动的工作;

最后是系统的冗余处理能力,面对DAU的疯狂上涨,风控系统需要具备动态扩容的能力,来轻松应对高并发流量。所以这场疫情,对业务风控部门是一个不小的挑战。所幸,易盾依靠平时的积累,关键时刻,这块做的还是挺不错的。

话题三:请各位嘉宾分享一下,在各自熟悉的领域,业务安全问题有哪些典型场景和案例(对网易这样成熟的互联网企业来讲,业务安全风控经验?)?

imlolo:回答这个问题必须要先谈风险的源头——黑色产业链,黑产现在已经是一个完整的产业链了,17年的时候已经达到150万人。为了获取更多的利益,黑产也在不断的优化他们的攻击模式和团队分工。根据网易易盾灰黑产研究,黑产根据供求关系,分为上下游,上游主要负责生产和提供各类黑产资源。相关角色包括:卡商(号商)、黑产工具开发者;下游包括接码平台、账号代售平台、刷量工作室、刷手等。

根据不同的作弊方式,利益越高,风险越大。从危害角度,一般主要分为资金风险和影响运营平衡。资金风险主要是以薅羊毛和欺诈为主;薅羊毛是指利用平台规则漏洞,用非法手段获取平台利益,灰黑产会通过大量抢占平台资源,倒卖低价商品赚取差价获利;欺诈主要是诱骗行为居多。

而下面这些主要是破坏社区氛围,严重影响用户体验的:

► 刷量:通过机器手段,人为干涉热度,比如高阅读量、高访问量、高关注量、高点赞量、高投票量等,来营造“热门“、”优质“的假象;

► 引流:在UGC场景下比较多,目的通过批量刷屏来增加曝光概率,恶意抢占热门资源的行为。

接下来给大家分享几个遇到过的案例: 

案例一:拉新活动引入传销玩法平台损失严重:客户找到我们时,有如下问题——一个是注册拉新被薅羊毛,另外个则是平台内容安全治理能力有限。我们分析了之后发现:活动的玩法很诱人,他们引入了传销玩法(A 邀请 B,B 的消费 A 可以提成),平台资损将更大。黑产的攻击手段:是通过手机黑卡,利用批量注册手段(改机软件+自动化工具),在平台批量注册新号,来谋取不当奖励。

案例二:因为用户关注问题导致新功能流产:非社交的产品为了增加用户粘性,引入了交友功能,第一期上线关注功能。上线不到一周,运营收到用户投诉,主要是用户一打开App,私信列表中一堆关注者打招呼,而用户并没有做任何曝光的行为。用户被骚扰严重,甚至怀疑是平台的“运营手段”。用户反馈直斥:平台用力过猛。

上面介绍的几个案例,最终的影响是平台大量用户流失,在风控体系没有建立的情况下,业务为了增长设计的新活动、新玩法都留不住用户。

那么,怎么解决这些问题呢?加强风控能力建设,完善风控体系。结合网易易盾的实践经验,这里给大家介绍方法:贴合业务流程的全链路风控。大家看下业务流程图:


设计思路:遵循用户行为路径,在各个业务节点进行防控,这样的好处是可以定位每一个可能产生异常行为的业务节点,并且针对每个节点的风险去治理,最终实现风控治理的效果。比如:加好友环节,用户行为路径是:注册→登录→发私信,那么遵循用户的行为路径在各个业务节点进行埋点、风控检测。

其中,风险检测包括:

1.当用户注册时,分析这次注册是否为正常注册,如果产生机器注册、批量注册、小号注册等异常行为,需要针对账户或相关资源进行高危标记。如果判断不了,数据留存转入登录环节进行判断;

2.当用户登录时,分析登录行为是否异常,是否是批量登录、撞库攻击、暴力破解、养号登录等。如果是,增加二次校验,或者做出标记流转至发布环节进行判断;

3.当用户发私信时,判断内容和用户的发布行为是否异常。如果异常则阻止发布或者进行二次验证,并且将数据同步至全部节点作为特征辅助。

可以看到,我们没有在一个业务节点中去解决所有的安全问题,而是从整个业务流程出发,将用户的行为按照业务节点进行拆分,在每一个业务节点都针对性的布控,从面到点,再从点到面,这样就达到了各个击破的效果。这种方法在黑产每一个动作上都产生了影响,因为黑产追求高效,在业务流程上的行为上是分散的,这与他们的团队分工有关。因此,对黑产而言,在每一个节点上的流转都是向利益转化更近一步,业务流程越靠后,黑产特征就会越来越明显,危害也越大。所以黑产想完全破解这样的风控策略成本会变得非常高,这也是为什么全链路风控会起到比较好的风控效果的主要原因。

总结一下:

1.业务风控是一场持久战,只有当黑产的投入成本高于收益时,对抗才会逐渐减少。这个时候黑产会向另外的高流量产品进行转移,如此循环……所以业务风控切入点是提升黑产成本;

2.根据黑产画像,黑灰产成本由人和资源组成。黑产资源主要由工具、具有唯一性的设备、账号、身份信息等组成,从可控性来讲,打击黑产资源更可控。即提升黑产的攻击成本,对具有唯一性的设备、账号、身份信息进行打击,使它不会为黑产带来利益,所以风控的治理核心打击黑产资源;

3.处罚思路上:轻管控、重检测、快迭代。在注册、登录等环节对异常账号进行标记,但不处罚,在每一个业务节点将上一环节的检测结果向下输送,直至在末端场景中或UGC场景中阻断风险行为:

4.全链路风控的好处:保护用户体验;提高黑产试错成本,提升风控效果。

话题四:业务安全未来有没有新思路、新方法、新技术?

imlolo:首先是统一的安全架构。随着企业不断推进信息化,业务和数据逐步中台化,业务安全将变得越来越重要,面对的挑战也来越复杂,业务风控中台积极整合内外资源是未来趋势。

其次是业务安全上的投入将会越来越多。业务安全的重要性体现在体系化的建设,它的核心是业务驱动,贴合业务输出的风险场景,并针对这些风险场景建设风控体系,可以说是千人千面的。因此,业务风控团队需要有足够多的经验,解决的问题足够多,无论是风险预判能力,对业务流程的风控治理能力,还是风控技术的创新能力等,可以预见到业务安全的投入将会越来越多。

在未来,风控也将会跟随政策、跟随业务越来越精细化,业务风控部门任重而道远。除了持续加强自身建设外,选择一个乃多个外部安全合作伙伴,实现”业务安全经验融合的双保险机制“将会是个选择。网易安全风控的工具也不是全部自建轮子,在反作弊这块我们有比较好的优势,拥有比较丰富的业务风控运营经验,依托运营经验产生的近亿级体量特征库,以及应对风险问题的技术能力。比如全链路分析进行数据图谱关联、专门研究人机差异的生物行为模型、还有适配业务定制需求的规则引擎等技术手段,目前已在上百个应用中得到实践,也欢迎大家采用我们的服务,目前是免费开放的(传送门:网易易盾反作弊服务2020全年免费,限额100家,抓紧抢占!)。 

问答:

问:网易易盾的反作弊和其他同类产品有什么独特优势?

imlolo:主要还是依托于我们服务网易产品时深入业务各个环节所积累的经验;其次依托大厂公司的技术优势、资源优势,在深入解决某些问题的时候会交付更快。当然,我们对每一家安全厂商都是非常尊重的,希望未来也能加强业内交流,共同建设风控能力。

问:嘉宾们的公司是如何评估反作弊工作的价值的?和其他部门协同时有什么经验?

imlolo:我认为反作弊其实是一种检测手段,它更擅长对抗黑灰产工具,识别非法请求。但是我们不可能指望一种检测手段就解决所有问题,所以在全链路的风控方案中,根据各个业务节点所产生的风险,有针对性的选择治理方案是比较合适的做法。而这其中,需要业务部门尽可能的提供业务数据,使得风险特征更加清晰,从而形成比较全面的风控方案。像今天介绍的类似案例,其实还有很多,比如聊天室抢红包、充值风险、直播场景用户侧风险和主播侧风险产生的水军、返点、套现等。总之玩法取决于业务,所以业务数据是必不可少的。

问:我们公司怀疑有羊毛党刷单,但如何精准定位,不误伤正常用户?网易有什么经验吗?

Imlolo:首先我们需要承认的是,风控是帮助业务降低风险,提升安全性,但凡事都有两面性,是没有办法做到100%准确的。但是我们需要理解业务部门的保护用户的心情,常规的做法是增加线上策略查验环节,会在注册、登录、业务场景各个节点进行埋点,上游节点一般对账号进行标记,流入到场景中作为辅助条件判断;其次增加一些二次验证,尤其是对于无法得出准确结论的,例如增加验证码等二次确认方式;第三对于风控部门来说,不断通过上下游数据的交叉验证来迭代策略的准确率是持之以恒的工作。