0 知乎上曾经有一个很有趣的问题。 黑客为什么不攻击淘宝? 这个问题有趣就有趣在,这是典型的外行思维,看似很有道理,但其实问都问错了。 正确的问题是,黑客到底有哪天不在攻击淘宝? 答案是,0. 每时每刻,黑客都在攻击淘宝。 每年的双十一,阿里都在同时抵御最大的流量攻击以及各路黑产从各个角度发起的漏洞攻击。 那一整个月,整个线报群和黑产圈,都在沸腾,能从阿里手上咬到肉,是一种荣耀。 单拿2019年双十一来讲,2684亿交易额背后,是全天22亿次的黑产攻击。 你没看错,24小时,22亿次。 单就下午13点,推出的2万瓶茅台,瞬间的订单数是80万,其中至少三分之一是机刷羊毛党。 阿里很头疼,但不能退。 身后是商家和用户的利益,因为阿里就是互联网基础设施本身,无路可退。 此时此刻,非我莫属。 负重前进,砥砺前行。 这就是阿里的大安全体系,从来没有考虑过失败,因而也没有怎么显过名声。 因为最好的安全体系,是最不出名的。 1 做互联网企业是一件非常辛苦的事情。 不仅仅是所谓的产品设计,营收,利润,现金流; 也不只是所谓的用户运营,活动策划,市场更新; 更重要的是不能犯错。 辛辛苦苦一年下来,一旦出现漏洞或者业务风险,一整年下来等于白干。 白干都算好的,很多公司弄不好就直接完蛋了,因为风控漏洞直接被干掉的公司多不胜数。 存量年代比的不是谁吃的多,而是谁错的少。 而掌握了技术的羊毛党和黑客们,同样睁着血红的眼睛,等着从失误的企业手中抢下一块肉来吃。 每年的促销节,每一个活动,都是他们的狂欢。 当然,公司老板也不傻,也在重视风险管理,毕竟钱袋子的事情嘛。 实际上风险管理已经成为了各大公司的核心命门,这点从风控从业者水涨船高的待遇就可以看出来。 但很可惜的是,钱虽然可以解决大多数问题,但是不能解决所有问题。 而风险管理属于典型的花钱也没法速成的事情。 很多人认为招几个风控大牛就能解决问题,实际上是很难的,顶多做到改善。 为什么? 因为所谓的风控只是表象,背后是一整套的安全体系。 对于整体安全架构这座巨大的冰山来说,风控只是水面上露出的一个尖角。 这就像一家饭店想要生意做得好,应该是从蔬菜采购,成本控制,食材处理,厨师调味,上菜流转,乃至营销手段全面开花。 风控顶多算是炒菜技术,只是酒店管理体系的一小部分。 你单纯一个逆天的厨师,剩下所有人都拉胯,你开上天也就是一个网红苍蝇馆子。 数字时代真正重要的,是安全架构,是安全架构,是安全架构。 2 完整的数字安全架构,是什么? 在阿里巴巴,对于整个数字安全架构,划分了3层。 安全运营层,安全基建层,安全技术层。 目前业内大部分所谓的【风控】,其实本质上只是风控系统的使用者,落在了安全运营层。 不管是风控策略,还是执行,还是数据分析,做的都是影响业务。 合规也好,防羊毛也好,反欺诈也好,业务合规也好,都是在服务业务,本质上都是业务运营分范畴。 那问题来了,风控人员如何影响业务? 并不是靠嘴和报告的,而是需要具体的工具。 假如一个风控想要对某个大促活动中的特定人群进行限制,不让他们领券或者不给他们发货。 那就需要一个能够配置相关规则的开关,不管是手动点击也好,还是写代码也好,要让机器知道你想让他做什么。 这个与系统沟通的工具,就是决策引擎。 一个根植于业务流中的决策引擎,是安全运营层的核心。 决策引擎是怎么发挥作用的? 随便举个例子,数据瞎编的。 很简单,风控通过分析,发现注册年龄是18岁的,提交的身份证归属地为海南,男性用户,近期出现了大量的刷单行为。 那就在决策引擎中配置相关的策略集,其中一条规则为: 年龄=18, 身份证前六位=XXXXXX, 身份证倒数第二位为13579, 则,设置处置规则。 禁止领券/发货。 这要求业务的每一个节点,都要调用这个决策引擎,从而决定是否走下一步。