中文字幕无码av不卡一区,亚洲综合AV永久无码精品一区二区,黑人巨大白妞出浆,黄色高清无码免费看,久久久久免费精品国产,久久无码人妻丰满熟妇区毛片,欧美日韩国产综合草草,久久福利网站,亚洲一区二区三区中文字幕在线,av国内精品久久久久影院

編輯導(dǎo)語(yǔ)：從互聯(lián)網(wǎng)誕生到現(xiàn)在，安全就一直是個(gè)引人矚目的話(huà)題。但目前的現(xiàn)狀是，只有發(fā)生了“真金白銀”的損失，企業(yè)才會(huì)想起事后補(bǔ)救。因此，通過(guò)技術(shù)和數(shù)據(jù)手段，在危機(jī)發(fā)生之前識(shí)別并解決業(yè)務(wù)中的各類(lèi)風(fēng)險(xiǎn)，才是信息安全管理之道，本文作者就對(duì)互聯(lián)網(wǎng)業(yè)務(wù)安全的現(xiàn)狀和發(fā)展進(jìn)行了解析。

一、業(yè)務(wù)安全

業(yè)務(wù)安全這個(gè)概念已經(jīng)存在很多年了，理論上，任何行業(yè)的業(yè)務(wù)中都存在風(fēng)險(xiǎn)點(diǎn)——機(jī)械行業(yè)有操作風(fēng)險(xiǎn)、金融行業(yè)有交易風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)點(diǎn)的存在會(huì)被影響整體的業(yè)務(wù)效果，使得企業(yè)付出不必要的損失。

因此各行各業(yè)開(kāi)始設(shè)立一些保護(hù)安全的人員，法務(wù)里面的風(fēng)控合規(guī)、機(jī)械制造的安全部門(mén)、金融的風(fēng)控部門(mén)。

進(jìn)入信息化時(shí)代以來(lái)，互聯(lián)網(wǎng)行業(yè)的發(fā)展速度遠(yuǎn)比別的行業(yè)來(lái)的快。高速的發(fā)展意味著更低的復(fù)制成本，帶著資本入局的后發(fā)優(yōu)勢(shì)者會(huì)不斷進(jìn)入市場(chǎng)，進(jìn)行快速地復(fù)制迭代，卻可能沒(méi)思考過(guò)業(yè)務(wù)的合理性。

舉個(gè)例子：就像是鋼鐵俠一里面，斯塔克造出MARK 2之后發(fā)現(xiàn)了機(jī)甲高空結(jié)冰的問(wèn)題，“后發(fā)優(yōu)勢(shì)者”鐵霸王仿造了機(jī)甲，卻沒(méi)能考慮到高空結(jié)冰的問(wèn)題。

現(xiàn)實(shí)生活中同樣如此，帶著資本入局的玩家因?yàn)楹箢櫉o(wú)憂(yōu)，會(huì)暫時(shí)性地忽略業(yè)務(wù)上風(fēng)險(xiǎn)點(diǎn)，關(guān)注在“形”、“量”而忽略了“質(zhì)”，從而在整體業(yè)務(wù)推動(dòng)的路上摔個(gè)大跟頭，一如2019年因?yàn)楸晦堆蛎珦p失了千萬(wàn)的拼多多。

正因?yàn)榛ヂ?lián)網(wǎng)在21世紀(jì)的高速發(fā)展，很多公司在進(jìn)入互聯(lián)網(wǎng)行業(yè)最初并沒(méi)有研究透合適的變現(xiàn)途徑。強(qiáng)大如騰訊，在和中國(guó)移動(dòng)合作的“移動(dòng)夢(mèng)網(wǎng)”項(xiàng)目開(kāi)始之前，也只是手握流量卻沒(méi)有合適的變現(xiàn)途徑，只能受制于資方。

這種先入局的模式在2020年依然很熱門(mén)，“小步快跑”的迭代模式實(shí)際上也是互聯(lián)網(wǎng)公司在發(fā)展過(guò)程中需要不斷試錯(cuò)而誕生的產(chǎn)物。

整體業(yè)務(wù)邏輯的不完善導(dǎo)致了很多公司的業(yè)務(wù)設(shè)計(jì)是存在各類(lèi)型的風(fēng)險(xiǎn)點(diǎn)的，而這類(lèi)風(fēng)險(xiǎn)往往隱藏在暗處，難以被察覺(jué)。

互聯(lián)網(wǎng)行業(yè)的玩家在看到企業(yè)的效益不理想的時(shí)候沒(méi)有思考過(guò)風(fēng)險(xiǎn)的存在，常常將視角放在市場(chǎng)端，認(rèn)為前端營(yíng)銷(xiāo)活動(dòng)出現(xiàn)問(wèn)題、市場(chǎng)推廣存在問(wèn)題，卻沒(méi)有在內(nèi)部進(jìn)行自省。

在前端耗費(fèi)大量精力未能達(dá)成效果，玩家們開(kāi)始冷靜下來(lái)反省自身，業(yè)務(wù)安全這個(gè)概念在這時(shí)候進(jìn)入了公司的視角。

二、現(xiàn)階段黑灰產(chǎn)和業(yè)務(wù)安全情況

2000年以來(lái)，互聯(lián)網(wǎng)在老百姓心中的影響力持續(xù)擴(kuò)大，但仍不斷出現(xiàn)賬號(hào)被盜、外掛交易、源碼泄露導(dǎo)致盜版在市面上廣泛傳播。一開(kāi)始百姓將這類(lèi)問(wèn)題簡(jiǎn)單定義為“中毒”，認(rèn)為制造“病毒“的人是高精尖的互聯(lián)網(wǎng)人才，進(jìn)入行業(yè)技術(shù)壁壘較高。

隨著整體互聯(lián)網(wǎng)業(yè)務(wù)模式的發(fā)展，線(xiàn)上公司開(kāi)始大面積向線(xiàn)下市場(chǎng)發(fā)放補(bǔ)貼，搶占線(xiàn)下市場(chǎng)，外賣(mài)、家政、點(diǎn)評(píng)，線(xiàn)上公司在O2O模式下打的不可開(kāi)交。

隨著美團(tuán)從千團(tuán)大戰(zhàn)中脫穎而出，證明了“補(bǔ)貼”模式是非常有效的。 此后，以“補(bǔ)貼”為主的推廣模式成為2017年之后各大互聯(lián)網(wǎng)公司的首選。

在針對(duì)新用戶(hù)和新賬號(hào)的高額補(bǔ)貼和層出不窮的“殺熟”事件，百姓開(kāi)始意識(shí)到賬號(hào)的“價(jià)值“。同樣的，賬號(hào)的高價(jià)值屬性和申請(qǐng)賬號(hào)的廉價(jià)屬性之間存在的巨大利益被群眾所注意到，大量的“羊毛黨”、“黑灰產(chǎn)”開(kāi)始大量滋生。

充足的獲利空間，低齡化、機(jī)械化的操作吸引了大量普通百姓加入“黑灰產(chǎn)”。

據(jù)不完全統(tǒng)計(jì)，“黑灰產(chǎn)”的從業(yè)人員目前目前已經(jīng)達(dá)到千萬(wàn)，分為了上、中、下游，上游的是核心技術(shù)人員，開(kāi)發(fā)專(zhuān)門(mén)的黑灰產(chǎn)軟件并通過(guò)租賃軟件獲利，

中游的組成自己的黑灰產(chǎn)團(tuán)伙，搭建“羊毛項(xiàng)目群“，收集羊毛情報(bào)并向下游售賣(mài)公開(kāi)。

下游則可能是我們身邊的任何一個(gè)人，通過(guò)中游分享的情報(bào)去特定的app獲取利益變現(xiàn)。

相對(duì)于黑灰產(chǎn)的細(xì)致區(qū)分，時(shí)至今日業(yè)務(wù)安全仍然沒(méi)能在互聯(lián)網(wǎng)公司大面積發(fā)展，很多公司在沒(méi)有意識(shí)到業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)之前是不會(huì)設(shè)立單獨(dú)的業(yè)務(wù)安全部門(mén)，甚至在意識(shí)到風(fēng)險(xiǎn)點(diǎn)之后也僅僅只是設(shè)立簡(jiǎn)單的業(yè)務(wù)安全負(fù)責(zé)人，放在運(yùn)維或者開(kāi)發(fā)部門(mén)下面。

一個(gè)獨(dú)角獸企業(yè)中負(fù)責(zé)業(yè)務(wù)安全的寥寥數(shù)人，相比較龐大的、業(yè)務(wù)細(xì)化的用戶(hù)運(yùn)營(yíng)團(tuán)隊(duì)和產(chǎn)品研發(fā)團(tuán)隊(duì)，業(yè)務(wù)安全人員往往需要身兼數(shù)職。

現(xiàn)階段，絕大多數(shù)的業(yè)務(wù)安全從業(yè)者仍在乙方團(tuán)隊(duì)，像業(yè)務(wù)知名的頂象技術(shù)、同盾技術(shù)等。

除此之外，由于行業(yè)特性，互聯(lián)網(wǎng)行業(yè)始終屬于比較激進(jìn)的模式，就算在同一家公司內(nèi)部，業(yè)務(wù)方和安全方也是一直處在相愛(ài)相殺的局面。

業(yè)務(wù)方覺(jué)得安全方保守，阻礙了業(yè)務(wù)的發(fā)展；安全方覺(jué)得業(yè)務(wù)方過(guò)分激進(jìn)，全然不顧公司能否規(guī)避風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)公司內(nèi)部，業(yè)務(wù)方是典型的風(fēng)險(xiǎn)愛(ài)好者，而安全方就是典型的風(fēng)險(xiǎn)厭惡者，兩者的狀態(tài)是敵對(duì)的。

相較于傳統(tǒng)信息安全，“業(yè)務(wù)安全“，業(yè)務(wù)一定是最優(yōu)先的條件，不懂業(yè)務(wù)，何談安全。

舉個(gè)簡(jiǎn)單的例子：完善的業(yè)務(wù)就像是一段高速公路，有起點(diǎn)、有終點(diǎn)；而業(yè)務(wù)安全人員，就是這條高速公路的維修團(tuán)隊(duì)和改良團(tuán)隊(duì)。

只有非常熟悉這條公路，才會(huì)知道公路哪個(gè)階段有坑、哪個(gè)階段特別磨損輪胎、哪個(gè)階段車(chē)道不夠會(huì)引起堵塞、甚至是哪個(gè)時(shí)間點(diǎn)在哪個(gè)位置容易發(fā)生車(chē)禍，只有明確了這些問(wèn)題點(diǎn)才能正確的、高效的解決問(wèn)題。

現(xiàn)階段的互聯(lián)網(wǎng)行業(yè)，主動(dòng)發(fā)展業(yè)務(wù)安全部門(mén)的公司仍在少數(shù)，業(yè)務(wù)安全做的好的公司更是寥寥無(wú)幾，絕大多數(shù)公司仍依靠傳統(tǒng)的安全部門(mén)解決營(yíng)銷(xiāo)活動(dòng)薅羊毛、反欺詐的問(wèn)題，最終通過(guò)基礎(chǔ)安全團(tuán)隊(duì)反饋的處理效果遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到預(yù)期。

黑灰產(chǎn)的大規(guī)模擴(kuò)張和業(yè)務(wù)安全發(fā)展的窘迫，有著鮮明的對(duì)比。不過(guò)，隨著現(xiàn)階段大型互聯(lián)網(wǎng)公司市場(chǎng)擴(kuò)張的逐步穩(wěn)定，怎么“守家“成了現(xiàn)階段的首要任務(wù)，業(yè)務(wù)安全的發(fā)展也會(huì)逐步走上臺(tái)面。

三、業(yè)務(wù)安全切入點(diǎn)

作為一個(gè)業(yè)務(wù)安全的從業(yè)者，業(yè)務(wù)安全的難點(diǎn)不僅僅有技術(shù)或者是機(jī)器學(xué)習(xí)模型的設(shè)定，再?gòu)?qiáng)大的APK加固、再獨(dú)特的設(shè)備指紋、再完整的黑名單，都不是解決業(yè)務(wù)安全難點(diǎn)的關(guān)鍵。

業(yè)務(wù)安全最終服務(wù)于業(yè)務(wù)，而業(yè)務(wù)并不是依靠所謂的黑白一刀切的，曾經(jīng)的好用戶(hù)可能會(huì)轉(zhuǎn)變?yōu)楹诋a(chǎn)，黑產(chǎn)、灰產(chǎn)也同樣能夠轉(zhuǎn)變?yōu)楦邇r(jià)值用戶(hù)。

同樣的，安全也不是一種對(duì)抗，持續(xù)的對(duì)抗只會(huì)衍生不滿(mǎn)。用戶(hù)對(duì)app的不滿(mǎn)，業(yè)務(wù)部門(mén)對(duì)安全部門(mén)的不滿(mǎn)，只要技術(shù)在發(fā)展，這種對(duì)抗就不會(huì)停止。

因此，我認(rèn)為業(yè)務(wù)安全要做到最重要的是進(jìn)行用戶(hù)身份的監(jiān)控，對(duì)待用戶(hù)的分層。

如同建立漏斗一樣，通過(guò)前端的技術(shù)進(jìn)行人機(jī)識(shí)別，標(biāo)識(shí)用戶(hù)的不正常行為。

例如：不正常的使用環(huán)境，ROOT，HOOK，模擬器等等，記錄這些情況，進(jìn)行監(jiān)控，和業(yè)務(wù)方進(jìn)行溝通，明確針對(duì)各類(lèi)用戶(hù)的策略，完善用戶(hù)畫(huà)像和黑灰產(chǎn)畫(huà)像。

如何制定所謂“黑產(chǎn)”、“灰產(chǎn)”、“高價(jià)值用戶(hù)”也不僅僅是依靠數(shù)據(jù)或者調(diào)查得出的簡(jiǎn)單結(jié)論，而是需要根據(jù)不同公司的業(yè)務(wù)特色進(jìn)行區(qū)分，而這也是業(yè)務(wù)邏輯中的核心要點(diǎn)。

也有的人過(guò)分強(qiáng)調(diào)夸大業(yè)務(wù)安全的能力，認(rèn)為業(yè)務(wù)安全能夠一步到位解決問(wèn)題。

從我的角度看，這件事并不是簡(jiǎn)單一次性的和黑灰產(chǎn)的攻防對(duì)抗，黑灰產(chǎn)之所以會(huì)對(duì)企業(yè)進(jìn)行攻擊，很大程度上是因?yàn)樗麄冃枰冻龅墨@利成本低，而獲取的利益高。

作為安全方，這個(gè)對(duì)抗階段其實(shí)就是提高黑灰產(chǎn)攻擊成本的階段，安全沒(méi)辦法一勞永逸，只能循序漸進(jìn)，不斷地增加黑灰產(chǎn)攻擊所付出的成本，使得黑灰產(chǎn)在發(fā)動(dòng)攻擊時(shí)，需要用真實(shí)的設(shè)備和真實(shí)的人在屏幕面前操作。

當(dāng)?shù)竭@個(gè)情況時(shí)，企業(yè)面對(duì)的就是真實(shí)的用戶(hù)而不是機(jī)器腳本了。

整個(gè)業(yè)務(wù)安全體系的建設(shè)也是長(zhǎng)期規(guī)劃的，從最基礎(chǔ)的app加固、鏈路加固，以及黑名單的獲??；到app前端埋點(diǎn)識(shí)別用戶(hù)操作環(huán)境生成設(shè)備指紋；再到后端加入風(fēng)控引擎，在風(fēng)控引擎內(nèi)部配置策略，和機(jī)器學(xué)習(xí)模型配合、查缺補(bǔ)漏，完成整個(gè)業(yè)務(wù)安全風(fēng)控體系的搭建。

四、業(yè)務(wù)安全的發(fā)展

業(yè)務(wù)安全對(duì)一個(gè)企業(yè)而言十分重要，但在發(fā)展業(yè)務(wù)安全的途中同樣會(huì)出現(xiàn)一些難點(diǎn)。

業(yè)務(wù)安全一定會(huì)涉及到風(fēng)控，而風(fēng)控的發(fā)展在中國(guó)又要屬金融業(yè)發(fā)展的最快，金融業(yè)的風(fēng)控設(shè)計(jì)相對(duì)嚴(yán)格，是最典型的一刀切，嚴(yán)格、寧可錯(cuò)殺不放過(guò)的態(tài)度。

加之近年來(lái)信息安全政策的細(xì)化嚴(yán)格程度，導(dǎo)致了前端業(yè)務(wù)人員對(duì)風(fēng)控的印象是不利于業(yè)務(wù)發(fā)展的，這種固有印象限制了雙方的溝通。

互聯(lián)網(wǎng)行業(yè)員工的流動(dòng)性較大，而業(yè)務(wù)安全部門(mén)往往是了解公司核心業(yè)務(wù)規(guī)劃和風(fēng)險(xiǎn)點(diǎn)的部門(mén)，公司的高層領(lǐng)導(dǎo)始終會(huì)對(duì)這塊業(yè)務(wù)進(jìn)行一定的管控，推動(dòng)建立一個(gè)能與之對(duì)抗的前端業(yè)務(wù)部門(mén)。

這樣的設(shè)置，將相輔相成的雙方徹底推向?qū)α⒌膬啥恕?/p>

此外，現(xiàn)階段的互聯(lián)網(wǎng)公司的發(fā)展模式受“千團(tuán)大戰(zhàn)”影響，強(qiáng)調(diào)前端業(yè)務(wù)的推動(dòng)和市場(chǎng)占有率，運(yùn)營(yíng)部門(mén)整體的KPI不是獲客成本的降低，而是無(wú)條件獲客，這種獲客模式在轉(zhuǎn)化上會(huì)形成較高的成本。

當(dāng)運(yùn)營(yíng)部門(mén)需要降低獲客成本時(shí)會(huì)發(fā)現(xiàn)有很大一部分用戶(hù)是所謂的“腳本”、機(jī)器，這種割裂化的運(yùn)營(yíng)模式，雖說(shuō)在一個(gè)階段能夠吸引大量流量注冊(cè)，但在后臺(tái)審核的時(shí)候也給業(yè)務(wù)安全部門(mén)出了個(gè)難題。

業(yè)務(wù)安全在公司內(nèi)部的發(fā)展需要依靠業(yè)務(wù)部門(mén)的推動(dòng)，這就需要業(yè)務(wù)部門(mén)充分意識(shí)到業(yè)務(wù)安全風(fēng)控的重要性。目前各大獨(dú)角獸企業(yè)都存在因?yàn)楹鲆暫诋a(chǎn)導(dǎo)致巨大損失的情況，損失夠大，才能引起足夠的重視。

五、最后

目前整個(gè)業(yè)務(wù)安全行業(yè)水平有了很高的提升，但甲方仍缺乏大量熟悉業(yè)務(wù)安全領(lǐng)域的人，相對(duì)來(lái)說(shuō)乙方業(yè)務(wù)安全團(tuán)隊(duì)的技術(shù)能力和場(chǎng)景熟悉度都要高于甲方，卻會(huì)受制于甲方不明確的需求點(diǎn)。

甲方常常將營(yíng)銷(xiāo)活動(dòng)的轉(zhuǎn)化效果通過(guò)業(yè)務(wù)安全體系去解釋?zhuān)p方對(duì)業(yè)務(wù)安全體系的能力理解的偏差會(huì)導(dǎo)致項(xiàng)目的發(fā)展最終偏離預(yù)期。

行業(yè)的整體發(fā)展還是需要更多業(yè)務(wù)安全人才的流入，希望能有更多的小伙伴加入業(yè)務(wù)安全領(lǐng)域。

本文由 @[太陽(yáng)] 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來(lái)自 Pexels，基于 CC0 協(xié)議