微信小程序誕生3年多以來���,不斷創造價值�����,成為零售商家發展在線業務的重點,同時也成為網絡黑灰產業瞄準的對象�。
3月10日�,騰訊智慧零售戰略合作部高級產品經理彭志���、高級架構師陳柏文線上論劍“守護品牌私域流量”�,剖析小程序業務安全態勢,分享提高小程序風險防控免疫力的最新安全解決方案與一線實戰經驗���,并探討如何快速選擇適合零售品牌的基礎云服務,為零售企業支招�。
黑灰產業鏈威脅小程序安全
線上交易蓬勃發展的同時�����,安全隱患也如影隨形。
彭志分享到�,今年春節期間���,某商超企業在微信小程序與APP做促銷回饋活動�����,原本計劃回饋忠實顧客的1499元平價飛天茅臺���,大部分被黃牛黨收入囊中�����,轉手牟取暴利�����。此外�,知名品牌小程序無法登陸�、不法分子竊取消費者信息實施詐騙等新聞屢上熱搜。
事實上�,微信小程序自身的安全性和穩定性都非常高�,但商家小程序與微信交互中API使用不恰當�、第三方服務器存在數據泄漏、數據校驗不嚴謹等原因�����,都可能帶來安全風險���。此外�����,許多商家在快速迭代小程序的同時疏于檢測���,也會造成隱患潛伏�。
數據表明�����,80%的線上業務曾經遇到過安全攻擊,30%存在重大bug,40%不具備防護能力�����。
當前網絡黑灰產業有規���;���、產業化的趨勢�。以“黃牛黨”為例,不法分子并非單兵作戰,而是形成了從軟件開發、養號與賬號分銷�,再到變現套利的產業鏈�。各環節分工協作���,倒賣商品���,并在網上共享情報資源與安全漏洞信息���。
受“黃牛黨”“羊毛黨”禍害最深的重災區有優惠卡券�����、特價商品���、新品發售�、紅包扣抵等�,其中又以高檔酒、名牌鞋服限量款等高價商品的搶購活動首當其沖。
騰訊公司級防護能力�����,
守護零售在線業務安全
為應對黑產的龐大體系與專業化操作���,騰訊智慧零售基于騰訊在網絡安全的長期實踐�����,與零售商密切合作,運用大數據���、AI技術手段開展安全攻防戰,沉淀了豐富的實戰經驗������?偨Y起來�����,可以從空間與時間兩個維度守護小程序業務安全。
空間維度是指針對不同類型攻擊和威脅���,構建起覆蓋邊界防護、業務防護���、數據防護的縱深防御體系。
彭志介紹了騰訊智慧零售小程序安全解決方案,如何從時間維度助力零售商家部署覆蓋“事前�����、事中���、事后”全生命周期的安全服務體系���,并重點分享了“天御”營銷風控能力�。
事前感知
WeTest質量安全服務解決方案通過“性能測試�、安全滲透、兼容性測試”等方面切入���,把小程序安全風險最大限度地扼殺在搖籃之中。
性能測試:
對秒殺���、閃購、下單�����、注冊等典型業務場景�����,測試預期客流量���、瓶頸節點�����,提供優化建議;
安全滲透:
在大規模促銷前�����,模擬黑客攻擊�,洞察并解決系統層面和業務邏輯層面的安全漏洞,防止盜刷�、數據泄露���、業務數據篡改、木馬植入等;
兼容性測試:
針對手機型號眾多、操作系統版本各異���、微信版本不一的情況,保證所有用戶能正常使用小程序。
最佳實踐:拉夏貝爾小程序商城安全滲透測試
智慧零售的客戶阿夏貝爾是服裝行業頭部企業���。在小程序商城上線之前,騰訊安全專家團隊借助WeTest進行賬號體系和交易體系的性能、兼容性以及安全性整個維度進行全面檢查,探測系統安全程度和弱點�����,挖掘業務系統和Web服務器存在的安全漏洞和風險隱患�����,并快速修復漏洞���,確保小程序運行的安全���。并以此為契機�����,幫助其構建整個安全和質量體系�����。
事中防御
騰訊云網站管家、WAF(web應用防火墻)�����、智能CC防護等工具形成強大的Web業務安全防護能力�,在容易引發卡頓的高并發搶購和營銷活動中,可以啟動漏洞應急管理�,過濾惡意流量和黑產賬戶,保障小程序頁面正常訪問、優惠福利正常發放�����。
其中���,騰訊云網站管家可甄別Bot流量(即機器人流量)�,區分假人假機、假人真機���、真人真機等不同類別并予以有針對性的管理,過濾爬蟲和垃圾訪問�。WAF的AI引擎使用多種深度學習模型和算法策略�����,可有效進行異常檢測和威脅識別,結合IP威脅情報數據�����,最終攔截Web攻擊行為�����。
最佳實踐:家樂福電商平臺保衛戰
家樂福線上商城在2019年曾深受黑產攻擊之害�����,累計遭受攻擊次數超過1億次,峰值瞬間流量達1萬兆,直接導致系統接口崩潰。
618活動期間�����,家樂福主要面臨如下安全挑戰:短信接口被黑客濫用�,費用劇增�����;持續性的CC攻擊�,導致平臺訪問緩慢�;活動新上券被羊毛黨瞬間薅走。
騰訊安全專家利用WAF等方案為其構建三層防御體系���,清除惡意流量,精準定位優質客戶�,最終為家樂福節省短信成本費用數百萬元�,平臺無訪問異常�,保障營銷資金正常合理使用。
天御營銷風控
騰訊云“天御”是應對“羊毛黨”與網絡欺詐的利器�,在和各大電商平臺的聯合防護中���,使“羊毛黨”的成功幾率大幅下降�。
騰訊安全團隊發現�����,“羊毛黨”更多地使用“真人真機”故意刷量搶奪營銷資源�,單純從行為判斷�,無法把這種行為與正常訪問相區別�����!疤煊笨梢酝ㄟ^時間、賬號���、IP三個維度判斷行為者何時、何人���、何處發起請求,在200毫秒內給出實時精準判斷�����。
騰訊具有國內最強大的黑產大數據���,以及微信生態維護的主場優勢�����。“天御”對黑產的精準打擊�����,很大程度上歸功于騰訊多年積累的黑產ID行為數據庫���,通過它掌握著黑產不法行為的“黑歷史”“黑檔案”���,對相關ID的行為進行精準判斷�����。
最佳實踐:沃爾瑪到家小程序多方位安全保障
2019年�,沃爾瑪小程序使用“天御”構建風控體系�。針對優惠卡券和特價商品兩類使用場景,在領券和成交鏈路進行風險控制���。
“天御”能根據訪問請求行為,對賬號進行區分���,有針對性地設置優惠卡券的領取門檻:對無風險賬號不作限制;對可疑賬號調低購買與獎勵額度�,或要求實名驗證�����;對高風險賬號拒絕發放獎勵�����。
截止目前�,“天御”為沃爾瑪小程序篩掉100多萬“羊毛黨”�,節約營銷資金近千萬元。
選擇適合零售的基礎云服務���,
實現降本增效
陳柏文在交流中分析了零售商選擇適合自身發展的基礎云服務的重要性,詳細解讀了騰訊云全矩陣基礎云服務產品,并為自動應對業務突發問題提出建議。
相較于傳統IDC�����,使用云服務能化解商家規劃網絡資源時節省成本與保障業務峰值的矛盾���。云服務提供類似租用酒店的服務���,商家只需按常量來規劃網絡資源�����,當業務訪問超出常量時���,按業務量付費即可�����。
數據中心分布廣,網絡服務覆蓋強�,是選擇云服務時必須重視的基本標準�����,也是考量云服務商實力的硬核指標:
騰訊云在全球開放25個地理區域,運營53個可用區���,其中中國有34個可用區,分布于10個地理區域�����,廣泛的覆蓋保證了客戶的更多選擇�����,以便將業務部署到離顧客更近的地方���,實現快速連接與響應�����。
在國內網絡覆蓋方面,騰訊云擁有35線BGP覆蓋主流運營商,外網出口總帶寬超7T���,CDN覆蓋總帶寬100T以上;全球網絡覆蓋�,國際主流運營商出口帶寬1.9T�����,CDN節點覆蓋50+個國家地區。強大的網絡覆蓋能力�,能夠確保不同區域的用戶都有良好的訪問體驗�����。
騰訊基礎云服務有著強大的陣容,能夠全方位滿足零售企業的需求:
私有網絡VPC:提供全方位網絡解決方案���,助力穩定���、靈活�、安全地構建云上私有網絡空間;
云聯網 CCN:打通多個VPC�,輕松實現云上云下多點互通�,具有全網互聯�����、智能調度�����、路由學習、穩定可靠的優點���;
多種云主機:包括云服務器CVM、專用宿主機CDH�����、黑石物理服務器2.0等�,滿足多樣性業務需求;
VPN 連接:基于Internet的隧道加密傳輸服務�����,輕松建立騰訊云與企業數據中心安全通道�����;
NAT 網關:提供高性能的公網流量出入口���,滿足海量的公網訪問需求;
負載均衡 CLB:實現安全���、穩定、可彈性擴展的流量分發,通過消除單點故障提高系統可用性;
云數據庫TencentDB:可提供高性能、高可靠�����、可靈活伸縮的數據庫托管服務,配合數據庫智能管家DBbrain���,可實時支持云上云下數據庫診斷優化服務,實現高效運維�;
對象存儲 COS:提供安全穩定�����、海量、便捷���、低延遲、低成本的云端存儲服務�����;
全站加速網絡 ECDN:極速���、穩定的動靜態混合資源加速服務平臺�����,一站式全能加速�����;
安全產品:提供DDoS防護、Web應用防火墻���、數據安全審計�����、主機安全�、堡壘機在內的縱深防護能力�����。
自動應對業務突發能力對于零售小程序而言���,非常重要�����,騰訊云提供彈性伸縮AS服務,助力實現自動化���、具備計劃性、高效且高容錯性的低成本資源管理���。
