业务安全发展的三个阶段

 
业务风险的前世今生：源于 O2O，兴于互金
业务风险就是业务中产生的各类风险，主要是指不法分子利用业务规则漏洞和技术手段，进行薅羊毛、刷单炒信、数据爬取、账户盗用、信息冒用、盗卡盗刷、交易欺诈、虚假申贷等。
移动支付的出现，让随时随地的在线交易成为可能。2013 年，一大批 O2O 服务如雨后春笋般出现。为了拓新拉客占领用户手机，企业的推广红包、优惠券、免单券等 “羊毛” 越来越多，一部分人开始利用社群社区有组织、有计划的薅羊毛。在可观收益的吸引下，“薅羊毛能赚钱” 的理念迅速流行并扩散。
2014 年，大批互联网金融公司涌现，无门槛的加息券、返利券、现金和丰厚推广资金吸引了大批参与者，并创造出更多薅羊毛的方法和工具。也就是这一年开始，业务欺诈逐步呈现职业化、团伙化特征，并形成了信息倒卖、工具制作、攻击实施、商品转售的完整产业链条，业内称之为 “黑灰产”。
2017 年《网络安全法》的实施，进一步遏制了网络攻击行为。而随着企业的数字化转型，企业越来越多的关键业务的暴露在互联网中，利用业务欺诈进行牟利成为无数网络黑灰产团伙的重要手段。权威部门的一项统计显示：网络黑灰产从业人员就已超过 150 万，市场规模达千亿。IDC 认为，中国数字化转型及数字化原生企业将长期面临业务欺诈的严峻挑战。
IDC 中国 IT 安全市场研究经理赵卫京表示，“黑灰产的欺诈攻击已经覆盖了几乎所有业务场景，业务安全反欺诈已经成为全球各行各业企业级用户不容忽视的问题。面对每天频繁的业务交互，如何实时精准识别海量数据的真实性、合规性对于业务提供者来说尤为重要。”
各类风险事件不断爆发，市场需求在不断提升，推动业务安全不断创新发展。《IDC 创新者：中国业务安全之反欺诈技术，2019》认为，防范企业业务流程中出现的交易诈骗、网络诈骗、盗卡盗号等欺诈行为， 避免企业遭遇各类欺诈威胁或遭受经济损失，保障企业整体业务逻辑的顺畅，帮助企业降低成本，提升收益，进一步增强企业竞争力。
综合来看，业务安全的发展呈现三个阶段。
业务安全 1.0：策略
策略防护是业务安全 1.0 时代的特点，目前依旧被大部分企业采用。主要是基于业务规则、名单规则、行为规则等策略。
所谓业务规则，即业务设定的规则和条件，例如注册 48 小时才可以享受服务、新用户才能够享受优惠等等；名单规则即业务参与者的名单信息，包含风险 IP、恶意手机号、欺诈者名单、逾期名单等；行为规则即参与者从登录到交易结束的所有行为，包含进入平台、登录账号、比较选购、交易下单、完成支付等。
由于很多策略规则比较独立，这就导致兼容协同性弱，甚至出现了 “互相打架” 的情况。此外，很多策略是人为设置，主观局限性明显且灵活性不够，无法应对风险的快速变化。
业务安全 2.0：数据模型
基于数据模型做防控是业务安全 2.0 时代的特征，已经广泛应用于银行业。做为整体业务防护的大脑，模型不仅可以防御已知风险，更能够挖掘未知的威胁，帮助企业提前做好未雨绸缪。
模型是基于目标群体的大规模数据采样和数据分析，挖掘出某个实际问题或客观事物的现象本质及运行规律，利用抽象的概念分析存在问题或风险，计算推演出减轻、防范问题或风险的对策过程，并形成一套体系化的策略或规则集。
模型建设是一个复杂的工程，一般需要几个或十几个专业开发人员，耗费几个月乃至大半年才能够完成。由于人才、技术、成本等原因，大部分企业并不具备模型建设的能力。由此也催生出一批创新企业，通过新技术新服务，让模型建设和应用落地更加快捷。
业务安全 3.0：风控中台
自助化风控中台的出现，推动业务安全进入 3.0 时代。风控中台不仅提升了防控效果，更降低了建设和应用成本。
风控中台通过人工智能和大数据技术，将策略 + 系统 + 模型融形成标准化、模块化，实现数据对内的共享和对外服务的统一，打破 “烟囱式”、“项目制” 系统之间的集成和协作壁垒，提高服务重用率，降低前台业务的试错成本。使数据、规则、策略的实现共融共享和整体的联防联控，让策略、模型升级调优和配置更加灵活，帮助企业快速构建专属业务安全系统，有效防范已知和潜在未知风险，大幅降低部署建设成本，满足业务快速变化需求。
通过专业的业务安全体系，防范业务流程中出现的交易诈骗、网络诈骗、盗卡盗号等欺诈行为，避免企业遭遇各类欺诈威胁或遭受经济损失，保障企业整体业务逻辑的顺畅，帮助企业降低成本，提升运营效率和收益，推动行业的数字化转型。

来源：https://www.cnblogs.com/DXTECH/p/16377877.html
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

继续阅读请点击广告