完美日记:一文详解新零售电商定制化安全法则

  • A+
所属分类:云安全

完美日记:一文详解新零售电商定制化安全法则


客户关键词

美股美妆第一股

2019年天猫旗舰店彩妆Top1店铺

00后最喜爱的国货之光


2016年以来,以完美日记为代表的国产美妆的“超预期”表现,让行业惊叹于它的潜力和成长性。


成为行业佼佼者的背后,是新型品牌方打破传统产业边界,全面拥抱电商新物种法则的经营逻辑。


DTC模式

营销中台+数据中台


DTC模式(Direct to Consumer):个性化、多样化的消费需求催生了新型零售模式,通过社交媒体,建立线上社群和线下体验门店,直接与消费者紧密沟通,掌控渠道,实现低成本获客。


完美日记:一文详解新零售电商定制化安全法则

传统零售 VS DTC模式


在对DTC模式安全建设理解上,重点要把握以下几点:


 · DTC以数字原生逻辑,实现数据驱动营销,围绕消费者关系的原生数据保护


 · 传统渠道权力收归并线上化,关键节点的风险评估和流量安全


 · 品牌使命和消费者体验强相关,安全需做到无感防护


数据+流量+业务

新零售全链路安全闭环 


直面消费者:数据原生保护第一位


完美日记将全域数据回流至云:来自自有商城和三方电商平台的所有订单数据、销量、商品库存等信息均在云上进行处理和存储。无论是存储中、计算中、还是传输中的数据,完美日记都可以随时验证其机密性和完整性。


云上数据中心实行数据分级分类和安全存储,避免数据泄漏,不仅是维护品牌声誉的关键,也为数据精细化安全管控赋能业务提供了依据。


不同类别和级别的数据采取不同的防护措施,有助于安全保护与客户需求实现有效协同。


渠道全面线上化:业务流量短期内激增


要实现高效全渠道获客,意味着完美日记同时面临多种类型的风险。


2020年11月,随着母公司上市,完美日记的营销投入进一步走高,订单数据量在疫情中仍然维持稳定增长,超大量的用户数和订单量给服务器造成压力。


电商是遭遇DDoS攻击频率第二高的行业。


据统计,在大促期间的高密度用户访问中,每产生5秒钟的访问延迟/网络瘫痪,平均造成的直接经济损失上千万。


商城系统随时面临因DDoS攻击、cc攻击、注入攻击等造成的卡顿、业务访问延迟、网络瘫痪、业务中断问题,大促期间,业务流量随促销周期呈分布式爆发,黑产更为猖獗。


防护策略的调用既要避免与自有商城的阶梯性带宽分配机制发生冲突,又要实现按需调用,按量计费,保证整体成本可控。



私域流量运营:业务风控成重难点


据阿里云风控团队观察,每逢大促,活跃在各大电商平台产生虚假小号的账户过亿,薅新人专享礼的黑灰产日均获利超数千万。


不法分子消耗平台提供给正常用户资源的同时,利用恶意手段可以低成本的盗取大量用户账户信息,对于正常互联网用户来说,意味着骚扰及诈骗风险。

完美日记:一文详解新零售电商定制化安全法则

自有商城需承担用户引流功能,黄牛党、羊毛党、恶意bot、评论水军等伪装成正常业务的流量混杂其中;

私域流量用户维护带来日常小型周期性营销活动多(如:口令红包、美妆攻略、限时秒杀等),业务需求与安全需求波动;

存在电商大促期间业务流量剧烈波动而产生的强防护场景;


完美日记定制化整体安全方案 


完美日记:一文详解新零售电商定制化安全法则

完美日记定制化安全方案架构


原生数据策略打造品牌安全感


元数据视角打通各类数据,审视自身业务数据中存在的安全隐患;

自定义脱敏模板,安全管理者根据实际业务场景灵活选择数据按需脱敏;

云端业务处理的高可用、低延迟,做好数据安全存储;

各类数据源的动态安全审计与感知,避免因各类攻击、内鬼、误操作等造成的数据泄漏。


用户自定义重大活动策略无感防护


爆款秒杀、尾款支付、新业务上线流量峰值爆发性很强,易导致正常业务流量被误判为攻击。


阿里云DDoS高防、WAF和云安全中心支持定制场景防护策略,精准识别恶意入侵的同时不影响业务,实现等保合规安全落地。


大促前



对应用系统开展渗透测试,提前进行安全加固;

大促中



DDoS高防根据业务峰值变化按需调用重大活动防护模版,活动结束后,自动恢复成正常防护模式;

实时排查与修复



云安全中心全程实时隐患排查(如:主机侧防勒索、防病毒、合规检查)和自动化脆弱点修复;

全程闭环



集中管理云上资产权限,全程记录操作数据,从流量和主机层面实现全链路威胁检测、响应、溯源的自动化安全运营闭环。


业务风控实践落地


业务风控是高度依赖实战经验的领域。结合阿里巴巴集团十余年的风险管控过程中积累的最佳实践,阿里云业务风控大数据、流式计算、机器学习算法等创新技术为完美日记提供全链路跨风险场景的“端+云”的联防风控方案。


针对有可能存在资损的活动与业务流程,适当提升用户参与门槛、增加核销规则(如限定同设备、手机号参与活动的最高次数),多条件强校验防止黑灰产“薅羊毛”;

主动监测促销资源核销比例及速率,结合账户行为、设备风险情况,主动进行实时与近实时的异动监控。对于捕捉到的异常事件进行量化评估,根据对业务的影响程度做不同处理,对具有潜在资损的活动权益进行合理的分层挽回与止损

 基于WAF的业务流量识别能力,对HTTP或HTTPS中夹杂的黄牛党、羊毛党、恶意bot、评论水军等伪装成正常业务的流量进行恶意特征识别及阻断。


完美日记:一文详解新零售电商定制化安全法则


  阿里云安全  

国际领先的云安全解决方案提供方,保护全国  40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

本文始发于微信公众号(阿里云安全):完美日记:一文详解新零售电商定制化安全法则

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: