积淀6年,「蚂蚁终端安全立体防区」三层技术架构首度揭秘( 二 )


第二个阶段 , 探索端云协同阶段 。 端云协同是在EdgeComputing(边缘计算)思想的影响下 , 利用端云各自的优势在安全风控上的一个创新 , 整体来看也经历几个阶段的发展 。
1.端云协同的第一阶段 , 探索的依然是安全与体验的平衡问题 。 为了保障业务安全 , 在云端的计算消耗大量计算资源 , 通常和业务规模和复杂度成正比 。 但典型的在互联网尤其是电商行业的大促活动中 , 网络流量会出现爆发式的增长 , 根据日常流量设计的机器容量和防控策略在面对流量爆发有两种选择 , 直接放过 , 或增加机器以应对流量洪峰 。 由于大促周期通常不长 , 后一种策略会产生极大的资源浪费 。
今年是天猫双十一大促的第14年 。 前些年我们也碰到过这种问题 , 到了2016年 , 我们开始探索将云端的部分计算下放到端上 。 我们的一个发现是 , 终端计算能力基本上可以顶得上3年前的PC计算能力 。 然而 , 如果决策都下放到端上 , 信息的不对称性被打破 , 会增加防控难度 。 所以选择哪些计算、策略模型去下放 , 我们有一套非常严格的论证标准和端上防护体系保驾护航 。
2.端云协同的第二阶段 , 是随着小程序生态兴起而发展起来的 。 很多商户把小程序当成类似浏览器的展示平台 , 业务逻辑和数据在自己的服务器上 , 并不经过蚂蚁的云端风控系统 。 在这个背景下 , 我们开始在端上构建小程序的风险治理体系 , 来保障我们平台上的小程序安全 , 端云协同的联合风控模式开始出现 。
3.端云协同的第三阶段 , 是在近年来国家对数据隐私的管控升级背景下发展起来的 。 云端的风险治理 , 仅基于端内信息往往不足够 , 我们可以通过在端上构建一些模型 , 刻画用户行为;在数据并不出端的情况下 , 完成对风险的识别和治理 。
第三个阶段 , 推进终端可信阶段 。 APP搭载在终端 , 我们所能获取的权限以及所能看到的世界是非常狭隘的 。 终端在用户手里(当然也在黑产分子手里) , 黑产分子通过终端看到的视角比APP上多很多 , 可以通过定制硬件设备以及操作系统 , 获取的更为宽泛的权限和信息 , 可谓是“上帝视角” 。 因此整个防控过程当中 , 攻守方处于极度不平衡的状态 , 防控相对被动 , 被别人追着打 。 这个过程中 , 互联网风控唯一的优势 , 就是防控体系是在云端 , 会有信息不对称带来的优势 。
举几个简单的例子 , 移动安全领域常见的设备篡改、虚假设备使用比如像模拟器等 , 对于互联网厂商而言 , 如果通过大数据各种方式去识别这种风险 , 就非常被动 , 即使识别出 , 黑产会有各种各样的方式绕过你 。 然而对于设备认证以及真假设备识别 , 互联网厂商是有非常强劲的手段保证最原始的可信 。
再举一个例子 , 在基于LBS的业务防控中 , 比如说我们希望用户去商店扫一个码就会得到礼券 , 但如果无法正确获取到设备的位置 , 此类营销活动就会面临很大的冲击 。 目前设备位置的获取成为一个隐私问题 , 互联网公司面对这类风险很被动;反观设备厂商 , 在这一点上很容易实现 。 厂商可以不透传真实位置是什么 , 但是告诉APP这个位置的真实性是否被篡改过 。
我们把终端的安全能力做了比较大的抽象 , 通俗来讲 , 和终端厂商合作保证从终端发起的请求是「真实的用户 , 在真实的设备上 , 带着真实的目的 , 发出的真实请求」 。 对应的就是身份可信 , 设备可信 , 环境可信 , 请求可信 。 基本上实现了这几点 , 整个终端安全基础就得到了保障 。 有一大批风险都跟这几个可信相关 , 像黄牛通过技术手段对茅台抢购、演唱会抢票秒杀 , 本身可能是一个恶意的请求 , 即这个请求不是从终端设备发起的请求 , 而是通过脚本、接口直接调用 。