互联网企业风险处置策略的深度分析【岂安低调分享】

阻断产品

企业在实施风险防控的时候往往需要做几件事情:先把信息采集进来,做为风险分析的基础,常用的数据包含了用户页面访问行为accesslog,业务行为埋点去拿诸如登录、注册、下单等信息,甚至有些还需要拿的UTB日志分析用户在页面上的鼠标键盘操作;有了数据之后就是利用各类分析框架和规则引擎实现风险还原和策略制定。

这一大套下来之后的产出就是风险名单,也就是我们常说的黑名单,通常这个时候就拿着PPT去跟老板汇报了。阻断?基于黑名单来个风险判断接口给业务方去调用嘛,其实这往往是比较容易被忽略的一个大工程。

如何来做好一个阻断产品其实是风险控制非常重要的一点,分析出来不能拦你说个球。

企业端常见的阻断风险方式

  • 防火墙/交换机等网络串行设备阻断IP
  • 业务中间件阻断IP
  • 通用BOTS拦截页面阻断IP
  • 业务处置中心阻断帐号风险
  • 风险判断接口阻断风险业务行为(订单、交易)阻断账户风险
  • 登录态失效或增强验证阻断帐号风险

上述阻断方式只是常见的一些阻断手段,采用的手段并不是越多越好,而是结合自身的企业特征选择,重点在于保证覆盖,这里指的覆盖是指不论何种风险自动分析系统,均可在阻断体系中找到自己的位子,同时在发生风险问题的时候能够通过多种不同的维度在应用架构中找到一层可以去阻拦风险行为的。笔者总结的最佳阻拦机制可见下图所示:

风险拦截链

最外层为访客层

当一个未登录的用户访问网站或应用时,这时只能通过IP来去识别用户(设备指纹或clientID等技术不在此处讨论),所以在访客层主要拦截维度是IP,拦截的方式也多种多样,有返回异常状态页面的,有的返回验证码拦截页,亦或干脆返回服务器无响应,这一层的拦截往往比较简单粗暴,因为面对的往往是一些比较粗暴的爬虫或者是CC攻击。

在访客登录某个帐号后进入账号层

进入帐号层的主要入口包含常见的登录和注册,另外在线找回密码也属于一个帐号层入口,在这一层主要有两种类型的阻断手段:

第一类是在入口处进行风险被动验证,比如视风险判断接口在登录时判断是否要给当前登录用户弹出验证码或者提示更高级别的手机验证或直接禁止用户登录;

另一类是主动风险阻断,这一类是在帐号登录后通过用户登录后行为持续分析是否存在风险的,如果用户的某些特定行为触发了风险规则,而用户又已经登入了帐号,这个时候可以选择将用户登录态置为失效,风险用户就会在下一步操作时发现需要重新登录了,而在再次登录的时候可以通过增强验证或帐号锁定的方式阻断风险。

进行主动阻断的原因在于进入帐号之后的风险点往往比较多,不可能逐一的去接入风险判断接口,那么剔除登录态可以完全覆盖帐号登录后的所有场景,在发现某个帐号在登录后任意场景下出现风险时,都可以利用这个大杀器全部覆盖,当然被拦截的用户可能会觉得莫名其妙,这时可以通过话术进行说明,友好性在这里就不过多的讨论了。

帐号层内层是账户层

这一层在许多企业中区分的可能不是非常明显,但当我们使用支付密码去使用账户资金下单的时候,往往使用的是与登录密码不同的支付密码或支付验证手机,那么这就意味着已经进入了最重要的资金层,在这一层对风险的阻断手法也以保护资金不被盗用为主,包含冻结资金、锁定支付账户或是拦截支付请求异或订单。

需要注意的是每一层的风险都可被上一层的阻断机制覆盖,但考虑到越向内层的行为越产生业务价值,所以在封禁手段上会更加细致,否则为了拦截订单而去拦截一个IP可能会产生误封的风险。

岂安业务风险监控系统WARDEN

对此,岂安科技的业务风险分析平台 WARDEN 提出了一系列解决方案,主要的目的在于以最少的业务侵入覆盖全场景的风险阻拦,往往做为处置中心的一个覆盖手段,当风险所在的场景没有阻拦机制时,先有一个可以挡一挡的手段解决现有的问题,随后再接入风险判断接口以提升拦截的质量。

【作者简介】

刘明,岂安科技CPO,联合创始人,浸淫互联网安全多年,对互联网业务风险控制理解深刻。