一大批網際網路企業崛起的同時也在迅速死亡,網際網路各個細分市場交足了學費,堪稱「永嘆調」。從網際網路金融p2p到餐飲o2o,這個市場,從不相信眼淚,它只相信系統性風控體系。
王彬,餓了麼高階風控專家,立足於網際網路公司風險控制(以下簡稱風控)研究多年,他為我們揭密餓了麼風控絕秘。
上圖為:餓了麼高階風控專家王彬
風控總則:以業務為導向
王彬認為:「利益是黑客攻擊的本質,網際網路企業所有的風險最終歸根到底是為了「利」,因此,風險控制應該從業務層面出發,以業務為導向進行風控。」
網際網路風險控制主要應用於三個方面,首先是網際網路金融,尤其是p2p領域,其風險非常高,早期發布的千萬左右賬款僅用了5分鐘,但經過3-6個月的跟蹤,發現這筆投資根本無法**,這是當時的p2p行業真實的風險寫照。
其次是網際網路旅遊,如攜程,2023年幾乎不存在安全問題,其內部風控人員僅十多人,但目前攜程正遭遇很大的風險,攜程禮品卡資金賬戶,黑客攻擊成百倍的增長用來盜號。
再次是o2o行業,2023年o2o行業投資較多,但錢來的快,燒的也很快,定單造假等亂象叢生,風險較大,倒閉頗多。
構建風控架構
風控最簡單的方法是風控迴避、轉移、保留等一系列的控制方法。比如乙個**今天開發了乙個新的網頁,**最大的問題是盜號或者賬戶被盜,致使整個賬戶體系不安全。要保證賬戶安全,一般採取四種解決方案:
第一、風險控制,即採用必要的技術手段把風險控制住。
第二、風險接受,即對某些危害不太大的風險予以接收。
第三、風險迴避,對某些高風險採取迴避制度。
但風控最主要的目標是要比最後乙個競爭對手跑得快,即要比同行業技術做的好,這是做風控最基本的依據。怎麼樣把攻擊者的攻擊流量導到別人身上,用一毛錢的成本可以產生十塊錢的利益。
風控部門則發揮著為業務部門「擋槍」的功能,比如訂單減少了,會有人分析因為風控的措施造成訂單的減少,當然防止系統癱瘓更是風控的主要職能,風控對企業扮演著「把門神」角色。
風控人應具備的四項能力
風控人需要具備哪些能力?
第一、要懂技術,哪些技術手段可以幫助企業實現風控管理。
第二、明確企業業務的目標,只能清楚了解企業業務目標,才能知道通過哪些技術進行防護,風控最大的問題是會對業務造成損失,不管是隱性的還是顯性損失;
第三,制定風險控制策略,根據未來幾年的安全趨勢或者是風險控制趨勢制定風險控制策略;
第四,要有擔當,即出事能頂,不出事能抗,三觀要正。風控人員三觀一定要正,如果三觀不正,很可能造成企業資金流向損失,風險控制部門手抖一抖就是幾千萬,幾百萬的損失。
明確風控部門職能
風控部門可以從技術和管理手段,或者從風險控制角度來幫助企業解決問題,不管每個產品的發布風控都應該介入,風控人員要懂技術和業務。
餓了麼風控部門職能如下:
第一、 業務風險評估,在業務上線之前,對整個需求進行評估,風控從業務規劃開始,便會參與其中,評估資訊保安方面的風險,包括是否要上驗證碼,是否要加防護,如何防範賬戶盜號,撞庫和資訊披露等。
第二、 評估合規風險,是否滿足各種法律法規;
第三、 第三方資料接入評估;
第四、 了解本地行業資訊資料。
重視風控部門管理
餓了麼風控包括五個團隊,分別為技術團隊、產品團隊、市場應急團隊,運營團隊,審計團隊。其中,產品團隊及運營團隊尤其重要。運營團隊提供運營資料,從而改進產品。
上述團隊如何運轉管理?其業務運程如下:
新業務上線前,產品經理識別風險,產品經理識別好風險後,讓技術開發風控識別模組風險。風控開發模組認可後,由運營監控人員負責監控和處理,對可能發現的異常行為或者漏掉的行為進行二次提交,最後由產品經理再次識別風險,並提出風險控制建議。也就是不管外界的趨勢如何變化,風險環境怎樣,便形成了持續改進狀態。
王彬重點指出:「企業也不能把所有的風控規則都統一暴露,並應預留黑洞機制,才能更好控制風險。」
制定風控流程
風控有兩個流程,一是異常阻止;二是正常通過。一筆交易是成功還是不能成功,有兩個判斷方式,乙個是異常阻止,即發現異常的交易行為,就把這個異常交易行為阻止掉,這是一般性的做法。如果交易行業正常,風控正常通過即可。
風控根據處理速度分為實時風控和非實時風控兩塊。實時風控就是達到目標需要速度快,交易能不能成交,是否能正常登入,速度快則對使用者的干擾少。非實時風控主要應用於線下,比如大資料分析,模型建立等。
餓了麼擬定的基線是全部流程均正常,即一筆交易完成需先登入,開啟頁面,選產品,支付,任意缺失均認為是異常行為。餓了麼擁有兩套風控系統,一是基於賬戶,二是基於訂單的風險管理系統,實時風控處理流程是當登入和註冊的時使用了賬戶風控的處理引擎,在交易流程當中,會有業務訂單風控,下單、支付、配送和點評的各個環節當中都會對客戶的每個動作進行分析判別訂單是否有問題。通過風險系統,如果發現商戶有刷單以及其它惡意行為,餓了麼會進行嚴厲懲罰甚至直接把店鋪關掉。
王彬最後強調:「乙個網際網路企業要做大,做廣風控是必經之路,風控與資訊保安一樣,是兩個相輔相成的部門。風控更偏向於業務,安全更偏向於技術,兩者緊密聯絡,企業才能安全。但風控和安全不是萬能的,風控更需要理解和支援。」
從0到1 餓了麼風控計數服務是如何煉成的
從餓了麼正式進入多活領域開始,也預示著餓了麼業務開始邁入下半場,此時風控團隊面臨著嚴峻的挑戰,風控需要在事前 事中 事後進行全方位的防禦。而計數器的業務幾乎貫穿了整個風控的需求,規則根據計數器攔截使用者風險動作,運營系統需要根據計數器分析出商家 使用者的刷單行為。首先,各個系統充斥著大量重複相同的計...
春運馬上結束了,返工潮如何做好疫情防控?
不知不覺,新冠疫情已經走到第三個年頭了。國內累計確診病例超過了十萬人,帶走了4842人的生命。國外累計確診病例超過了一億人,現在每天還在以幾十萬確診病例的速度在增加。值得一提的是,中國中高風險地區在這段時間也實現了清零了。但是健康碼 測溫已經成為了人民生活的常態。今天已經是年十一了。有著一大部分的人...
淺橙科技 中小銀行應該如何做大資料風控?
在數位化浪潮的大趨勢下,大資料風控對銀行非常重要程式設計客棧,如果銀行不牢牢的把風控技術掌握在自己手中,遲早會成為廉價的資金批發商。所以,淺橙科技研究院一直認為,如今大資料風控是金融的核心,也是乙個金融機構能否持續盈利進而取得成功的基石。據淺橙科技研究院了解,中國的信貸規模以每年20 以上的增速在增...