唯品会高级安全产品经理刘新永为大家带来了风控产品与产品风控的话题讨论,他承接去年议题结论“不战而屈人之兵的防御思路”,继续深入探讨风控系统和业务系统的配合支撑关系,通过一两个案例分析,重点分享唯品会的特色电商风控实践——产品风控。
会上,刘新永为大家解释了什么是产品风控,产品逻辑本身应该具备严谨性和健壮性,实现业务与安全的平衡,从而达到避免或降低业务风险的风控目标。在开展产品风控时,必须要建立起安全完备的管理流程,在风险评估时,要遵循三大原则:业务和安全的平衡;我们不可能完全消除风险,要做到风险可控;最后非常重要的一点是一定要预备降级措施。
他还阐释了产品风控当中有两个核心的工作,并把这两个工作总结为一个中心两个基本点。所谓的一个中心指的是账户体系,如果它出了问题,搭建风控安全体系会非常困难;两个基本点指的是账户体系的登录和注册两个流程,它们的安全水平直接决定了业务的质量。
此外,他还特别提到,我们要关注公司的战略走向,当战略执行落地的时候,我们就可以从容面对新的挑战。
2021-08-08 13:00:41
2.07MB
京东资深研发工程师寿如阳为大家分享了京东广告数据部在反刷单系统上的实践心得。刷单是存在于各电商和O2O平台的顽疾。通过刷单骗取消费者对商品品牌的认知度,严重影响了用户体验。同时刷单使业绩数据失真,进而误导商业决策。刷单对于电商生态弊大于利,因此需要积极管控。刷单对商家的利益点使其快速发展,逐渐走向规模化、市场化、产业化,成为营销和牟利兼具的手段。
在对抗刷单行为时,寿如阳分享了京东的虚假交易识别系统,并提出打造系统时要注重这样五个方面:第一,系统是高可用、可扩张和低延迟,适应电商平台经常做活动的特点;第二,系统要适应多种业务类型,每个业务的数据类型都不一样,时效性也不一样;第三,系统要具备可复现性,以解决业务上的需求和争端的调解;第四,系统要可扩展,算法要灵活,适应频繁变化的策略;第五,要做到下游服务定制化,对刷单者有威慑。
反刷单的需求与挑战
系统架构设计实践
2021-08-08 13:00:40
2.22MB
业务安全的现状
互联网巨头在安全方面的投入
传统风控技术的局限性
新实践
全景式业务安全风控体系
风控知识共享的三个层次
知识共享的关键是迁移学习
深度学习 + 迁移学习
迁移学习的主要方法
迁移学习的一个简单例子
真实案例:顶象无感验证
克隆防御的最佳实践
2021-08-08 09:00:17
1.16MB
议题概要:
站在企业CEO们最关心的商业风险的角度,他认为面对新威胁,企业更重要的是发掘入侵事件,而不仅仅只是停留在发现攻击企图,他提出企业应该基于业务实现安全,而不是孤立地就安全做安全,给我们带来了关于企业业务安全的很多新的思考方向。
2021-08-07 18:00:59
1.62MB
安全防护重点的演进
非典型业务安全
基础安全 vs 业务安全
业务安全都在哪儿落地
业务安全对WAF的需求
下一代WAF的业务安全尝试
2021-08-07 18:00:36
823KB
介绍
企业级安全测试进化史
漏洞类型vs业务场景
基于漏洞类型的安全测试
基于业务场景的安全测试
业务场景测试流程
业务流程梳理及业务风险梳理
根据业务流程划分若干业务场景
确定重点业务场景及业务风险点
基于业务场景,流程,业务风险点执行安全测试
业务场景测试要点
从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。
业务场景测试重点关注对象。
原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。
测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断
2021-08-07 14:00:51
2.21MB
互联网数据泄漏事件每天都在上演,拖库撞库、数据泄漏等事件层出不穷,造成资金盗用、账户勒索等严重后果逐渐暴露,直接威胁大量互联网业务系统安全。账号安全是业务系统第一道防火墙,围绕账号安全的攻防之间诞生了验证码、双因素认证、生物识别等一系列技术。但面对黑产群体——高投入高度专业定制化对抗的神器利器层出不穷,导致账号安全防护体系整体形势不容乐观。通付盾通过多年技术积累,依托于自有的12亿+的海量网络设备指纹库,结合大数据分析引擎、机器自学习、虚假地址甄别等技术倾心打造了最切合客户业务的立体防御方案。通过对谛听(真假身份识别系统)技术实现细则介绍来给大家带来一场技术干货。全面介绍防撞库、防盗号等账号安全立体防护方面的新探索
典型案例分析
账号安全现状
防护技术发展
总结
2021-08-07 14:00:49
4.41MB
随着近两年的创业热,成千上万家创业公司如雨后春笋般涌现,其中牵扯到支付的更多之又多。2015年11月的“快操盘”事件一夜之间让该公司损失上千万,那么决定创业公司命脉的支付系统面对技术水平参差不齐的团队又是怎样一番景象?议题将对多个实际漏洞细致解析,对创业公司最容易出现安全漏洞的支付环节进行树立,并从创业公司角度提出一个基本的支付安全规范模型。
常见支付路径对比
支付场景和入口多样
支付应用常见安全风险
支付安全是如何影响一家企业的?
“快操盘”事件
基础设施安全
初型创业公司安全通病
一个常见的支付流程能出多大的安全问题?
常见支付流程图
零号线支付系统源码泄漏
某洗衣O2O APP充值漏洞
某音乐网站支付漏洞
常见安全风险点
常见风险点 - total_fee
常见风险点 - seller_account_name
常见风险点 - notify_url
使用MD5签名可能造成的风险
风险规避
低风险支付模型
2021-08-07 14:00:48
16.41MB
风控是什么?
大数据
大数据下的 风控
大数据下的 风控模式
微数据风控
微数据风控 (数据采集)
微数据风控 (实时计算)
微数据风控 (内存计算)
微数据风控 (变量体系)
微数据风控 (规则引擎)
微数据风控 (溯源)
2021-08-07 14:00:45
1.3MB