導語：業(yè)務風控系統(tǒng)的價值是及時發(fā)現(xiàn)和解決業(yè)務上的風險，但當前的業(yè)務安全應用門檻因為基礎設施的商務成本、部署成本及應用成本，導致其已經(jīng)成為這個互聯(lián)網(wǎng)行業(yè)的奢侈品，在業(yè)務風險已經(jīng)成為整個互聯(lián)網(wǎng)普遍需求的當下，大量進入業(yè)務風控應用早期的企業(yè)不應該在基礎設施上承擔太多的成本，這讓安全成為負擔。

　　業(yè)務安全問題已然從大型互聯(lián)網(wǎng)企業(yè)擴散到整個互聯(lián)網(wǎng)生態(tài)

　　威脅獵人從成立之初，我們一直專注于業(yè)務安全情報能力的建設，通過深入挖掘黑灰產(chǎn)業(yè)鏈，從黑產(chǎn)視角去感知和發(fā)現(xiàn)黑灰產(chǎn)正在進行的攻擊行為。在這期間，我們捕獲到了太多由于風控缺失，導致被黑灰產(chǎn)惡意攻擊的情報。企業(yè)為了爭奪用戶和市場，更加注重產(chǎn)品功能和規(guī)模擴張，風控的建設往往落后于業(yè)務發(fā)展的需要，導致最終被黑灰產(chǎn)鉆了“空”。目前整個互聯(lián)網(wǎng)行業(yè)中的風控系統(tǒng)基礎設施普及率不到5%，絕大部分企業(yè)都還處于業(yè)務風險對抗的初級階段。

　　另外，互聯(lián)網(wǎng)線上業(yè)務場景的激增，各個平臺用戶的信息價值越來越高，黑灰產(chǎn)的變現(xiàn)途經(jīng)呈幾何增長，據(jù)我們粗略統(tǒng)計，目前正在遭受黑灰產(chǎn)攻擊的平臺已經(jīng)達到數(shù)萬個。業(yè)務安全問題已然從大型互聯(lián)網(wǎng)企業(yè)擴散到整個互聯(lián)網(wǎng)生態(tài)。

　　成本問題是風控基礎設施變成“奢侈品”

　　但是，目前無論是采購第三方商業(yè)風控產(chǎn)品，還是走自研路線，對于很多企業(yè)，特別是業(yè)務自身都還在發(fā)展和變化過程中的中小企業(yè)而言，其成本問題，使之只能成為“奢侈品”，而不是“必需品”。業(yè)務風控系統(tǒng)成了 企業(yè)應用業(yè)務安全的一道大門檻。

　　1.商務成本成為立項初期的阻礙

　　安全是企業(yè)的成本中心，在業(yè)務風控建設時如果基礎設施需要牽扯到商務成本，在企業(yè)內(nèi)部就一定會遇到?jīng)Q策挑戰(zhàn)，是否應該建設和什么時候建設等等問題會因為商務成本的存在讓企業(yè)內(nèi)部推動安全基礎建設流程過于漫長和繁瑣。建議能夠在安全團隊自己內(nèi)部評估完之后可以直接決策并快速建立基礎設置，在真正攻防階段產(chǎn)生效果后證明其價值。而不是立項采購時遇到阻礙，發(fā)生問題時還要背鍋。

　　2.部署成本是很多企業(yè)IT的難點

　　互聯(lián)網(wǎng)企業(yè)各自的IT結構有很大區(qū)別，而不同企業(yè)的IT人員技術水平能力也參差不齊，這導致很多企業(yè)在部署風控基礎設施的環(huán)節(jié)上遇到難點。所以需要降低部署成本，才能在全行業(yè)規(guī)模化地普及安全基礎設施的建設。

　　3.應用成本，擁有風控也很難在短期內(nèi)發(fā)揮效果

　　業(yè)務風控最終發(fā)生效果是要依賴風控基礎設施之上的規(guī)則和模型的，是由規(guī)則和模型承擔識別惡意風險的任務。而規(guī)則的制定及攻防的模型選擇對經(jīng)驗的要求比較高，很多新人即使部署好了風控系統(tǒng)，也會發(fā)現(xiàn)很難短時間讓系統(tǒng)發(fā)揮效果，這里的學習門檻也成為業(yè)務安全基礎設施普及的門檻。行業(yè)需要模塊化及易用性高的風控基礎設施，讓風險可視化的同時能快速應對，不對運營人員的能力有太高要求。

　　我們期望通過開源的風控降低企業(yè)成本

　　因此我們決定發(fā)布開源的風控基礎設施——星云業(yè)務風控系統(tǒng)，讓企業(yè)能夠快速的度過早期的基礎建設階段，進入到攻防效率提升階。期望通過開源降低企業(yè)成本，也拓展業(yè)務風控基礎設施在防守方的應用范圍。我們相信基礎設施的快速普及是與整個中國互聯(lián)網(wǎng)黑灰產(chǎn)攻防的關鍵。

　　星云業(yè)務風控系統(tǒng)的開源

　　風控系統(tǒng)的本質(zhì)是為了能夠讓企業(yè)有能力主動發(fā)現(xiàn)業(yè)務風險，并快速的實施攻防對抗。所以1.0V的星云我們期望能夠做到簡單易用，快速進行攻防對抗。 我們會在Github和開源中國上，完全開放星云的所有源代碼，文檔，以及安裝包。并且組建星云風控交流群，大家在使用星云過程中遇到的任何問題，我們都將盡快解答。

　　為了降低使用門檻，星云采用旁路流量的方式進行數(shù)據(jù)采集，無需在業(yè)務邏輯上做數(shù)據(jù)埋點或侵入，同時支持本地私有化部署和Docker鏡像云端部署;出于數(shù)據(jù)隱私和敏感性的考慮，我們不做任何數(shù)據(jù)的上傳;

　　另外考慮到部分使用者風控經(jīng)驗不足，星云會提供基礎的風控策略模板，使用者可以結合業(yè)務實際情況，靈活的進行配置和調(diào)整。考慮到攻防對抗的時效性，策略調(diào)整之后實時生效，無需重新編譯和上線。

　　基于星云風控系統(tǒng)，企業(yè)可以針對不同的業(yè)務場景下進行攻防對抗

　　星云包含的一些基礎功能：

　　1.總覽：觀察網(wǎng)站流量和風險事件的情況

　　2.風險名單管理：由你設置的某個具體的策略出發(fā)而產(chǎn)生，風險名單管理頁面展示了風險名單的列別，通過這個頁面可以進行風險名單的查詢、刪除和人工添加等操作。

　　3.風險事件管理：風險事件由一組關聯(lián)風險名單的基礎事件組成，風險事件可以對不同的攻擊進行整理成組，以便分析人員快速的針對一組風險事件進行查看。

　　4.風險分析：風險分析頁面提供了IP、USER、PAGE、DEVICEID四個維度的分析視角、允許分析人員通過不同的維度去查看某個IP、用戶、設備或頁面的細節(jié)以還原風險事件的整個流程。

　　5.日志查詢：通過自定義的方式去搜索歷史日志中的數(shù)據(jù)

　　6.策略管理：提供了可視化策略編輯功能，允許用戶通過界面方式創(chuàng)建或編輯策略，并且可通過對策略狀態(tài)的編輯快速的測試策略的有效程度，以及生產(chǎn)策略的下限

　　寫在后面

　　與黑灰產(chǎn)的多年對抗中，我們看到了黑灰產(chǎn)無數(shù)次的狂歡，也看到了太多企業(yè)遭受攻擊后的無奈和辛酸。但是目前整個互聯(lián)網(wǎng)行業(yè)中的風控系統(tǒng)基礎設施普及率還不到5%。通過開源，我們希望能讓更多人意識到風控的重要性，能以更低的成本，完成風控體系從無到有的搭建。

　　黑灰產(chǎn)已經(jīng)是一個分工明確，合作緊密的“龐然大物”，而安全行業(yè)絕大多數(shù)仍處于相對封閉，各自為戰(zhàn)的狀態(tài)。雖然協(xié)同合作已經(jīng)是行業(yè)共識，但一直缺乏有效的舉措。通過開源星云業(yè)務風控系統(tǒng)，我們希望走出這一步，集結社區(qū)力量，讓更多的安全從業(yè)者可以參與進來，貢獻自己的力量。

　　附上星云Github地址：

　　https://github.com/threathunterX

　　附上星云碼云地址：

　　https://gitee.com/threathunter/nebula