从“小程序下单”到“无人超市”,以人为本的新零售模式方兴未艾。近年来,众多传统零售商和互联网企业运用大数据、人工智能等先进技术手段,以场景化、客户体验感、线上线下融合带来了全新的消费方式变革,成为零售行业新的增长点。
但值得注意的是,新零售带来的业务模式变化,引发了大量的业务安全和数据安全问题,即使是互联网巨头也难逃黑客攻击。
•2019年1月,拼多多遭遇黑产团伙盗取优惠券,涉案总金额达数千万元。
•2020年1月,京东家电优惠券设置漏洞被恶意利用,羊毛党在极短的时间里,出现了24万笔低价订单,涉及商品金额7000万。
•成立于2018年的淘集集,自上线以来一直遭到黑客攻击,如服务器攻击瘫痪、恶意篡改平台规则、交易数据等,最终淘集集以宣告破产而收场。
国内多家知名电商被黑产“薅羊毛”、数据泄露等事件不胜枚举,引起了零售企业对于网络安全重要性的普遍关注。安全问题始终是悬在零售行业的一把利刃,到底该如何解决?
新零售企业面临两大挑战:业务安全和数据安全
随着疫情后整个社会的数字化转型加速,越来越多的零售企业将业务转向了线上。针对数字化零售业务,黑客攻击手段变得更加多样化、复杂化,企业面临的安全风险也呈几何倍数增长,一旦应用系统被攻破会给企业带来难以承受的损失。
瑞数信息技术总监吴剑刚认为,目前线上零售主要面临两大安全挑战:业务安全和数据安全。
在业务安全层面,零售企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。
例如:针对新用户注册的推广活动,商家会提供送券、送积分、送红包等优惠活动,引来了大量的“薅羊毛党”。在中国,专门靠薅羊毛为生的人就有几百万,从搜集优惠信息、购买账号、销售工具、实施攻击到倒卖、分赃,薅羊毛已形成了分工细致的成熟黑灰产。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,因此会给企业造成巨大损失,是企业最为关注的业务安全问题之一。
在数据安全层面,随着数据价值提升,黑客越来越多将攻击目标转向企业的业务数据和用户数据。最为常见的攻击的是在同业竞争中,爬取对手商家的产品价格、促销活动等恶意行为。
例如:有的商家会利用黑产工具,爬取对手商家在各大电商平台同类型商品的ID、标题、价格、销量、数量、优惠活动等,进行同业恶意竞争;有的黑产人员会利用爬虫、转链、上货等工具进行无货源倒卖,即自己的店铺并无货源,其货源信息全部来自其他店铺,当用户在自己店铺下单时,再利用软件去对应的店铺下单,赚取商品差价。
攻击手段不断升级,新零售企业如何应对?
随着新零售行业的繁荣发展,在巨大的利益诱惑下,黑产的技术手段和攻击水平有着很大的提升,对零售企业的安全防护技术要求也越来越高。
在瑞数信息技术总监吴剑刚看来,撞库、暴力爆破、短信轰炸、中间人攻击等已成为常见的攻击手段,但在此基础上,攻击者为了绕过传统的防护手段,仍在不断升级攻击方式,最显著的特征就是“拟人化”。
“在促销抢购页面中,真实用户可能会停留3秒钟,输入一些信息,产生键盘鼠标事件或手机触屏事件,或通过真实的手机设备进行账号验证等。而‘拟人化’的攻击手段会模仿真人行为,比如用真实的设备通过群控模式进行批量操作,无论是设备、IP、账号还是行为,看起来就和真人一样。”吴剑刚解释道。
正所谓“魔高一尺,道高一丈”,攻防双方的对抗永不停歇。针对层层演进的攻击手段,防护思路和技术也在相应升级,据吴剑刚介绍,目前业内对抗黑产的思路主要有两种:
一是人机识别技术。识别对方设备是否为真机,由于真机的攻击成本远高于虚拟机/模拟器攻击,倒逼攻击者大量使用真机,会提高攻击者的成本,当攻击成本过高时黑产就会放弃攻击。
二是行为分析技术。识别用户行为是否为异常操作,比如一批账号密码在同一时间段登陆;一个手机永远在一个GPS位置不动;一个人第一次操作是在北京,但是20分钟之后变成了上海,都属于异常行为。
在此基础上,企业还可以加上威胁情报技术,对关联风险和攻击团伙进行挖掘,对攻击行为进行风险预警、实时阻断和溯源。
无论采用哪种防护技术,基本思路都在于提高攻击成本,让攻击者难以获得更多利益从而放弃攻击。吴剑刚建议,在采用多种技术的同时,也需要关注防护成本和用户体验,结合零售企业自身业务需求和安全预算来进行规划。
动态安全技术,为零售企业的业务和数据保驾护航
尽管业内对于业务安全的防护思路已逐渐明晰,但如何将有效防护落到实地,充分考验着零售企业和安全厂商的实践能力。
在传统的安全解决方案中,基于规则或特征的防护有很大的局限性,基本上无法识别和抵御来自黑产的自动化攻击、拟人化攻击,也就难以解决零售业中普遍存在的“薅羊毛”、交易篡改、刷单等业务痛点。
随着新零售从线下走到线上,从网站走向APP、H5、微信小程序等多渠道,如何保证全渠道的业务安全和数据安全,也成为零售企业新的难题。
与传统安全厂商不同的是,瑞数信息的动态安全理念,以独有的动态安全+AI技术,能够有效防御自动化攻击,为零售企业内外网的各种应用提供主动防护。
其核心理念在于,不再受制于复杂的攻击特征与行为规则,而是通过更变化多端且难以捉摸的动态安全机制迷惑攻击者,提升攻击门槛,增强对抗能力,在攻防格局中处于主动位置。同时,通过全链路的智能行为追踪,实现实时的安全预警及安全联防,进一步缩短攻击响应时间。
对此,吴剑刚举了一个例子:在某零售企业发起的线上活动中,用户每天跑步5公里,累计跑满5天,即可获得500M手机流量,折合人民币约50元。原本活动计划持续1个月,但上线刚一周时间,这家企业就遭受了严重打击。原来在一周注册的800万账号中,至少有一半是黑产账号,“薅羊毛”导致该企业损失高达上亿元。
在瑞数信息的助力下,通过人机识别、行为分析等手段,该企业很快发现了大量异常账号,比如:一个设备指纹上有二三十个账号,一大批设备和账户的定位在河里等。同时,瑞数信息通过用户访问数据,对异常行为进行建模,关联出背后的黑客团伙,从而将整个黑客账号体系梳理出来,并交给企业进行批量阻断,最终既让企业避免了损失,也没有给正常用户造成影响。
类似的例子不胜枚举,在某大型零售集团中,采用瑞数信息的动态防护体系仅一个月内,就监测到超过30万异常账号。在某跨国零售企业中,瑞数信息的动态安全Botgate机器人防火墙,有效防止了企业的短信接口被多个轰炸平台攻击、网站后台被暴力破解、用户数据被泄露。
目前,瑞数信息已推出多款解决方案如:动态WAF、APP动态安全、API安全管控平台、Botgate机器人防火墙,分别对web、APP、H5、API、小程序等应用提供全面的主动防护能力,有效防护自动化攻击、业务欺诈、数据泄露等安全问题;同时,通过业务威胁感知系统,则能实时发现外部入侵、内部窃密与业务舞弊等数据及业务威胁行为。
据吴剑刚介绍,由于新零售带来了APP、H5、小程序、API等多种业务介入渠道,为了满足零售企业在任何场景下的应用安全防护,瑞数信息已将多种渠道融合在一起,推出了“动态应用安全超融合平台”全新解决方案,即一站式WAAP解决方案,支持WAF、Bots管理、API防护及应用层DDoS安全模块的独立或联合部署,让企业轻松实现应用安全一体化防御。
从技术上看,瑞数信息的“动态应用安全超融合平台”解决方案,不仅包含了动态防护技术,还有业务感知的产品模块,覆盖了OWASP提出的21种自动化威胁,以及结合企业实际业务的多种模型,能够将企业全渠道的数据融合,将一个渠道的异常行为关联到所有渠道,进行有效联防。对于企业而言,一个平台、一个入口即可完成全面防护,在安全管理和运营上非常方便。
据了解,目前业内能够对全渠道进行覆盖防护的安全产品很少,大多风控产品还集中在APP等单一的渠道防护中。但对于早已全渠道化的零售业务而言,单一防护的价值并不大。
之所以瑞数信息能够做到全渠道的防护,很重要的原因在于,瑞数信息从成立起就以自动化攻击防护为核心,接触到了多种黑产对抗模式,积累了大量的对抗技术和经验。
据吴剑刚介绍,与其他厂商集中在金融、电商等某个细分领域不同的是,瑞数信息在运营商、金融、零售、政府等多个行业与黑产对抗,在技术层面有很深的积累。相较于零售行业,还有很多行业的黑产投入更加巨大,攻击手段也更加新颖,在与黑产的持续对抗中,瑞数信息能够将最新的技术赋能给零售行业。
结语
在新零售的数字化浪潮中,零售企业必须面对愈加复杂的网络环境、不断增多的应用和层出不穷的攻击手段,与黑产进行持续升级的对抗。瑞数信息以动态安全+AI的核心技术,为零售企业提供可持续的业务安全和数据安全防护,从容应对瞬息万变的安全威胁和挑战。