2025-03-19 14:32:55 来源:
腾讯云安全解决方案负责人赵思雨
精彩观点
降本增效虽然一直是CIO们的核心任务,但对于安全而言决不应一砍了之,安全要前置才能真正实现降本的目标,用安全来护航业务,提升业务营销投入的效果才是真正意义的增效。今天重点讨论的黑产问题,其在业务上吸走的利润可能远远大于在IT和预算上的投入,因此我们在安全上的建设其实就在为真实的商业价值来开疆拓土。
以下为此次分享的精华内容,经编辑后的文字实录:
大家好,今天分享我们在零售行业数字化转型中的一些实践和解决方案。时间有限我们可以聚焦讨论小程序在零售领域的应用及其面临的安全挑战,以及我们如何通过技术手段解决这些问题。
一
小程序在零售行业的崛起
今天我想从一个矛盾的数据开始:在消费复苏的背景下,线上和线下的零售业务都承受着巨大压力。电商平台的货币化增量远未达到疫情前的预期,许多门店的销售额也出现了下滑或持平。然而,与此形成鲜明对比的是,小程序的表现却非常亮眼。根据腾讯的数据,微信的日活用户超过12亿,小程序的月活用户超过9.25亿,人均使用小程序打到16个。相比之下,传统APP的日活量和点击量已经趋于平稳甚至下滑,而小程序的使用量却在快速增长。
对于零售行业来说,小程序已经成为全域营销的核心工具。无论是从流量到用户的转化,还是从用户到会员的裂变,最终都需要通过小程序来实现。例如,营销活动中的发券、下单、核销等环节,都依赖于小程序的承载能力。可以说,小程序已经成为整个零售营销链路的关键环节。
二
小程序的安全挑战
然而,小程序的快速发展也带来了安全挑战。由于其低代码、轻量化的特点,小程序能够快速上线业务,但这也意味着安全问题容易被忽视。根据我们的调研,零售行业在小程序上主要面临以下几类安全问题:
1.黑灰产和羊毛党:黑灰产通过自动化脚本和工具,大量抢购优惠券、商品,甚至窃取用户信息。我们曾遇到一个茶饮品牌每天发放1万张优惠券,但绝大部分券被黑灰产抢走,真实用户只抢到极少部分。
2.数据泄露:Top100的小程序中有93%的接口采用HTTP明文传输,导致用户数据容易被窃取。用户隐私泄露导致的品牌价值损失是直接经济损失的11倍(Ponemon研究所数据)。
3.用户体验问题:小程序的打开速度、兼容性等问题也会影响用户体验。近年来很多零售行业开始向县域市场拓店并且开发西部地区的市场空间,遇到很多弱网环境问题,小程序的打开成功率也会大幅下降,极大影响了客户体验,客户流失会随着访问失败率指数级升高。
4.高并发访问问题:在大型营销活动中,小程序需要承载大量用户访问,容易出现白屏、无法刷新等问题,导致用户流失和舆情风险。
三
小程序安全解决方案力
针对这些问题,我们提出了一套端到端的小程序安全解决方案,涵盖从开发到上线的全生命周期。
1.上线前的安全性检查和加固:
小程序风险扫描与兼容性测试:在小程序上线前,通过风险扫描和兼容性等测试,全面掌握安全风险。
隐私合规:帮助客户满足工信部和相关法规的隐私合规要求,避免因合规问题导致的安全风险。
渗透测试与加固服务:我们通过渗透测试和加固服务,验证小程序的安全风险,通过加固解决被破解、篡改及二次打包等安全风险,确保其在上线后的安全性。
安全必须嵌入小程序开发生命周期。某客户在需求评审阶段引入安全加固,上线后漏洞修复成本降低90%。
2.运行阶段的安全防护:
微信专属链路:利用微信基础设施和接入点,提供高安全性的访问链路。
微信私有协议加密:微信的私有协议进行加密,防止数据泄露和中间人攻击。这种加密方式的破解成本远高于常规加密手段,能够有效保护接口安全。
专属高防和CC防护:提供400G+的DDOS防护阈值和10倍于业务峰值的CC防护能力。
3.黑灰产对抗:
智能BOT识别:通过访问会话中的特征,精准识别并拦截黑灰产请求。例如,在某次抢购活动中,我们帮助客户将黑灰产请求的比例从90%降低到了不足0.4%。
场景行为分析:沉淀了不同访问场景的策略集,建立正常用户和异常用户的基线模型,识别黑灰产的行为模式。
微信风控大数据:独有的微信账号级别的风控数据可以直接推送到我们的防护系统,帮助客户拦截黑灰产。同时,检测用户设备环境安全性,及时告警异常设备。
4.弱网访问大幅优化:
微信加速链路:通过微信的加速链路,在客户端、协议和回源层面三重加速,提升小程序在高并发场景下的访问成功率,确保在大规模营销活动中用户的顺畅体验。通过微信的专属接入点,用户可以快速访问小程序,尤其是在弱网环境下,请求速度可以提升300%
四
案例分享
腾讯云已经在多个零售行业的头部客户中成功应用了这套解决方案。例如:
重点案例
某潮玩品牌:因为大量黑产抢购套利,一度引起舆情风险,风评从热衷抢购转向粉丝脱离,并影响客户股价,因此客户决心大力整治黑产。
经过我们深入客户业务,指定了基于不同场景的安全策略,一个月内,拦截了近30亿次攻击,成功打击了黑产的嚣张气焰:
1、从地址电话、抢购数量、用户账号等维度分析,疑似黑产的比例从80%+降低到不足1%,近一次活动省下来的营销费用就相当于多开几十家门店的月利润。
2、从社交媒体也监控到了黑产被广泛拦截,舆情大大缓解。
3、原有的该品牌专抢黑产大量转向,代买代购大量减少。
4、因黑产囤货造成的价格垄断被打破,二级市场价格从3-5倍,回落至1.3倍左右。
其他案例
美妆品牌:通过安全加固和风控策略,避免了数据泄露和用户流失。
茶饮品牌:持续一年保障客户大小活动,顺利拦截大量黑产,保障百万杯奶茶营销福利送到真正的消费者手中,提升活动营销效果。
小程序的安全问题不容忽视,尤其是在零售行业的数字化转型中。腾讯云通过小程序检测和加固、智能BOT对抗、微信私有协议、Web应用防火墙等技术手段,帮助客户解决了黑灰产、数据泄露、高并发访问等核心问题。安全不仅是技术问题,更是商业价值的保障。只有通过全面的安全建设,才能为零售行业的数字化转型保驾护航。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
