云上“大卖场”——从0→1安全实现业务创新

  • A+
所属分类:云安全
云上“大卖场”——从0→1安全实现业务创新


根据《中国云计算产业发展白皮书》预测,2023年中国政府和企业的上云率将超过60%:


云,已经成为了新一代的基础设施。


对于关系国计民生的各大国资银行而言,探索新一轮业务增长可能性,提升业务便利性,给用户更简单、更快速的交易流程,更多元的线上服务,是业务需要探寻和发展的方向。


云技术,提供给了他们创新的土壤。


合作阿里云的这位银行客户,尝试在公有云上搭建首个云上”大卖场“,提供各类生活消费品、服务等20余万种商品,由商城直接和供应商进行对接,免去了中间商差价,让会员们能以较低的价格买到优质的商品。该业务快速从试点地方推广到全国,目前会员数激增至千万,极大提升了用户粘性。


安全,是这一切业务创新的背后的奠基石


客户关键词

国内知名储蓄银行

数万台云上主机

千万级会员用户





云上商城的「十面埋伏」




一个偌大的线上商城,存储着大量的商品信息、用户交易数据、个人敏感信息……迎接来自四方八方的访问请求;开放给各个ISV、供应商的API接口,同时每天还要处理数万次的交易订单……其中不乏恶意的BOT、DDoS攻击等。而当遇到活动大促、售卖活动,潜伏的黑产团体会挖空心思去钻研活动漏洞,随时准备薅取平台羊毛......


我们可以把云上商城面临的风险场景抽象为几个方面:

01

交易场景中的业务风险:

商城业务最核心的业务就是交易,当我们模拟顾客在线上场景中进行交易的全流程,会发现多处隐藏着的安全风险:


账户开户:是否存在身份证盗用、盗刷等情况;


用户登录:是否为用户本人登录,账户是否被劫持,是否有可疑操作;


大促活动:活动中是否存在可被利用的漏洞,如果被黑产薅羊毛,不仅会给业务带去巨大的损失,还会影响正常用户的体验。该客户在去年双十一大促期间曾经推出过1元购活动,由于营销风控不到位,被黑产薅取数十万资产。


交易成单:商场需要提供完善的担保系统,确认不会出现商家携款潜逃或者买家收货不付款情况;


02

访问中的API风险:

作为一个面向公众的开放业务,商场需要接入各个ISV的服务,开放大量API接口方便业务访问。但提供便利的同时,也给攻击者带去了可乘之机。国外安全公司Salt Security在2021年发布的API安全报告中显示,91%的受访公司企业去年经历过API相关问题,超过半数(54%)的受访企业在其API中发现了漏洞,46%的受访企业出现了身份验证问题,而20%指出了爬虫和数据抓取工具引发的问题,足以可见不安全的API所带来的危害。


对于云上商城业务,主要存在两大风险:


由API漏洞导致的非法调用:攻击者可以利用API开发过程中存在的漏洞(如缺少身份认证、水平越权漏洞、垂直越权漏洞等)使用非POST的请求方式、Cookie传输密码等操作登录接口,实现API的非法调用,产生用户信息泄漏和内部系统被攻入的风险。


网络爬虫通过API爬取大量数据:BOT攻击的特点是在短时间内爬取到目标应用上所有的数据,如果没有有效的防护,交易过程中的商品信息,用户个人信息、交易信息、账户信息等存在泄漏的风险,不仅有可能违反即将实行的数据安全保护法,还会给会员带去糟糕的体验。


03

基础平台风险:

不同于线下IDC以数据中心为核心的部署模式,云上的分布式架构给安全和防护带去了全新的特点,传统的安全边界比打破,主机由物理实体变为云上虚拟机,东西流量猛增......传统的安全防护已不再实用,没有办法保护好云上数据、流量、主机的安全。




阿里云安全的「诺亚方舟」




针对客户遭遇的及云上商场面临的通识性业务问题,阿里云安全结合现有的产品和安全实践,一一解决云上商城在交易场景下、流量风险中和基础平台上遭遇的安全问题。

云上“大卖场”——从0→1安全实现业务创新

   (阿里云业务安全风控架构图


01

危机四伏的业务

首先,我们需要明确在用户交易场景中存在几大反欺诈问题:
云上“大卖场”——从0→1安全实现业务创新

(三大反欺诈场景


针对这三大反欺诈场景,阿里云提供以下几大安全能力:


身份/设备冒伪识别:

通过交叉比对用户的各类信息,例如用户姓名、身份证号、手机号等个人数据,结合移动场景下可获取的地点、GPS、电话设备、Wi-Fi等,对用户进行「身份锁死」


同时,作为全球独创人脸多因子生物核身技术的创立者,阿里云用五步循环走,利用OCR技术判定身份证是否真实有效,通过用户认证过程中的动态交互或者静态特征信息,结合人脸比对认证,能精确地判定镜头前的用户是否为本人。同时,能有效拦截照片、面具、视频等各类攻击 ,最后通过阿里风控数据进行辅助识别,大幅提升用户身份验证的安全等级。
云上“大卖场”——从0→1安全实现业务创新

(用户核身流程图)

运营欺诈行为识别:

有别于单点的防护,阿里云提供给客户的是端、云、离线计算的全风险链路管控。
云上“大卖场”——从0→1安全实现业务创新

(运营欺诈风险全链路管控)

通过多种算法,全面覆盖营销流程中存在的各类安全风险:


● 设备风险:通过设备指纹、模拟器检测、机刷检测,及人机模型分析等能力,可以有效防垃圾注册、暴力破解、登录撞库等问题,让接入客户立享支付宝级别的识别能力;


● 注册风险:根据设备Token、手机邮箱、IP地址等信息,结合阿里积累多年的黑产情报、位置网络、注册行为模型等,有效提升整体账户质量;


● 营销风险识别:阿里云历经多年上万场营销活动考验,通过用户的身份维度信息、设备维度信息、环境维度信息、行为维度信息及关系维度信息,能有效识别活动作弊、羊毛党等业务风险,让客户可以放心开展各类活动大促。


云上“大卖场”——从0→1安全实现业务创新

(营销风险全链路管控)


信用反欺诈行为识别:

阿里云基于用户行为日志,通过比对其登录、支付、交易等行为序列,操作行为习惯、环境、设备、地理位置等行为习惯,资金网络、社会网络等关系网络信息,有效识别交易过程中存在的逃单、恶意退款、无法履约等风险用户。


对于业务风控安全而言,重点需要考虑四大方面的能力。厂商的:

数据储备是否丰富

数据技术是否成熟

场景经验是否全面

  平台计算引擎是否具备


阿里云安全在这四大方面都做到了业内顶尖

从数据储备来说

多年的黑产对抗经验给阿里带来了百亿级别的设备画像积累;

从数据技术而言

无论是聚类算法、团伙模型,还是行为序列检测、UEBA.....阿里云强大的算法库都提供支持;

从场景经验来看

阿里强大的生态体系,使得云安全在金融支付、电商营销、在线交易、刷单羊毛、金融欺诈、借贷、银行卡、保险等等场景均有最佳实践落地,提供给客户多种可选场景;

从平台计算引擎来看

阿里云的大数据平台、风控引擎平台、图计算引擎等等平台,提供给客户强大的可视化和便捷的操作平台,快速构建自己的风控体系与能力。

阿里还将在每一次的大促活动中,不断提升和磨炼自己的核心能力。


02

访问中的API风险:

在云上商场的交易场景下,针对API管控,主要集中在两点:


● API漏洞管理:


阿里云Web应用防火墙(WAF)中集成了API安全防控方案,能实现主动发现老旧、缺乏鉴权、数据过度暴露、敏感信息泄漏等风险的API接口


● BOT爬虫管理

云上“大卖场”——从0→1安全实现业务创新
(阿里云BOT防控流程)

作为WAF产品的核心功能之一,BOT爬虫管理通过客户端指纹识别、AI智能防御、云上协同防御情报、爬虫行为分析等核心能力,帮助用户有效抵御来自BOT的恶意流量。

03

基础平台安全:

阿里云致力给客户提供上云即安全的平台服务,将安全融入云的基因中。


对于所有上云客户而言,即可获得可信的计算环境、数据默认加密、持续动态验证、密钥天极轮转等能力。此外,阿里云的10条产品线50款产品已经具备522项核心安全能力,已经提供给了客户较高的安全水位,构建了一个安全的平台架构。


在此之上,阿里云通过云安全中心、云防火墙、DDoS等基础安全产品,帮助云上用户全面防护主机侧、流量侧所遭遇的攻击和漏洞,帮助用户实现云上安全防护。


04

安全服务支持:

对于云上架构不了解,对于云安全产品不熟悉,运维人员碰到操作问题等,也是上云用户常常遇到的难点。


阿里云安全有一支由安全专家组件起来的团队,一方面在客户上云初期配合客户,协助其熟悉云上产品操作,并提供后期专业指导;另一方面在重大活动期间,提供给客户7*24小时的人员值守,进行应急处置、攻击溯源等服务,确保客户对云上安全状况清晰可视。





客户价值




  • 通过部署业务风控等产品,提升了客户在电子场景下的风控能力,助力其达成两年内业务增长数十倍用户数破千万的佳绩

  • “阿里同款”的营销反欺诈能力,强化了顾客和黑产对抗能力,帮助客户有效识别上万黑产账号

  • 安全服务团队在重要活动期间,保护用户业务安全,保证云上零攻破。

云上“大卖场”——从0→1安全实现业务创新


云上“大卖场”——从0→1安全实现业务创新

  阿里云安全  

云上“大卖场”——从0→1安全实现业务创新

国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

本文始发于微信公众号(阿里云安全):云上“大卖场”——从0→1安全实现业务创新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: