业务风控下的态势感知

1、态势感知目的和作用

风控下的态势感知，只有一个主要目的：自证，即”我能看见且看清主要黑产的作弊手法，并且我在有效防御”，避免老板不认可风控的工作，拆分目标后，实现风控下的态势感知包含两块内容：

• 如何看清黑产
• 如何量化风险，即「黑产大盘趋势数据」

有了态势感知后，可以让风控可以几乎实时的看见真实黑产攻击下的主要风险，并可用’大盘量化风险’向上说明风控治理在解决主要矛盾，并且有效果

2、如何实现态势感知

2.1、看清黑产

做风控经常会被问到，”当前到底有多少黑产用户”，”头部是哪些”，”主要作弊场景是什么”，”主要是什么作弊手法”，”黑产给公司造成多少损失”等难以回答的问题，其实这些问题本质是：老板希望你能看清黑产，并且在通盘考量下、有策略的在聚焦解决核心矛盾。

那么如何看清黑产呢？这里可以借助基础安全的手法，如蜜罐等等，细节不宜深入，也不是本文章要介绍的重点，总是我们的预期是：拿到黑产作弊线索、时间，以及可圈定黑产身份凭证，比如：线索A、2024.04.12、黑产A在用。有了这些数据，我们就可以在内部注册、登录、交易等各表数据中提取出黑产A的作弊量，如下图所示：

有了这些数据，就可以统计梳理出，相关黑产的风险浓度：如：每个月内使用的账号量级或者接口、数据量等等，然后根据定义的风险浓度，从高到低排名，然后分析头部的作弊手法，逐步实现看清黑产。

2.2、量化风险

当捕获的黑产线索到一定量级后，就可以做成’黑产大盘趋势’来量化风险。笔者以如下几个走势图说明下。

• 注册账号的月度趋势

  图2.1注册趋势

• 注册入口每个月各渠道注册趋势变化（H5、PC、小程序、App版本等，可自定义）：

  图2.2 各入口注册趋势

• 每月注册上涨比例TOP5注册入口趋势
• 每月TopN的注册设备变化趋势
• 每月的上涨比例Top5的注册设备趋势
• 每月登录入口趋势变化趋势
• 每月TopN的登录设备变化趋势
• 每月的上涨比例Top5的登录设备趋势
• 下游重点场景访问趋势

  图2.3 各场景作弊趋势图

3、态势感知如何利用？即价值转化

3.1、主要风险

第一步：看见全局视野下的核心风险

有了大盘趋势后，就可以针对异常的头部风险进行排查和修复。以图2.1和2.2为例，可以发现24过年后，3月份黑产注册账号量快速翻倍上涨，其中主要注册入口来自H5和某App老版本，那么黑产注册后干啥了呢？在通过图2.3发现，黑产注册的账号量主要用来进行渠道推广作弊，自此我们看见3月份的黑产主要作弊风险了。

第二步：弄清楚黑产的主要作弊手法

上一步搞清楚了黑产在做什么，但是还没有弄清楚黑产的作弊手法，以便针对风险上线修复，这一步里，我们需要联合多个风险领一起排查了，比如账户、端防等等；同时需要建设自动分析等基建能力。首先我们需要搞清楚黑产账号注册、登录手法，什么入口完成的渠道推广下载，新设备如何搞定的（重置、模拟器还是真机改机等等），群控还是手动，如何进行支付的等等。

第三步：针对风险该如何修复

搞清楚黑产作弊手法后，就可以针对性的迭代风控策略进行防御了。如：前两步排查发现，该黑产团伙通过H5、老版本App注册，然后通过某小众机型设备重置登录，然后领取新人优惠券，并看视频领取0.1元现金，实现下单0元支付。此次通过我们可迭代如下策略：

1. 提高H5注册水位
2. 排查梳理老版本App等注册接口情况，正常用户少的报备业务进行下线处置
3. 针对当前黑产使用的某小众机型迭代上线重置策略
4. 等等

3.2、效果自证

当针对主要风险上线策略后，需要’黑产大盘趋势’来证明防御是否起到效果。以上一步的黑产渠道推广作弊为例，策略新上线后，我们需要观察黑产3，4月份的大盘数据是否下降，比如从图2.2中可以看到，某老版本App注册在下降了，不过H5注册口子并未下降多少（说明H5上能力提升有限，未能防御黑产），但从图2.3中可以看到渠道推广的作弊量在下降了，证明防御起到一定效果。

4、关于馗安社

欢迎大家关注馗安社，我们的成员简介（按姓氏拼音）：

成员	简介
戴中印	目前在某甲方从事业务安全风险发现与治理（之前做过SDL+移动安全）
刘新	兰州大学信息科学与工程学院副教授、硕士生导师，主要从事代码安全和 AI 对抗研究
于长奇	字节跳动隐私合规专家，专注移动端合规技术和解决方案，如违规收集个人信息，自启动等。曾从事过内核安全、java安全和Api安全
杨坤	御林安全负责人，蚂蚁金服和美团SRC年度TOP白帽子，专注自动化漏洞挖掘和web3领域
赵永福	网商银行办公安全负责人，主要研究方向为可信纵深防御、信创安全研究、数据安全与合规

5、本期作者

本期分享作者：戴中印，感兴趣可以交个朋友（加好友请附加下备注，多谢）

原文始发于微信公众号（馗安社）：业务风控下的态势感知