从“小程序下单”到“无人超市”，以人为本的新零售模式方兴未艾。近年来，众多传统零售商和互联网企业运用大数据、人工智能等先进技术手段，以场景化、客户体验感、线上线下融合带来了全新的消费方式变革，成为零售行业新的增长点。

但值得注意的是，新零售带来的业务模式变化，引发了大量的业务安全和数据安全问题，即使是互联网巨头也难逃黑客攻击。

•2019年1月，拼多多遭遇黑产团伙盗取优惠券，涉案总金额达数千万元。

•2020年1月，京东家电优惠券设置漏洞被恶意利用，羊毛党在极短的时间里，出现了24万笔低价订单，涉及商品金额7000万。

•成立于2018年的淘集集，自上线以来一直遭到黑客攻击，如服务器攻击瘫痪、恶意篡改平台规则、交易数据等，最终淘集集以宣告破产而收场。

国内多家知名电商被黑产“薅羊毛”、数据泄露等事件不胜枚举，引起了零售企业对于网络安全重要性的普遍关注。安全问题始终是悬在零售行业的一把利刃，到底该如何解决？

新零售企业面临两大挑战：业务安全和数据安全

随着疫情后整个社会的数字化转型加速，越来越多的零售企业将业务转向了线上。针对数字化零售业务，黑客攻击手段变得更加多样化、复杂化，企业面临的安全风险也呈几何倍数增长，一旦应用系统被攻破会给企业带来难以承受的损失。

瑞数信息技术总监吴剑刚认为，目前线上零售主要面临两大安全挑战：业务安全和数据安全。

在业务安全层面，零售企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。

例如：针对新用户注册的推广活动，商家会提供送券、送积分、送红包等优惠活动，引来了大量的“薅羊毛党”。在中国，专门靠薅羊毛为生的人就有几百万，从搜集优惠信息、购买账号、销售工具、实施攻击到倒卖、分赃，薅羊毛已形成了分工细致的成熟黑灰产。由于“薅羊毛”群体巨大，并大规模依靠自动化攻击技术，因此会给企业造成巨大损失，是企业最为关注的业务安全问题之一。

在数据安全层面，随着数据价值提升，黑客越来越多将攻击目标转向企业的业务数据和用户数据。最为常见的攻击的是在同业竞争中，爬取对手商家的产品价格、促销活动等恶意行为。

例如：有的商家会利用黑产工具，爬取对手商家在各大电商平台同类型商品的ID、标题、价格、销量、数量、优惠活动等，进行同业恶意竞争；有的黑产人员会利用爬虫、转链、上货等工具进行无货源倒卖，即自己的店铺并无货源，其货源信息全部来自其他店铺，当用户在自己店铺下单时，再利用软件去对应的店铺下单，赚取商品差价。

攻击手段不断升级，新零售企业如何应对？

随着新零售行业的繁荣发展，在巨大的利益诱惑下，黑产的技术手段和攻击水平有着很大的提升，对零售企业的安全防护技术要求也越来越高。

在瑞数信息技术总监吴剑刚看来，撞库、暴力爆破、短信轰炸、中间人攻击等已成为常见的攻击手段，但在此基础上，攻击者为了绕过传统的防护手段，仍在不断升级攻击方式，最显著的特征就是“拟人化”。

“在促销抢购页面中，真实用户可能会停留3秒钟，输入一些信息，产生键盘鼠标事件或手机触屏事件，或通过真实的手机设备进行账号验证等。而‘拟人化’的攻击手段会模仿真人行为，比如用真实的设备通过群控模式进行批量操作，无论是设备、IP、账号还是行为，看起来就和真人一样。”吴剑刚解释道。

正所谓“魔高一尺，道高一丈”，攻防双方的对抗永不停歇。针对层层演进的攻击手段，防护思路和技术也在相应升级，据吴剑刚介绍，目前业内对抗黑产的思路主要有两种：

一是人机识别技术。识别对方设备是否为真机，由于真机的攻击成本远高于虚拟机/模拟器攻击，倒逼攻击者大量使用真机，会提高攻击者的成本，当攻击成本过高时黑产就会放弃攻击。

二是行为分析技术。识别用户行为是否为异常操作，比如一批账号密码在同一时间段登陆；一个手机永远在一个GPS位置不动；一个人第一次操作是在北京，但是20分钟之后变成了上海，都属于异常行为。

在此基础上，企业还可以加上威胁情报技术，对关联风险和攻击团伙进行挖掘，对攻击行为进行风险预警、实时阻断和溯源。

无论采用哪种防护技术，基本思路都在于提高攻击成本，让攻击者难以获得更多利益从而放弃攻击。吴剑刚建议，在采用多种技术的同时，也需要关注防护成本和用户体验，结合零售企业自身业务需求和安全预算来进行规划。

动态安全技术，为零售企业的业务和数据保驾护航

尽管业内对于业务安全的防护思路已逐渐明晰，但如何将有效防护落到实地，充分考验着零售企业和安全厂商的实践能力。

在传统的安全解决方案中，基于规则或特征的防护有很大的局限性，基本上无法识别和抵御来自黑产的自动化攻击、拟人化攻击，也就难以解决零售业中普遍存在的“薅羊毛”、交易篡改、刷单等业务痛点。

随着新零售从线下走到线上，从网站走向APP、H5、微信小程序等多渠道，如何保证全渠道的业务安全和数据安全，也成为零售企业新的难题。

与传统安全厂商不同的是，瑞数信息的动态安全理念，以独有的动态安全+AI技术，能够有效防御自动化攻击，为零售企业内外网的各种应用提供主动防护。

其核心理念在于，不再受制于复杂的攻击特征与行为规则，而是通过更变化多端且难以捉摸的动态安全机制迷惑攻击者，提升攻击门槛，增强对抗能力，在攻防格局中处于主动位置。同时，通过全链路的智能行为追踪，实现实时的安全预警及安全联防，进一步缩短攻击响应时间。

对此，吴剑刚举了一个例子：在某零售企业发起的线上活动中，用户每天跑步5公里，累计跑满5天，即可获得500M手机流量，折合人民币约50元。原本活动计划持续1个月，但上线刚一周时间，这家企业就遭受了严重打击。原来在一周注册的800万账号中，至少有一半是黑产账号，“薅羊毛”导致该企业损失高达上亿元。

在瑞数信息的助力下，通过人机识别、行为分析等手段，该企业很快发现了大量异常账号，比如：一个设备指纹上有二三十个账号，一大批设备和账户的定位在河里等。同时，瑞数信息通过用户访问数据，对异常行为进行建模，关联出背后的黑客团伙，从而将整个黑客账号体系梳理出来，并交给企业进行批量阻断，最终既让企业避免了损失，也没有给正常用户造成影响。

类似的例子不胜枚举，在某大型零售集团中，采用瑞数信息的动态防护体系仅一个月内，就监测到超过30万异常账号。在某跨国零售企业中，瑞数信息的动态安全Botgate机器人防火墙，有效防止了企业的短信接口被多个轰炸平台攻击、网站后台被暴力破解、用户数据被泄露。

目前，瑞数信息已推出多款解决方案如：动态WAF、APP动态安全、API安全管控平台、Botgate机器人防火墙，分别对web、APP、H5、API、小程序等应用提供全面的主动防护能力，有效防护自动化攻击、业务欺诈、数据泄露等安全问题；同时，通过业务威胁感知系统，则能实时发现外部入侵、内部窃密与业务舞弊等数据及业务威胁行为。

据吴剑刚介绍，由于新零售带来了APP、H5、小程序、API等多种业务介入渠道，为了满足零售企业在任何场景下的应用安全防护，瑞数信息已将多种渠道融合在一起，推出了“动态应用安全超融合平台”全新解决方案，即一站式WAAP解决方案，支持WAF、Bots管理、API防护及应用层DDoS安全模块的独立或联合部署，让企业轻松实现应用安全一体化防御。

从技术上看，瑞数信息的“动态应用安全超融合平台”解决方案，不仅包含了动态防护技术，还有业务感知的产品模块，覆盖了OWASP提出的21种自动化威胁，以及结合企业实际业务的多种模型，能够将企业全渠道的数据融合，将一个渠道的异常行为关联到所有渠道，进行有效联防。对于企业而言，一个平台、一个入口即可完成全面防护，在安全管理和运营上非常方便。

据了解，目前业内能够对全渠道进行覆盖防护的安全产品很少，大多风控产品还集中在APP等单一的渠道防护中。但对于早已全渠道化的零售业务而言，单一防护的价值并不大。

之所以瑞数信息能够做到全渠道的防护，很重要的原因在于，瑞数信息从成立起就以自动化攻击防护为核心，接触到了多种黑产对抗模式，积累了大量的对抗技术和经验。

据吴剑刚介绍，与其他厂商集中在金融、电商等某个细分领域不同的是，瑞数信息在运营商、金融、零售、政府等多个行业与黑产对抗，在技术层面有很深的积累。相较于零售行业，还有很多行业的黑产投入更加巨大，攻击手段也更加新颖，在与黑产的持续对抗中，瑞数信息能够将最新的技术赋能给零售行业。

结语

在新零售的数字化浪潮中，零售企业必须面对愈加复杂的网络环境、不断增多的应用和层出不穷的攻击手段，与黑产进行持续升级的对抗。瑞数信息以动态安全+AI的核心技术，为零售企业提供可持续的业务安全和数据安全防护，从容应对瞬息万变的安全威胁和挑战。