搭建風控系統道路上踩過的坑04-風險分析 | 一個CPO的心得分享
風控系統和大部分的產品項目一樣,最終需要對領導層匯報這個項目為公司帶來了什么價值,這是評估項目成功與否的要素;
另外是哪里做的不夠好,如果改善了能帶來更多的價值,給出了預期才有后續資源的補充,整個項目才能轉起來形成一個良性循環。
現在開始說說這個系列的最后一話:
如何對風控系統進行效果評估與優化
與之前三期的文章一樣,我們再來洗一次腦,業務風控要做的四件事:
1.拿到足夠多的數據
2.做足夠靈活的分析平臺去分析風險
3.產出風險事件進行阻攔風險
4.量化風險攔截的價值和不斷分析案例進行策略優化
我們看一下這個環節要考慮的:
1.找到錢在哪里
風控項目的基本價值在于省錢,而省錢的思路基本有三種:
- 直接攔截風險帶來的止損(比如提前阻止了一筆欺詐交易所挽回的損失)
- 提升服務穩定性所帶來的業務基本指標提升(比如因阻止風險事件所降低的服務響應延時而提升的業務轉化)
- 降低服務不可用概率事件所帶來的直接業務損失(比如降低了風險事件導致服務宕機所帶來的營收損失)
可以看出這三點是按風險事件的暴力程度做出的簡單劃分,其實也還有很多其他不同的視角來分類,很大程度上和對應企業的互聯網業務形態有關。
而我們做這樣劃分的目的是為了:在一開始就明確風控項目從哪里可以挖掘效益。
很多情況下風險事件不是一個獨立的問題,而是一個鏈條,由一些看起來影響不大的問題逐層深入。比如,交易欺詐并不是一個獨立的問題,而是因為注冊環節發生的垃圾注冊問題攻擊者手里有了大量的賬號所導致的,所以任何一個風險問題都是有價值的。
無利不起早,作為風險分析者應當有能力找到其中的關聯轉化關系,并預測對方的得手點進行效果評估會有更好的效果。
2.有效利用預期價值的力量
天下沒有100%準確的風控策略,所以在接入攔截的過程中業務方可能存在種種阻力,往往的一個誤區是沒有攔截就認為風控沒有效果。
其實,效果評估不只是在最后項目落地評估價值所用,在推行項目中間也有很好的效果,雖然沒有攔截,但預期效果放在那里,這對決策者平衡業務影響有著重要的價值。
3.學會考慮企業財務目標
風控系統并不是一個可有可無的東西。其實大部分企業中安全已經是業務的必要組成部分了,那么我們知道在資源有限、而業務風險問題無限的情況下,所有的資源投入都必然有一個優先級,而這個優先級與整個企業發展的現狀必須是牢牢捆綁在一起的。
講簡單些:風控系統解決什么問題,評估出的效果與企業目前業務關心的問題息息相關。
如果企業目前的業務重點在一次年度促銷活動,那么風控的重點就應當在促銷羊毛黨;如果企業目前面臨嚴重的賬戶盜用投訴問題,那么重點就應在賬號安全。尤其在風控系統啟動之初,配合系統的需求交付時間選擇對應的重點問題,對于項目效果的評估是一個巨大的加分項,切記一開始就貪大貪全。
4.策略的生命周期和健康度
風控系統的規則有多少?哪些已經很久沒有觸發了?產生誤判投訴的對應規則有哪些?一個新規則在建立起初的效果肯定是最有效的(因為這時風險問題正在發生,而規則正好對應了風險),但隨著時間其有效性是呈快速下降的趨勢。
比如,攻擊者都知道網站三次輸入密碼錯誤觸發驗證碼,他們會傻傻的嘗試第三次猜測密碼的概率有多大?那么,是否有人在定期的去統計分析這些規則的效率?這就是風控產品的重要運營環節了。
而運營風控產品所要付出的代價,往往大于常規互聯網業務產品,并且是保證項目能夠持續產出價值并不斷迭代進化的一個前提。
寫在最后
業務風控是一個非常具有挑戰性的項目,我一直把它比作一種競技游戲,而這種攻防不同于傳統安全(在傳統安全你并不能有足夠的技術能力預測所有人的攻擊方法),它更強調邏輯和預測——
攻守雙方在一個雙方充分了解的環境下(業務邏輯簡單到任何人都可以理解,但又可以產生無數的變化和組合)不斷的博弈。
而這正是業務風控系統的樂趣所在。
業務風險問題足夠簡單而又足夠復雜,正是這樣的原因其參與攻擊者并沒有太高的門檻限制。處于國內互聯網的環境下,任何一家企業都不可能逃開業務風險問題的影響。
作一個比喻,這片土壤是有著自己的一些特質的,企業如果是生長在這片土壤中的一顆樹,投入足夠的養分才能快速生長,而業務風險則是寄生于樹木竊取養分的角色,只有能夠充分抵御這種風險的才能成長為參天大樹。
【本文是51CTO專欄機構“豈安科技”的原創文章,轉載請通過微信公眾號(bigsec)聯系原作者】
