业务安全的Red Team

  甲方安全建设是守城站,保护目标在城内,主战场却在城前,加高加厚城墙,设关卡,挖壕沟,出入关口盘查,层层布控,这是安全建设的日常,也是本职,电商业务安全的假想敌是羊毛党和刷子,虽然他们时时刻刻盯着城墙裂缝,但强攻城墙的成本太大,纵观已发生的损失金额巨大的被薅事件,大多是防守方失误或活动配卷差错导致的,相当于城门大开和护卫无能,想以红队的思路进行业务安全攻防,本质上测试城墙坚硬程度,而真正的攻击者是探测城门和守将,战场是错峰的,内部要探测城门和守将,通过巡检或制度是最合适的方法,通过业务安全红队模式的性价比是极低的。(2019.11.8)

  回头想,Red Team模式只能做业务安全极小的一块,体系化的建设其实可以参考应急响应的架构,走事前、事中、事后的模式:

  • 事前:活动评审、优惠卷与作用类目成本计算、无门槛劵的流程管控;
  • 事中:走Red Team模式,巡检、舆情监控;
  • 事后:业务、安全、仓储、商管一体化的应急响应方案制定与演习。

  电商业务安全也可以通过体系化的建设提升安全水位。(2020.01.21)

安全与业务视角的差异

  有热度为D的某商品1000件,成本价2000,标价2600,做清库存活动,生成 2600 - 650 优惠卷,仅限新人。结果被众包刷单,全部刷走。

  安全视角:活动被众包刷单,新用户价值为0,商品成本价2000,卷后实际支付1950,活动大致损失为:(2000-1950) * 1000 = 50000 ,加仓储、快递成本,本次活动损失5W+

  业务视角:热度为D的滞销品,根据交易公式计算,标价浮动范围为:0.97 - 1.1
库存尾单,仓储成本每件每月1元,拉新成本30元一位,活动大致收益为:(1950-2000*0.97+30+1)*1000 = 41000,拉新、促活、增加GMV,本次活动收益4W+

  安全和业务间有一条鸿沟,这是部门特性决定的,安全很难了解业务或活动机制,只需要关心其「安全性」即可,业务不懂安全,只需其有「兜底」能力即可。

战术与打法

  能否以Red Team的方式,重新审视业务和安全工作,以安全的视角赋能业务,以业务的视角回补安全呢?私以为可行:

  • 安全赋能业务:用风控结果(优劣质用户、信用分)对用户做分层,田忌赛马,高分用户开展租赁、秒退货等提升用户体验,中分推卷促活,低分用户去库存;
  • 业务视角回补安全:针对羊毛党群体做活动投放,压低库存,用高热度产品,论坛投放,或者隐藏投放,正常用户无感知,吸引羊毛党群体,用钓鱼/蜜罐的方式(类安全众测)训练/提升风控策略。