微信小程序誕生3年多以來,不斷創(chuàng)造價(jià)值,成為零售商家發(fā)展在線業(yè)務(wù)的重點(diǎn),同時(shí)也成為網(wǎng)絡(luò)黑灰產(chǎn)業(yè)瞄準(zhǔn)的對(duì)象。
3月10日,騰訊智慧零售戰(zhàn)略合作部高級(jí)產(chǎn)品經(jīng)理彭志、高級(jí)架構(gòu)師陳柏文線上論劍“守護(hù)品牌私域流量”,剖析小程序業(yè)務(wù)安全態(tài)勢(shì),分享提高小程序風(fēng)險(xiǎn)防控免疫力的最新安全解決方案與一線實(shí)戰(zhàn)經(jīng)驗(yàn),并探討如何快速選擇適合零售品牌的基礎(chǔ)云服務(wù),為零售企業(yè)支招。
黑灰產(chǎn)業(yè)鏈威脅小程序安全
線上交易蓬勃發(fā)展的同時(shí),安全隱患也如影隨形。
彭志分享到,今年春節(jié)期間,某商超企業(yè)在微信小程序與APP做促銷回饋活動(dòng),原本計(jì)劃回饋忠實(shí)顧客的1499元平價(jià)飛天茅臺(tái),大部分被黃牛黨收入囊中,轉(zhuǎn)手牟取暴利。此外,知名品牌小程序無法登陸、不法分子竊取消費(fèi)者信息實(shí)施詐騙等新聞屢上熱搜。
事實(shí)上,微信小程序自身的安全性和穩(wěn)定性都非常高,但商家小程序與微信交互中API使用不恰當(dāng)、第三方服務(wù)器存在數(shù)據(jù)泄漏、數(shù)據(jù)校驗(yàn)不嚴(yán)謹(jǐn)?shù)仍颍伎赡軒戆踩L(fēng)險(xiǎn)。此外,許多商家在快速迭代小程序的同時(shí)疏于檢測(cè),也會(huì)造成隱患潛伏。
數(shù)據(jù)表明,80%的線上業(yè)務(wù)曾經(jīng)遇到過安全攻擊,30%存在重大bug,40%不具備防護(hù)能力。
當(dāng)前網(wǎng)絡(luò)黑灰產(chǎn)業(yè)有規(guī)模化、產(chǎn)業(yè)化的趨勢(shì)。以“黃牛黨”為例,不法分子并非單兵作戰(zhàn),而是形成了從軟件開發(fā)、養(yǎng)號(hào)與賬號(hào)分銷,再到變現(xiàn)套利的產(chǎn)業(yè)鏈。各環(huán)節(jié)分工協(xié)作,倒賣商品,并在網(wǎng)上共享情報(bào)資源與安全漏洞信息。
受“黃牛黨”“羊毛黨”禍害最深的重災(zāi)區(qū)有優(yōu)惠卡券、特價(jià)商品、新品發(fā)售、紅包扣抵等,其中又以高檔酒、名牌鞋服限量款等高價(jià)商品的搶購(gòu)活動(dòng)首當(dāng)其沖。
騰訊公司級(jí)防護(hù)能力,
守護(hù)零售在線業(yè)務(wù)安全
為應(yīng)對(duì)黑產(chǎn)的龐大體系與專業(yè)化操作,騰訊智慧零售基于騰訊在網(wǎng)絡(luò)安全的長(zhǎng)期實(shí)踐,與零售商密切合作,運(yùn)用大數(shù)據(jù)、AI技術(shù)手段開展安全攻防戰(zhàn),沉淀了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。總結(jié)起來,可以從空間與時(shí)間兩個(gè)維度守護(hù)小程序業(yè)務(wù)安全。
空間維度是指針對(duì)不同類型攻擊和威脅,構(gòu)建起覆蓋邊界防護(hù)、業(yè)務(wù)防護(hù)、數(shù)據(jù)防護(hù)的縱深防御體系。
彭志介紹了騰訊智慧零售小程序安全解決方案,如何從時(shí)間維度助力零售商家部署覆蓋“事前、事中、事后”全生命周期的安全服務(wù)體系,并重點(diǎn)分享了“天御”營(yíng)銷風(fēng)控能力。
事前感知
WeTest質(zhì)量安全服務(wù)解決方案通過“性能測(cè)試、安全滲透、兼容性測(cè)試”等方面切入,把小程序安全風(fēng)險(xiǎn)最大限度地扼殺在搖籃之中。
性能測(cè)試:
對(duì)秒殺、閃購(gòu)、下單、注冊(cè)等典型業(yè)務(wù)場(chǎng)景,測(cè)試預(yù)期客流量、瓶頸節(jié)點(diǎn),提供優(yōu)化建議;
安全滲透:
在大規(guī)模促銷前,模擬黑客攻擊,洞察并解決系統(tǒng)層面和業(yè)務(wù)邏輯層面的安全漏洞,防止盜刷、數(shù)據(jù)泄露、業(yè)務(wù)數(shù)據(jù)篡改、木馬植入等;
兼容性測(cè)試:
針對(duì)手機(jī)型號(hào)眾多、操作系統(tǒng)版本各異、微信版本不一的情況,保證所有用戶能正常使用小程序。
最佳實(shí)踐:拉夏貝爾小程序商城安全滲透測(cè)試
智慧零售的客戶阿夏貝爾是服裝行業(yè)頭部企業(yè)。在小程序商城上線之前,騰訊安全專家團(tuán)隊(duì)借助WeTest進(jìn)行賬號(hào)體系和交易體系的性能、兼容性以及安全性整個(gè)維度進(jìn)行全面檢查,探測(cè)系統(tǒng)安全程度和弱點(diǎn),挖掘業(yè)務(wù)系統(tǒng)和Web服務(wù)器存在的安全漏洞和風(fēng)險(xiǎn)隱患,并快速修復(fù)漏洞,確保小程序運(yùn)行的安全。并以此為契機(jī),幫助其構(gòu)建整個(gè)安全和質(zhì)量體系。
事中防御
騰訊云網(wǎng)站管家、WAF(web應(yīng)用防火墻)、智能CC防護(hù)等工具形成強(qiáng)大的Web業(yè)務(wù)安全防護(hù)能力,在容易引發(fā)卡頓的高并發(fā)搶購(gòu)和營(yíng)銷活動(dòng)中,可以啟動(dòng)漏洞應(yīng)急管理,過濾惡意流量和黑產(chǎn)賬戶,保障小程序頁面正常訪問、優(yōu)惠福利正常發(fā)放。
其中,騰訊云網(wǎng)站管家可甄別Bot流量(即機(jī)器人流量),區(qū)分假人假機(jī)、假人真機(jī)、真人真機(jī)等不同類別并予以有針對(duì)性的管理,過濾爬蟲和垃圾訪問。WAF的AI引擎使用多種深度學(xué)習(xí)模型和算法策略,可有效進(jìn)行異常檢測(cè)和威脅識(shí)別,結(jié)合IP威脅情報(bào)數(shù)據(jù),最終攔截Web攻擊行為。
最佳實(shí)踐:家樂福電商平臺(tái)保衛(wèi)戰(zhàn)
家樂福線上商城在2019年曾深受黑產(chǎn)攻擊之害,累計(jì)遭受攻擊次數(shù)超過1億次,峰值瞬間流量達(dá)1萬兆,直接導(dǎo)致系統(tǒng)接口崩潰。
618活動(dòng)期間,家樂福主要面臨如下安全挑戰(zhàn):短信接口被黑客濫用,費(fèi)用劇增;持續(xù)性的CC攻擊,導(dǎo)致平臺(tái)訪問緩慢;活動(dòng)新上券被羊毛黨瞬間薅走。
騰訊安全專家利用WAF等方案為其構(gòu)建三層防御體系,清除惡意流量,精準(zhǔn)定位優(yōu)質(zhì)客戶,最終為家樂福節(jié)省短信成本費(fèi)用數(shù)百萬元,平臺(tái)無訪問異常,保障營(yíng)銷資金正常合理使用。
天御營(yíng)銷風(fēng)控
騰訊云“天御”是應(yīng)對(duì)“羊毛黨”與網(wǎng)絡(luò)欺詐的利器,在和各大電商平臺(tái)的聯(lián)合防護(hù)中,使“羊毛黨”的成功幾率大幅下降。
騰訊安全團(tuán)隊(duì)發(fā)現(xiàn),“羊毛黨”更多地使用“真人真機(jī)”故意刷量搶奪營(yíng)銷資源,單純從行為判斷,無法把這種行為與正常訪問相區(qū)別。“天御”可以通過時(shí)間、賬號(hào)、IP三個(gè)維度判斷行為者何時(shí)、何人、何處發(fā)起請(qǐng)求,在200毫秒內(nèi)給出實(shí)時(shí)精準(zhǔn)判斷。
騰訊具有國(guó)內(nèi)最強(qiáng)大的黑產(chǎn)大數(shù)據(jù),以及微信生態(tài)維護(hù)的主場(chǎng)優(yōu)勢(shì)。“天御”對(duì)黑產(chǎn)的精準(zhǔn)打擊,很大程度上歸功于騰訊多年積累的黑產(chǎn)ID行為數(shù)據(jù)庫(kù),通過它掌握著黑產(chǎn)不法行為的“黑歷史”“黑檔案”,對(duì)相關(guān)ID的行為進(jìn)行精準(zhǔn)判斷。
最佳實(shí)踐:沃爾瑪?shù)郊倚〕绦蚨喾轿话踩U?/P>
2019年,沃爾瑪小程序使用“天御”構(gòu)建風(fēng)控體系。針對(duì)優(yōu)惠卡券和特價(jià)商品兩類使用場(chǎng)景,在領(lǐng)券和成交鏈路進(jìn)行風(fēng)險(xiǎn)控制。
“天御”能根據(jù)訪問請(qǐng)求行為,對(duì)賬號(hào)進(jìn)行區(qū)分,有針對(duì)性地設(shè)置優(yōu)惠卡券的領(lǐng)取門檻:對(duì)無風(fēng)險(xiǎn)賬號(hào)不作限制;對(duì)可疑賬號(hào)調(diào)低購(gòu)買與獎(jiǎng)勵(lì)額度,或要求實(shí)名驗(yàn)證;對(duì)高風(fēng)險(xiǎn)賬號(hào)拒絕發(fā)放獎(jiǎng)勵(lì)。
截止目前,“天御”為沃爾瑪小程序篩掉100多萬“羊毛黨”,節(jié)約營(yíng)銷資金近千萬元。
選擇適合零售的基礎(chǔ)云服務(wù),
實(shí)現(xiàn)降本增效
陳柏文在交流中分析了零售商選擇適合自身發(fā)展的基礎(chǔ)云服務(wù)的重要性,詳細(xì)解讀了騰訊云全矩陣基礎(chǔ)云服務(wù)產(chǎn)品,并為自動(dòng)應(yīng)對(duì)業(yè)務(wù)突發(fā)問題提出建議。
相較于傳統(tǒng)IDC,使用云服務(wù)能化解商家規(guī)劃網(wǎng)絡(luò)資源時(shí)節(jié)省成本與保障業(yè)務(wù)峰值的矛盾。云服務(wù)提供類似租用酒店的服務(wù),商家只需按常量來規(guī)劃網(wǎng)絡(luò)資源,當(dāng)業(yè)務(wù)訪問超出常量時(shí),按業(yè)務(wù)量付費(fèi)即可。
數(shù)據(jù)中心分布廣,網(wǎng)絡(luò)服務(wù)覆蓋強(qiáng),是選擇云服務(wù)時(shí)必須重視的基本標(biāo)準(zhǔn),也是考量云服務(wù)商實(shí)力的硬核指標(biāo):
騰訊云在全球開放25個(gè)地理區(qū)域,運(yùn)營(yíng)53個(gè)可用區(qū),其中中國(guó)有34個(gè)可用區(qū),分布于10個(gè)地理區(qū)域,廣泛的覆蓋保證了客戶的更多選擇,以便將業(yè)務(wù)部署到離顧客更近的地方,實(shí)現(xiàn)快速連接與響應(yīng)。
在國(guó)內(nèi)網(wǎng)絡(luò)覆蓋方面,騰訊云擁有35線BGP覆蓋主流運(yùn)營(yíng)商,外網(wǎng)出口總帶寬超7T,CDN覆蓋總帶寬100T以上;全球網(wǎng)絡(luò)覆蓋,國(guó)際主流運(yùn)營(yíng)商出口帶寬1.9T,CDN節(jié)點(diǎn)覆蓋50+個(gè)國(guó)家地區(qū)。強(qiáng)大的網(wǎng)絡(luò)覆蓋能力,能夠確保不同區(qū)域的用戶都有良好的訪問體驗(yàn)。
騰訊基礎(chǔ)云服務(wù)有著強(qiáng)大的陣容,能夠全方位滿足零售企業(yè)的需求:
私有網(wǎng)絡(luò)VPC:提供全方位網(wǎng)絡(luò)解決方案,助力穩(wěn)定、靈活、安全地構(gòu)建云上私有網(wǎng)絡(luò)空間;
云聯(lián)網(wǎng) CCN:打通多個(gè)VPC,輕松實(shí)現(xiàn)云上云下多點(diǎn)互通,具有全網(wǎng)互聯(lián)、智能調(diào)度、路由學(xué)習(xí)、穩(wěn)定可靠的優(yōu)點(diǎn);
多種云主機(jī):包括云服務(wù)器CVM、專用宿主機(jī)CDH、黑石物理服務(wù)器2.0等,滿足多樣性業(yè)務(wù)需求;
VPN 連接:基于Internet的隧道加密傳輸服務(wù),輕松建立騰訊云與企業(yè)數(shù)據(jù)中心安全通道;
NAT 網(wǎng)關(guān):提供高性能的公網(wǎng)流量出入口,滿足海量的公網(wǎng)訪問需求;
負(fù)載均衡 CLB:實(shí)現(xiàn)安全、穩(wěn)定、可彈性擴(kuò)展的流量分發(fā),通過消除單點(diǎn)故障提高系統(tǒng)可用性;
云數(shù)據(jù)庫(kù)TencentDB:可提供高性能、高可靠、可靈活伸縮的數(shù)據(jù)庫(kù)托管服務(wù),配合數(shù)據(jù)庫(kù)智能管家DBbrain,可實(shí)時(shí)支持云上云下數(shù)據(jù)庫(kù)診斷優(yōu)化服務(wù),實(shí)現(xiàn)高效運(yùn)維;
對(duì)象存儲(chǔ) COS:提供安全穩(wěn)定、海量、便捷、低延遲、低成本的云端存儲(chǔ)服務(wù);
全站加速網(wǎng)絡(luò) ECDN:極速、穩(wěn)定的動(dòng)靜態(tài)混合資源加速服務(wù)平臺(tái),一站式全能加速;
安全產(chǎn)品:提供DDoS防護(hù)、Web應(yīng)用防火墻、數(shù)據(jù)安全審計(jì)、主機(jī)安全、堡壘機(jī)在內(nèi)的縱深防護(hù)能力。
自動(dòng)應(yīng)對(duì)業(yè)務(wù)突發(fā)能力對(duì)于零售小程序而言,非常重要,騰訊云提供彈性伸縮AS服務(wù),助力實(shí)現(xiàn)自動(dòng)化、具備計(jì)劃性、高效且高容錯(cuò)性的低成本資源管理。