從業(yè)務(wù)安全的角度看社交行業(yè)產(chǎn)品面臨的風(fēng)險

0 評論 8479 瀏覽 18 收藏 19 分鐘

編輯導(dǎo)讀:社交APP是每個人經(jīng)常用到的產(chǎn)品,因此,它的安全性應(yīng)當(dāng)受到高度重視。但是,近年來,用戶隱私泄露等危害信息安全的事件時有發(fā)生。用戶在使用產(chǎn)品時會遇到哪些風(fēng)險,應(yīng)該如何治理?本文作者圍繞這些問題,從業(yè)務(wù)安全的角度看社交行業(yè)產(chǎn)品面臨的風(fēng)險,希望對你有幫助。

一、社交APP發(fā)展現(xiàn)狀

相信很多人都了解過馬斯洛需求層次理論,馬斯洛根據(jù)人類在做每件事的動機進行分類,借此推斷出這個人處在什么階段,但不意味每個階段都只有一種需求,人在每一個時期,都會有一種需求占主導(dǎo)地位,而其他需求處于從屬地位。

同樣的,社交也是人類的需求之一。人始終都是社會性群居動物,根據(jù)哈佛大學(xué)Robert Waldinger曾經(jīng)介紹過一個實驗,歷時75年,跟蹤了742名被試者,實驗中最明顯的一個研究結(jié)論是,良好的社交關(guān)系能夠讓人感覺更幸福(當(dāng)然,是建立在有一定經(jīng)濟基礎(chǔ)能力的前提下)。

當(dāng)最基礎(chǔ)的生理需求和安全需求滿足之后人類開始在社交中尋找愛、歸屬以及尊重需求,隨著社會發(fā)展,生理需求和安全需求獲取難度降低,人在獲取愛、歸屬、自我實現(xiàn)需求上面所付出的精力就會相對較多。

在有交友需求的用戶中,單身個體的數(shù)量要占多數(shù)。根據(jù)國家統(tǒng)計局的數(shù)據(jù),2019年度,家庭規(guī)模逐漸縮小,未婚男女比例持續(xù)擴大,未婚男性規(guī)模相較未婚女性規(guī)模凈多出3400萬,單身化逐漸成為趨勢。而在有需求的單身個體中,根據(jù)性別,其社交需求種類也不同。

從互聯(lián)網(wǎng)近年社交APP的發(fā)展來看,近些年層出不窮的社交類APP在不斷地探索各類有特征標(biāo)識的目標(biāo)客戶群,在騰訊系社交產(chǎn)品在國內(nèi)幾乎占據(jù)壟斷地位的狀況下,沒有任何一個即時通訊類的社交產(chǎn)品能夠避開。

微信、QQ作為即時類社交通訊的老大和老二,在這種情況下,微信、QQ的第一曲線是通訊工具,第二曲線則是平臺、連接器。

在平臺和連接器的概念下,微信、QQ連接了閱讀、支付、游戲、視頻以及各式各樣的APP和小程序,這樣的連接將最能占據(jù)用戶時間的幾個要素全部囊括在內(nèi),即媒體、社區(qū)、社交產(chǎn)品。但在這種連接模式下,微信、QQ的屬性基本可以定性為“信息的傳達”,這與現(xiàn)階段市場上大多數(shù)社交產(chǎn)品的屬性存在一定差別,現(xiàn)階段市面上的社交產(chǎn)品想引導(dǎo)用戶在自己產(chǎn)品上面“開口”。

在這種情況下,微信類產(chǎn)品會堅持自己的客觀性,不做任何方向的引導(dǎo),不能過分參與各類型事件的推動,因為微信、QQ在現(xiàn)階段的角色類型與短信類似,成為了基礎(chǔ)通信模塊建設(shè)的一部分。

可以理解為,在一定程度下,微信成為了各個社交途徑的終點,大多數(shù)的社交產(chǎn)品作為陌生人社交的起點,通過自身優(yōu)勢完成了讓用戶“開口”的行為,但難以在APP內(nèi)完成溝通的閉合,由陌生人轉(zhuǎn)化為熟人后溝通最終會在微信、QQ平臺上呈現(xiàn)。沒有足夠的粘合性和且相對微信、QQ來說缺乏對運營平臺的信任度。

據(jù)統(tǒng)計,中國人平均13分鐘就用一次手機,平均一天能用108次,根據(jù)Questmobile2020年上半年的統(tǒng)計,可以看出即時通訊類用戶活躍度在所有類型APP內(nèi)仍然排名前茅。

且通過整體使用時常可以看出,即時通訊社交的使用時間在所有APP內(nèi)也是最高的,微博類社交平臺相對來說使用時間較少,未能達到前五,在7-8名左右。

根據(jù)社交產(chǎn)品的不同類型可以進行一定程度的分類。

第一類社交產(chǎn)品時即時通訊,即時通訊類強調(diào)信息及時觸達,微信、QQ在完成這一基礎(chǔ)的條件上,完成了公眾號、視頻號、新聞資訊、UGC內(nèi)容的傳播,由于用戶群體特有的社群屬性,用戶會自然地去進行內(nèi)容地傳播、分享,這而即時通訊平臺只需要在用戶應(yīng)用場景下優(yōu)化用戶體驗,減少用戶參與信息傳播的難度,鼓勵社群內(nèi)容運營人員進行創(chuàng)作,能大幅度的提高用戶在即時通訊類APP的使用時間;

第二類社交產(chǎn)品是類似于微博、綠洲、soul、陌陌,這類社交產(chǎn)品在用戶群體的定位上更加垂直、清晰,同類型用戶的聚集效應(yīng)也更好,因為本身產(chǎn)出的內(nèi)容質(zhì)量參差不齊,內(nèi)容對用戶的吸引力較弱,需要引入一些活動增加用戶對APP的粘性,像微博和各個節(jié)目聯(lián)合所推出的打榜、投票等活動,能夠增加用戶的使用時間。

第三類社交產(chǎn)品是虎撲、最右、知乎、豆瓣等論壇類產(chǎn)品,從某一領(lǐng)域論壇開始發(fā)展,培養(yǎng)社區(qū)氛圍后逐漸成為一種社區(qū)文化,在通過一定形式“出圈”被大眾熟知后吸引到更多同類型的用戶參與,這種模式下用戶對APP、對社區(qū)的忠誠度較高,也容易形成高粘合性的社群,這群人有著不俗的內(nèi)容產(chǎn)出能力,再結(jié)合即刻本身的運營和產(chǎn)品機制,形成了現(xiàn)在的優(yōu)質(zhì)社區(qū)。此類用戶會主動地增加自己使用APP的時間。

由于社交產(chǎn)品的特性,各個社交平臺的留存率和日活月活成為平臺重要的指標(biāo),這些指標(biāo)的實現(xiàn)需要平臺持續(xù)輸出吸引用戶的點,可以是社區(qū)環(huán)境、社區(qū)內(nèi)容質(zhì)量,優(yōu)質(zhì)用戶,小游戲,通過這些社區(qū)要素的搭建,提高用戶粘性,避免用戶流失。

在實現(xiàn)了用戶群體的聚合之后,產(chǎn)品會開始進入變現(xiàn)的階段,和騰訊在2010年之前面臨的問題一樣,絕大部分的社交產(chǎn)品在商業(yè)化變現(xiàn)的能力上沒有足夠的沉淀,由于每個社交產(chǎn)品不同點,適合的變現(xiàn)模式也不同,常用的變現(xiàn)模式有以下幾類,廣告流量變現(xiàn)、電商賣貨、搜索排名、增值服務(wù)、入駐分層、金融業(yè)務(wù)、數(shù)據(jù)售賣,這些變現(xiàn)模式最終都會落腳在流量的不同應(yīng)用方式上。

但從目前的狀況看來,社交類APP往往在變現(xiàn)的過程中會出現(xiàn)腳步過快,步子邁的過大,會出現(xiàn)安全能力跟不上業(yè)務(wù)發(fā)展的情況。

二、風(fēng)險點分析

1. 產(chǎn)品引流、轉(zhuǎn)化留存階段

根據(jù)現(xiàn)階段社交類APP的業(yè)務(wù)特性和預(yù)期實現(xiàn)的目標(biāo),需要社交APP的運營人員分產(chǎn)品階段設(shè)置不同的活動形式,第一階段需要通過各種具有吸引力的活動,例如一些注冊有獎、邀請有獎等活動獲得大量新注冊用戶,第二階段是舉辦各種增加使用頻次和使用時間類型的活動,類似于簽到積分商城、APP內(nèi)小游戲、登錄一定時常給予獎勵,培養(yǎng)用戶使用APP的習(xí)慣。由于這些活動的特性,容易吸引到大批黑灰產(chǎn)。

根據(jù)運營活動的不同階段可以將黑灰產(chǎn)的攻擊模式和攻擊手段進行分類。

第一階段,這些黑灰產(chǎn)會通過一些技術(shù)手段模擬成真實用戶,注冊大量賬號以獲取新賬戶注冊優(yōu)惠;

第二階段,黑灰產(chǎn)在獲得第一階段的利益后通過養(yǎng)號生產(chǎn)大批量高價值賬號活動,以機器化腳本的模式進行點贊、分享等活動,累計日活月活,獲取活躍度獎勵,或者直接對APP進行編譯的方法破解積分商城,兌換獎品;

最后一個階段,黑灰產(chǎn)出售這些高價值賬號以及大量通過撞庫破解盜取的賬號給一些店家,店家通過這些賬號在平臺發(fā)布廣告,引導(dǎo)社交平臺內(nèi)部真實用戶到其他平臺購買產(chǎn)品,更有同業(yè)競爭者會通過賬號買賣雇傭水軍破壞平臺內(nèi)部的氛圍,從而將競對的用戶群體吸引到自家。

2. 商業(yè)化變現(xiàn)階段

通常來說,在商業(yè)化變現(xiàn)階段會遭遇的風(fēng)險點根據(jù)商業(yè)化變現(xiàn)模式的不同有一定的差別。以最近特別熱門的電商帶貨的模式為例,各個社區(qū)內(nèi)所謂的達人對社區(qū)內(nèi)用戶和群體有一定的影響力,品牌方和社交平臺以及平臺內(nèi)達人合作,通過達人輸出廣告和購買鏈接。和刷單一樣,達人如果想獲得更多平臺方的補貼,會雇傭一些黑灰產(chǎn)刷單、刷量,在刷單之后退款或者轉(zhuǎn)售,獲取大量訂單,以騙取平臺和品牌方的補貼,這也是常見的商業(yè)化作弊方式之一。

三、損失和難點

從現(xiàn)階段整體行業(yè)發(fā)展的情況來看,除了小部分產(chǎn)品本身已經(jīng)經(jīng)過多年沉淀,擁有較為忠誠的用戶群體,剩下社交類產(chǎn)品仍處在急速擴張階段,需要吸引大量的用戶注冊。

現(xiàn)階段還在業(yè)務(wù)發(fā)展期的APP普遍打著垂直領(lǐng)域氛圍最好的社交圈之類的旗號,以社區(qū)氛圍和環(huán)境作為賣點,強化社交環(huán)境的重要性。在這種宣傳模式下確實在運營初期能夠吸引到一定數(shù)量的真實用戶群體,這種模式的獲利者類似早期的豆瓣、知乎,還有如今的soul、綠洲。

類似的發(fā)展模式在很長的一段時間之內(nèi)被印證為有效的社交APP推廣運營模式,隨著整體用戶量的增加,APP也慢慢開始“出圈”,更多的外圍用戶開始嘗試注冊使用,這時候絕大多數(shù)的運營方采取的策略是進一步擴大影響力,購買廣告、增加新用戶注冊福利。

這種模式放在早期的互聯(lián)網(wǎng)社交運營是非常好的方法,但在2020年,大多數(shù)的社交平臺沒有足夠重視黑灰產(chǎn)的實力,仍采用較為老式的策略容易被黑灰產(chǎn)抓住漏洞,據(jù)三方統(tǒng)計,有部分成立5-10年的社區(qū)類社交平臺仍能發(fā)現(xiàn)大量設(shè)備ROOT后通過虛擬機多開APP的情況,嚴(yán)重的情況下能發(fā)現(xiàn)同一設(shè)備上存在50+賬號。

進入流量時代后,類似B站、虎撲之類帶有較強社交屬性的APP都逐步放寬發(fā)帖、發(fā)送彈幕需要完成答題的規(guī)則,又沒有強度高的設(shè)備指紋和風(fēng)控決策引擎進行配合,無法識別、監(jiān)控這類賬號問題,導(dǎo)致引以為傲的社區(qū)環(huán)境大幅度下降,對公司形象造成了較大的影響。

套用政治課本上的一句話,我國目前社會主要矛盾為人民日益增長的美好生活需要和不平衡不充分的發(fā)展之間的矛盾,在社交領(lǐng)域,那就是業(yè)務(wù)端日益增長的活動運營需求和不平衡不充分的安全風(fēng)控發(fā)展之間的矛盾。業(yè)務(wù)端的急速擴張和安全風(fēng)控端的不受重視讓社交行業(yè)的發(fā)展多少有點“長短腿”。如何幫助業(yè)務(wù)端運營人員樹立起安全風(fēng)控意識,采用正確的風(fēng)控技術(shù)和策略是現(xiàn)階段的重要課題。

四、解決方法

這些風(fēng)險點的解決需要經(jīng)過兩個步驟,第一步前端識別風(fēng)險,損失一旦發(fā)生是難以挽回的,所以,需要通過一些技術(shù)手段和策略手段,在風(fēng)險發(fā)生之前意識到風(fēng)險點的存在,做好前端風(fēng)險信息的收集,第二步是后臺通過前端收集的風(fēng)險信息采取對應(yīng)的策略和行為處理風(fēng)險。

在互聯(lián)網(wǎng)公司中,針對這類風(fēng)險點的風(fēng)控體系搭建通常分為兩個階段。

第一個階段是通過運營人員的經(jīng)驗,在業(yè)務(wù)系統(tǒng)內(nèi)設(shè)定合適的規(guī)則策略,根據(jù)經(jīng)驗和現(xiàn)狀不斷調(diào)整閾值,同時增加人工審核人員,通過人力去判斷遭受風(fēng)險的狀況和損失。這種策略制定的正確性在上線初期相當(dāng)高,效果顯著,但隨著黑灰產(chǎn)不斷地嘗試,閾值地范圍能夠被測試出來,若最終采用一刀切的策略對社交平臺而言是非常不利的,會出現(xiàn)大量的誤殺情況。

此外,還有一個隱患是大量的規(guī)則策略若始終存在業(yè)務(wù)系統(tǒng)內(nèi)必然會出現(xiàn)業(yè)務(wù)系統(tǒng)反應(yīng)延遲的情況。

一般來說,公司所自研的風(fēng)控引擎分為兩個模塊,在線同步模塊和離線異步模塊,如果對在線同步這塊的風(fēng)控規(guī)則進行了加強和優(yōu)化,會導(dǎo)致整個業(yè)務(wù)接口的執(zhí)行鏈路更長,最終帶來TPS和QPS這兩個關(guān)鍵指標(biāo)下降,很多公司在每次碰上風(fēng)險損失后都會配置不同的策略放在風(fēng)控系統(tǒng),互聯(lián)網(wǎng)公司員工流動性又相對較大,前人配置的策略逐步累加,卻沒有后人進行刪減,有的公司在進行風(fēng)控自查的時候甚至發(fā)現(xiàn)了針對同一活動風(fēng)險場景配置了2000條策略。

策略、規(guī)則的堆積和風(fēng)控引擎嵌入業(yè)務(wù)系統(tǒng)的方式,只會讓性能急劇下降,除了不斷買服務(wù)器這個方法,絕大多數(shù)公司會選擇進入第二階段。

第二個階段是通過前端用戶設(shè)備維度的設(shè)備指紋識別用戶操作環(huán)境,通過旁路設(shè)置的風(fēng)控引擎和配置好的專家規(guī)則配合,這個階段能大大減輕人力成本的付出,同時減輕業(yè)務(wù)系統(tǒng)的負(fù)擔(dān),在保持整體響應(yīng)速度的前提下,減少性能的損耗。

這種模式需要在用戶端設(shè)置設(shè)備指紋,生成設(shè)備唯一標(biāo)識,對用戶的操作環(huán)境進行風(fēng)險評分,識別用戶操作環(huán)境是否存在多開、ROOT、HOOK、模擬器等,后端風(fēng)控引擎根據(jù)前端設(shè)備指紋信息和專家策略規(guī)則在極短時間內(nèi)完成策略的輸出,處理風(fēng)險點。

此外,旁路設(shè)置的風(fēng)控引擎能夠和業(yè)務(wù)系統(tǒng)保持各自的獨立性,在業(yè)務(wù)系統(tǒng)宕機時主動發(fā)起提醒,幫助運營及運維人員審查。

五、最后

根據(jù)不完全調(diào)研數(shù)據(jù),中國現(xiàn)在從事專職黑灰產(chǎn)的人數(shù)在千萬級別,而網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人員才200萬人,而這其中從事業(yè)務(wù)安全、理解業(yè)務(wù)安全的人更是少數(shù)。

缺乏業(yè)務(wù)安全的常識和對黑灰產(chǎn)的警惕心是近些年互聯(lián)網(wǎng)公司被盯上、被薅取大量利益的根源。

只有熟悉業(yè)務(wù)風(fēng)險點,正視且重視黑灰產(chǎn)的存在,才能夠做好風(fēng)險防范。

 

本文由 @[太陽] 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載

題圖來自Unsplash,基于 CC0 協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
安塵言
專注金融風(fēng)控
15篇作品 102170總閱讀量
03-024465 瀏覽
騎手日記系列:省錢是一種錯覺
04-285685 瀏覽
AI技術(shù)不會放過在線音樂
10-055723 瀏覽
保持領(lǐng)先:AI產(chǎn)品經(jīng)理的競爭對手分析框架
03-2410187 瀏覽
從GPT-4、文心一言再到Copilot,AIGC的長期價值被逐漸確立
05-162187 瀏覽
國內(nèi)AI大模型鏖戰(zhàn),上演科技羅生門
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!