守护品牌私域流量，零售企业如何打造更安全的小程序？

锦囊专家
2020-04-01
来源:

来源丨腾讯智慧零售

微信小程序诞生3年多以来，不断创造价值，成为零售商家发展在线业务的重点，同时也成为网络黑灰产业瞄准的对象。

3月10日，腾讯智慧零售战略合作部高级产品经理彭志、高级架构师陈柏文线上论剑“守护品牌私域流量”，剖析小程序业务安全态势，分享提高小程序风险防控免疫力的最新安全解决方案与一线实战经验，并探讨如何快速选择适合零售品牌的基础云服务，为零售企业支招。

黑灰产业链威胁小程序安全

线上交易蓬勃发展的同时，安全隐患也如影随形。

彭志分享到，今年春节期间，某商超企业在微信小程序与APP做促销回馈活动，原本计划回馈忠实顾客的1499元平价飞天茅台，大部分被黄牛党收入囊中，转手牟取暴利。此外，知名品牌小程序无法登陆、不法分子窃取消费者信息实施诈骗等新闻屡上热搜。

事实上，微信小程序自身的安全性和稳定性都非常高，但商家小程序与微信交互中API使用不恰当、第三方服务器存在数据泄漏、数据校验不严谨等原因，都可能带来安全风险。此外，许多商家在快速迭代小程序的同时疏于检测，也会造成隐患潜伏。

数据表明，80%的线上业务曾经遇到过安全攻击，30%存在重大bug，40%不具备防护能力。

当前网络黑灰产业有规模化、产业化的趋势。以“黄牛党”为例，不法分子并非单兵作战，而是形成了从软件开发、养号与账号分销，再到变现套利的产业链。各环节分工协作，倒卖商品，并在网上共享情报资源与安全漏洞信息。

受“黄牛党”“羊毛党”祸害最深的重灾区有优惠卡券、特价商品、新品发售、红包扣抵等，其中又以高档酒、名牌鞋服限量款等高价商品的抢购活动首当其冲。

腾讯公司级防护能力，

守护零售在线业务安全

为应对黑产的庞大体系与专业化操作，腾讯智慧零售基于腾讯在网络安全的长期实践，与零售商密切合作，运用大数据、AI技术手段开展安全攻防战，沉淀了丰富的实战经验。总结起来，可以从空间与时间两个维度守护小程序业务安全。

空间维度是指针对不同类型攻击和威胁，构建起覆盖边界防护、业务防护、数据防护的纵深防御体系。

彭志介绍了腾讯智慧零售小程序安全解决方案，如何从时间维度助力零售商家部署覆盖“事前、事中、事后”全生命周期的安全服务体系，并重点分享了“天御”营销风控能力。

事前感知

WeTest质量安全服务解决方案通过“性能测试、安全渗透、兼容性测试”等方面切入，把小程序安全风险最大限度地扼杀在摇篮之中。

性能测试：

对秒杀、闪购、下单、注册等典型业务场景，测试预期客流量、瓶颈节点，提供优化建议；

安全渗透：

在大规模促销前，模拟黑客攻击，洞察并解决系统层面和业务逻辑层面的安全漏洞，防止盗刷、数据泄露、业务数据篡改、木马植入等；

兼容性测试：

针对手机型号众多、操作系统版本各异、微信版本不一的情况，保证所有用户能正常使用小程序。

最佳实践：拉夏贝尔小程序商城安全渗透测试

智慧零售的客户阿夏贝尔是服装行业头部企业。在小程序商城上线之前，腾讯安全专家团队借助WeTest进行账号体系和交易体系的性能、兼容性以及安全性整个维度进行全面检查，探测系统安全程度和弱点，挖掘业务系统和Web服务器存在的安全漏洞和风险隐患，并快速修复漏洞，确保小程序运行的安全。并以此为契机，帮助其构建整个安全和质量体系。

事中防御

腾讯云网站管家、WAF（web应用防火墙）、智能CC防护等工具形成强大的Web业务安全防护能力，在容易引发卡顿的高并发抢购和营销活动中，可以启动漏洞应急管理，过滤恶意流量和黑产账户，保障小程序页面正常访问、优惠福利正常发放。

其中，腾讯云网站管家可甄别Bot流量（即机器人流量），区分假人假机、假人真机、真人真机等不同类别并予以有针对性的管理，过滤爬虫和垃圾访问。WAF的AI引擎使用多种深度学习模型和算法策略，可有效进行异常检测和威胁识别，结合IP威胁情报数据，最终拦截Web攻击行为。

最佳实践：家乐福电商平台保卫战

家乐福线上商城在2019年曾深受黑产攻击之害，累计遭受攻击次数超过1亿次，峰值瞬间流量达1万兆，直接导致系统接口崩溃。

618活动期间，家乐福主要面临如下安全挑战：短信接口被黑客滥用，费用剧增；持续性的CC攻击，导致平台访问缓慢；活动新上券被羊毛党瞬间薅走。

腾讯安全专家利用WAF等方案为其构建三层防御体系，清除恶意流量，精准定位优质客户，最终为家乐福节省短信成本费用数百万元，平台无访问异常，保障营销资金正常合理使用。

天御营销风控

腾讯云“天御”是应对“羊毛党”与网络欺诈的利器，在和各大电商平台的联合防护中，使“羊毛党”的成功几率大幅下降。

腾讯安全团队发现，“羊毛党”更多地使用“真人真机”故意刷量抢夺营销资源，单纯从行为判断，无法把这种行为与正常访问相区别。“天御”可以通过时间、账号、IP三个维度判断行为者何时、何人、何处发起请求，在200毫秒内给出实时精准判断。

腾讯具有国内最强大的黑产大数据，以及微信生态维护的主场优势。“天御”对黑产的精准打击，很大程度上归功于腾讯多年积累的黑产ID行为数据库，通过它掌握着黑产不法行为的“黑历史”“黑档案”，对相关ID的行为进行精准判断。

最佳实践：沃尔玛到家小程序多方位安全保障

2019年，沃尔玛小程序使用“天御”构建风控体系。针对优惠卡券和特价商品两类使用场景，在领券和成交链路进行风险控制。

“天御”能根据访问请求行为，对账号进行区分，有针对性地设置优惠卡券的领取门槛：对无风险账号不作限制；对可疑账号调低购买与奖励额度，或要求实名验证；对高风险账号拒绝发放奖励。

截止目前，“天御”为沃尔玛小程序筛掉100多万“羊毛党”，节约营销资金近千万元。

选择适合零售的基础云服务，

实现降本增效

陈柏文在交流中分析了零售商选择适合自身发展的基础云服务的重要性，详细解读了腾讯云全矩阵基础云服务产品，并为自动应对业务突发问题提出建议。

相较于传统IDC，使用云服务能化解商家规划网络资源时节省成本与保障业务峰值的矛盾。云服务提供类似租用酒店的服务，商家只需按常量来规划网络资源，当业务访问超出常量时，按业务量付费即可。

数据中心分布广，网络服务覆盖强，是选择云服务时必须重视的基本标准，也是考量云服务商实力的硬核指标：

腾讯云在全球开放25个地理区域，运营53个可用区，其中中国有34个可用区，分布于10个地理区域，广泛的覆盖保证了客户的更多选择，以便将业务部署到离顾客更近的地方，实现快速连接与响应。

在国内网络覆盖方面，腾讯云拥有35线BGP覆盖主流运营商，外网出口总带宽超7T，CDN覆盖总带宽100T以上；全球网络覆盖，国际主流运营商出口带宽1.9T，CDN节点覆盖50+个国家地区。强大的网络覆盖能力，能够确保不同区域的用户都有良好的访问体验。

腾讯基础云服务有着强大的阵容，能够全方位满足零售企业的需求：

私有网络VPC：提供全方位网络解决方案，助力稳定、灵活、安全地构建云上私有网络空间；
云联网 CCN：打通多个VPC，轻松实现云上云下多点互通，具有全网互联、智能调度、路由学习、稳定可靠的优点；
多种云主机：包括云服务器CVM、专用宿主机CDH、黑石物理服务器2.0等，满足多样性业务需求；
VPN 连接：基于Internet的隧道加密传输服务，轻松建立腾讯云与企业数据中心安全通道；
NAT 网关：提供高性能的公网流量出入口，满足海量的公网访问需求；
负载均衡 CLB：实现安全、稳定、可弹性扩展的流量分发，通过消除单点故障提高系统可用性；
云数据库TencentDB：可提供高性能、高可靠、可灵活伸缩的数据库托管服务，配合数据库智能管家DBbrain，可实时支持云上云下数据库诊断优化服务，实现高效运维；
对象存储 COS：提供安全稳定、海量、便捷、低延迟、低成本的云端存储服务；
全站加速网络 ECDN：极速、稳定的动静态混合资源加速服务平台，一站式全能加速；
安全产品：提供DDoS防护、Web应用防火墙、数据安全审计、主机安全、堡垒机在内的纵深防护能力。