互联网业务安全的现状和发展解析

编辑导语：从互联网诞生到现在，安全就一直是个引人瞩目的话题。但目前的现状是，只有发生了“真金白银”的损失，企业才会想起事后补救。因此，通过技术和数据手段，在危机发生之前识别并解决业务中的各类风险，才是信息安全管理之道，本文作者就对互联网业务安全的现状和发展进行了解析。

一、业务安全

业务安全这个概念已经存在很多年了，理论上，任何行业的业务中都存在风险点——机械行业有操作风险、金融行业有交易风险。这种风险点的存在会被影响整体的业务效果，使得企业付出不必要的损失。

因此各行各业开始设立一些保护安全的人员，法务里面的风控合规、机械制造的安全部门、金融的风控部门。

进入信息化时代以来，互联网行业的发展速度远比别的行业来的快。高速的发展意味着更低的复制成本，带着资本入局的后发优势者会不断进入市场，进行快速地复制迭代，却可能没思考过业务的合理性。

举个例子：就像是钢铁侠一里面，斯塔克造出MARK 2之后发现了机甲高空结冰的问题，“后发优势者”铁霸王仿造了机甲，却没能考虑到高空结冰的问题。

现实生活中同样如此，带着资本入局的玩家因为后顾无忧，会暂时性地忽略业务上风险点，关注在“形”、“量”而忽略了“质”，从而在整体业务推动的路上摔个大跟头，一如2019年因为被薅羊毛损失了千万的拼多多。

正因为互联网在21世纪的高速发展，很多公司在进入互联网行业最初并没有研究透合适的变现途径。强大如腾讯，在和中国移动合作的“移动梦网”项目开始之前，也只是手握流量却没有合适的变现途径，只能受制于资方。

这种先入局的模式在2020年依然很热门，“小步快跑”的迭代模式实际上也是互联网公司在发展过程中需要不断试错而诞生的产物。

整体业务逻辑的不完善导致了很多公司的业务设计是存在各类型的风险点的，而这类风险往往隐藏在暗处，难以被察觉。

互联网行业的玩家在看到企业的效益不理想的时候没有思考过风险的存在，常常将视角放在市场端，认为前端营销活动出现问题、市场推广存在问题，却没有在内部进行自省。

在前端耗费大量精力未能达成效果，玩家们开始冷静下来反省自身，业务安全这个概念在这时候进入了公司的视角。

二、现阶段黑灰产和业务安全情况

2000年以来，互联网在老百姓心中的影响力持续扩大，但仍不断出现账号被盗、外挂交易、源码泄露导致盗版在市面上广泛传播。一开始百姓将这类问题简单定义为“中毒”，认为制造“病毒“的人是高精尖的互联网人才，进入行业技术壁垒较高。

随着整体互联网业务模式的发展，线上公司开始大面积向线下市场发放补贴，抢占线下市场，外卖、家政、点评，线上公司在O2O模式下打的不可开交。

随着美团从千团大战中脱颖而出，证明了“补贴”模式是非常有效的。 此后，以“补贴”为主的推广模式成为2017年之后各大互联网公司的首选。

在针对新用户和新账号的高额补贴和层出不穷的“杀熟”事件，百姓开始意识到账号的“价值“。同样的，账号的高价值属性和申请账号的廉价属性之间存在的巨大利益被群众所注意到，大量的“羊毛党”、“黑灰产”开始大量滋生。

充足的获利空间，低龄化、机械化的操作吸引了大量普通百姓加入“黑灰产”。

据不完全统计，“黑灰产”的从业人员目前目前已经达到千万，分为了上、中、下游，上游的是核心技术人员，开发专门的黑灰产软件并通过租赁软件获利，

中游的组成自己的黑灰产团伙，搭建“羊毛项目群“，收集羊毛情报并向下游售卖公开。

下游则可能是我们身边的任何一个人，通过中游分享的情报去特定的app获取利益变现。

相对于黑灰产的细致区分，时至今日业务安全仍然没能在互联网公司大面积发展，很多公司在没有意识到业务风险点之前是不会设立单独的业务安全部门，甚至在意识到风险点之后也仅仅只是设立简单的业务安全负责人，放在运维或者开发部门下面。

一个独角兽企业中负责业务安全的寥寥数人，相比较庞大的、业务细化的用户运营团队和产品研发团队，业务安全人员往往需要身兼数职。

现阶段，绝大多数的业务安全从业者仍在乙方团队，像业务知名的顶象技术、同盾技术等。

除此之外，由于行业特性，互联网行业始终属于比较激进的模式，就算在同一家公司内部，业务方和安全方也是一直处在相爱相杀的局面。