首页科学探索从电商到产业数字化,安全风控如何从守夜人变成建设者?
47340

从电商到产业数字化,安全风控如何从守夜人变成建设者?

我要新鲜事2023-05-14 04:27:270

安全科技行业掀开新篇章。

在科幻小说《三体》中,“黑暗森林”是一个令很多读者着迷的设定:

在浩瀚的宇宙中,文明与文明之间互相猜疑。一旦有文明暴露了自己的坐标,就可能招致其他文明的毁灭打击。

在网络世界中,类似的故事也在不断上演。在一个庞大系统中,哪怕是极为微小的漏洞,都可能成为黑客攻击的对象。

特别是在当下的产业互联网时代,一场突如其来的攻击,就可能令一家企业蒙受巨大损失,乃至破产。

在互联网的黑暗森林之中,安全科技能力构成了企业的最后一道防线。在科技互联网存在的第一天起,安全从业者与黑产之间的对抗伴随始终,直至今日仍未终结。

“前事之不忘,后事之师。”

——《战国策·赵策一》

2004年末,冯小刚的贺岁片《天下无贼》上映。当时的影评人这样评价这部电影——《天下无贼》讲了一个“完全不可能”的故事,但冯小刚用它的叙事智慧将不可能化为可能。

今天的网购达人们可能无法想象,在2004年,网购也曾因安全问题,被许多人视作是一个“完全不可能”的故事。也正是这一年,支付宝上线。几个月后的2005年2月,支付宝拍摄了第一支广告片,借用《天下无贼》的经典桥段,喊出了“支付宝,让天下无贼”的口号,以及一个持续至今的承诺——“你敢付,我敢赔”。

“你敢付,我敢赔”的口号,让支付宝迅速获得了用户的信任。“敢赔”底气的背后,是支付宝复杂的安全风控策略。在每一笔交易背后,支付宝都在与黑产进行着一场场“隐秘的战争”。

早年,支付宝采取基于人工规则的安全策略——根据黑产的常见特征,支付宝总结出了若干规则,维度涉及设备信息、IP、账户行为等等,黑产账户触发规则后就会被阻止。“前事不忘,后事之师。”几乎每一条规则,都是用经验与教训换来的。

随着支付宝业务的不断增长,这些安全规则的数量也在急剧增加,人工添加规则的策略已经跟不上支付宝的成长速度。为此,支付宝在2016年引入了AI风控引擎AlphaRisk,开始通过AI训练安全模型,继续完善自身的安全策略。目前支付宝的资损率已经低至亿分之一,实现业界领先。

不过,我们所处的时代,也在悄然发生着变化。也许,2005年拍摄支付宝《天下无贼》广告片的导演都想不到,当年广告片里的台词“没现金,也没卡,钱都网上付了”,会在十几年后的今天成为现实。

不过,我们也不得不面对新的现实——数字化在消解一部分风险的同时,也带来了新的风险。

2018年,中国人民公安大学发布了一项研究结果,随着社会治安的改善与移动支付的普及,传统的盗窃、诈骗、抢劫、抢夺等侵犯财产犯罪逐步减少,但非接触性的、通过或发生在电信网络空间的侵犯财产犯罪却在逐步增加。

隐藏在网络空间的敌人,不仅将黑手伸向了个人,还在窥伺更具攻击价值的企业、社会组织甚至国家政府。伴随着数字化浪潮的不断深入,这种攻击行为也愈演愈烈。

2014年的打车软件大战,各打车 app 通过烧钱式补贴来抢占市场。专业刷单黑产开始行动,他们注册成为乘客,为网约车司机刷单。曾有新闻爆出某男子利用8部手机,诈骗打车平台4万余元。

2019年,某电商平台称黑灰产团伙通过一个过期的优惠券漏洞大量盗取优惠券,涉案总金额达数千万元。

2021年,多名大学生利用某知名连锁快餐品牌系统漏洞获得优惠券,致品牌方损失20余万元,当事人因此获刑。

曾几何时,针对黑产的风控能力,是少数电商、金融企业的“秘密武器”。而现在,随着互联网的发展与数字化进程的推进,越来越多的企业、组织开始面临风控挑战。

“曾几何时,我们的对手依赖子弹和炸弹。而如今,一台笔记本电脑就可以成为敌人和恐怖分子的武器。

——2000年1月,时任美国总统克林顿的讲话

面对无处不在的敌人,风控专家们决定挺身而出。

这些在互联网时代成长起来的“守护者们”,开始不再将视野局限在自己企业内部的产品线。2014年,蚂蚁集团决定,在提升自身业务安全风控水平的同时,将自身的安全风控业务开放出来,对外服务更多企业。经过2年的产品孵化和在生态伙伴侧的试运营,2016年,安全风控商业化品牌“蚁盾”正式发布。

“起初,蚂蚁决定要把自己的安全风控能力对外输出,出于一个非常质朴的‘价值冲动’。我们在安全风控领域的专利数、在公众心中的安全形象,以及我们的安全能力都是领先的。我们希望能够用我们的安全能力帮助更多的企业。”蚂蚁集团数字科技事业群安全科技总经理廖群伟回忆。

但这个风控商业化团队刚刚走出支付宝体系,就遇到了不小的挑战。“起初,我们认为只要我们的产品、技术足够优秀,就一定能在市场上大卖。”廖群伟说,“但现实不是这样的。在商业、市场领域,蚂蚁要做好不同类型、不同规模客户的‘能力适配’,满足用户对性价比的要求。还要深入到客户的业务一线,发掘、解决客户的实际问题。”

这其中很典型的案例,莫过于2021年的“瓶盖战争”。

很多人也许都经历过“再来一瓶”的快乐。近些年,为了简化领奖流程,越来越多的饮料、啤酒厂商开始用瓶盖红包码替代“再来一瓶”——消费者购买并打开饮料后,只需要扫描瓶盖背后的二维码,就可以获得现金红包奖励。

然而,这种领奖方式却引来了黑产的窥视。他们从特殊渠道窃取二维码信息并生成二维码,再扫码兑换红包。等消费者买到饮料扫码时,红包早已被黑产“捷足先登”。

2021年,某饮料厂商就遭遇了黑产的攻击。在接到求助后,蚁盾团队立刻打响了对黑产的反击战。

蚁盾团队面临的挑战是,如何判别手机那一端扫码的人,究竟是黑产还是普通消费者。而区分二者的关键是——普通消费者扫描的是瓶盖上的二维码;黑产则直接将生成的二维码显示在屏幕上,再用手机扫描。

蚁盾团队最初抓取出异常二维码的关键图像特征:由于显示器的物理特征,屏摄画面往往会出现大量摩尔纹,可以借此识别出屏摄画面,拒绝扫码识别。

与此同时,算法专家开始研究正常瓶盖的二维码图像,并利用AI分析其图像特征。在采集了超过3000个真实瓶盖样本,及1.2万个黑产群内的攻击二维码样本后,安全专家们建立了针对瓶盖二维码的AI识别模型,再借助多年攻防经验构建出一套完整的风控策略体系。接入这套在线防控服务后,该饮料厂商的客户投诉几乎下降为0。

当黑产发现屏幕二维码的漏洞被封堵后,开始“修炼内功”,先后祭出了打印纸质二维码、将二维码贴在瓶盖上等手法,并最终演进到了使用PS伪造瓶盖二维码。

每一次的变种攻击手段都被迅速封堵,黑产和蚂蚁的风控团队就这样持续而长久地升级着各自的攻防手段。防控能够持续成功的关键是,蚁盾团队引入了无监督异常检测算法,使得AI视觉反欺诈模型形成了迭代的闭环,在持续一年的攻防中其经历了100多次迭代,而能够维持在99.3%以上的准确率。

短短几个月时间,在小小的瓶盖之上,黑产与蚂蚁的安全工程师们几乎复制了蚂蚁安全科技从成立至今的发展历程。从简单的规则判断,到AI模型,再到基于主动风险探测的风控体系自进化,胜负的天平最终倾向了正义一端。

在这场螺旋式上升的对抗中,现实远比想象来的更加艰难。这是一场“魔高一尺,道高一尺一;魔高一尺二,道高一尺三”的无尽之战。

“这就是技术的意义所在:它一边创造对不朽的渴望,一边威胁着毁灭世界。”

——美国作家 唐·德里罗 《白噪音》

然而,“道”不可能永远走在“魔”的前面。总会有一些时刻,拿到新“法宝”的“魔”会突然超过“道”的脚步。整个行业也会因此进入至暗时刻。

在安全领域,上一次的“至暗时刻”发生在2017年。在海外网络论坛Reddit上,一位ID为“deepfakes”的用户发布了多条以假乱真的“换脸”色情视频,并同时发布了用于制造换脸视频的Fakeapp。这些借助AI技术制作的换脸视频被称为“DeepFake视频”,并很快充斥网络。

DeepFake的出现,在给安全科技领域拉响警报的同时,也为行业提供了新的工具。从技术本质上,DeepFake本身其实也是安全科技的产物。这项技术既可以成为黑产的工具,也可以成为安全科技的练兵场。

事实上,生成对抗网络已经成为安全科技领域的新方向。以往,蚁盾的安全风控人员需要花费大量时间收集攻击样本,强化AI模型。而现在,他们可以借助这项技术迅速生成大量攻击样本,大幅强化AI的防御能力。

更重要的是,这项技术给安全科技带来了新的可能,让安全风控可以从“事后”走向“事前”,“预判黑产的预判”。人们常说:“亡羊补牢,为时不晚”;但最好的安全投入,仍然是在“亡羊”之前,就能防患于未然。

从对抗中成长,这也是安全科技行业的特点。只有在真刀真枪的战斗中,安全从业者们才能不断成长。正如廖群伟所言:“蚁盾的风控能力是从蚂蚁集团自身业务中孵化出来的,经过了亿级用户体量的产品实践打磨。而这也是我们区别于其他友商的核心竞争力。”

“这不仅是对科技的信仰,而是对人有信心,相信人们大多是善良、聪明的。”

——苹果创始人史蒂夫·乔布斯

在服务外部客户的过程中,蚂蚁数字科技也在寻找安全科技的新方向。

过去,蚂蚁服务自身业务,帮助业务部门抵御黑产攻击;此后,蚂蚁将自身能力输出给外部客户,帮助其他企业提升数字化转型过程中的业务安全。在这一过程中,有一个核心能力没有改变——即通过智能算法和业务经验,对数据背后的风险进行分析刻画。

进入产业互联网时代后,产业协同也需要解决数字世界的信任问题。这给安全风控提出了新的挑战——我们能否利用核心的技术和能力,识别出企业的“信用度和经营能力”?

“企业是一个非常复杂的经营综合体,评判一家企业好坏,不能只看企业内部数据,还需要看外部情况,他的行业动态、上下游风险、舆情数据都可能成为我们的评价指标,不同规模的企业,数据类型就会不一样,我们需要用不同的建模方法。”廖群伟介绍。

产品和技术团队需要投入大量的时间和精力去学习行业经验和知识,将这些行业知识、规则融入AI模型中,形成可用的、可理解性的产业风控产品。目前,蚂蚁在金融、贸易、钢铁等行业与客户共建,形成了多个行业专属的产业风控平台。这些平台可以根据企业的经营数据、外部舆情等多个维度的4000余个指标,刻画企业的画像,评判企业的综合风险——某某企业是否经营正常?是否存在欺诈、倒闭的风险?根据他的经营状况和发展态势可以给出多少额度的授信?过去人工尽调、审批少则3天,多则1周,现在通过蚁盾自动化审批可以秒级完成,基于更智能的评估度量,企业在资损下降的前提下,授信总额度却有很大提升,业务发展得更快了。

这些服务的实现凝聚了蚂蚁的各项技术能力。蚂蚁需要极强的OCR(文字识别)与NLP(自然语言处理)能力,以识别、理解海量的企业信息,并结合图计算、多源数据融合计算平台将信息转化为风险指数。

在产业互联网时代,安全科技正在从“对抗黑产的利刃”,转型为“重塑信任的机器”。蓬勃生长的安全科技赛道,也开始成为产业数字化时代的加速器。蚂蚁的安全团队流传着一句话:“安全科技不仅是数字化发展的‘压舱石’,更是‘助燃剂’。”“压舱石”与“助燃剂”的比喻,蕴含着更深层次的隐喻——安全不仅仅是业务成长需要付出的“成本”,更是业务成长的助推者。

以往,企业用安全科技对抗黑客与黑产。而现在,企业可以利用这项工具,服务业务发展。以往,企业决策需要面临各种安全风险,如下游跑路、客户撤单、上游断供等等,如果企业能够提前识别出这些风险,就可以更加科学地决策,从而加速发展。

“人类精神必须置于科学技术之上。”

——爱因斯坦

当安全科技行业掀开新的篇章,每一个安全人都要思考一个新的命题——安全科技,究竟为了什么?

关于这个问题,我们可以给出很多个答案:为了守护社会的公平正义;为了企业的健康成长;为了每一个人的财产安全……

但在此之外,越来越多的安全从业者在思考更深层次的问题——我们的安全科技产品,是否可以公平地覆盖给每一个人?是否能让每一个人都能平等地从中受益?

2018年,蚂蚁开始在服务海外电子钱包时,迎来了新挑战。其身份认证服务需要面对更多不同人种、民族与文化信仰的客户。他们可能拥有不同的肤色,或是佩戴可能遮挡面部的宗教配饰。如果这些客户遭遇了服务障碍,不仅降低了服务体验,也可能引发舆论危机。为此,蚂蚁提出了针对多人种领域的对抗学习数据增强技术,形成了金融级的全人种无偏见方案,全人种识别平均通过率已超过99%。

秉持相同的设计理念,蚂蚁也针对视障人群开发出了新的“挥一挥”验证码解决方案,以替代常规的拖拽式行为验证码。视障人群只要在空中挥动手机,完成指定动作,就可以通过验证,无需他人辅助拖拽传统的行为验证码。

2021年,蚂蚁集团协助浙江省反诈联席办创建了全国首个基于区块链技术的“反诈联盟链”,通过链接多方的数据和风控能力,形成全链路的生态治理。截止2022年6月,反诈联盟链通过链上数据协同公安、人行、运营商等解决风险信息共享难题,处理预警数据240多万条,保护受害人资金账户1380次,拦截被骗资金1340万,安全共享黑灰数据达千万条。

这也与蚂蚁投身于产业风控赛道的价值观相似——“很多时候,蚂蚁一家能做的事情是很有限的。”廖群伟说,“但携手更多合作伙伴,我们就能一起做更多的事。”

从事后增强到事前防御,从单打独斗到生态共建,从金融、电商到传统工业制造,从十余年前守护国人的钱袋子,到参与一带一路电子支付发展,再到助力企业间的协作互信、推动产业互联网进程。安全科技从业者已不仅仅是互联网的守夜人,他们已经成为了数字化时代的建设者。

0000
评论列表
共(0)条