当前位置:">首页 · 资讯 ·" P2P · 正文
风控人必知:做好风控工作要了解这些
2015-11-12 09:54 族谱科技 1
摘要比如现在被广泛应用于账户安全中的二步验证(短信验证),至少要考虑到如下问题:短信收不到怎么办、短信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证手机。
风控人必知:做好风控工作要了解这些" />
似乎是一种如火山喷发一样的动力,互联网金融在政府的支持与鼓励下,迎来了高速发展的美好时代,进而变成了火热的风口,其神奇般的魔力,吸引着众多机构及企业投身其中,努力挖掘互联网金融的巨大金矿。
互联网金融圈里的人,都很明白:风控问题是整条业务链的决定性因素。没有严格缜密的风控流程,死账坏账都会接踵而至。那么公司离关门也就不远了。
既然风控那么重要,我现在就来谈一下做风控人必须要知道的事情:
1、风控是永恒存在
不要企图消灭风险,因为那是不可能的。只要有利益存在,所有的攻击和尝试都不会停止,无论它有多么的因难,哪怕它是违法的。
我们称之为风控问题的未知性和不可控性。虽然你很努力的在防御着,但你的确无法知道下一个问题在何处,也无法保证有绝对意义上的安全。
2、数据服务
在今天,几乎所有的人都知道大数据,而风控的基本做法,就是通过数据来展现异常。所以在你没有数据的时候,你将寸步难行。如果平台自身进行数据积累,这将需要很长的时间以及很多的客户数据,这样在前期就无法通过数据来为风控工作进行服务。
最好的办法是与真正有实力的大数据公司进行合作,如族谱科技,能够快速而全面的查询到平台自身所需要查询的数据,这样不仅可以降低风控成本,还能快速高效的开展风控工作。
3、动态平衡
正如第一条所述,我们无法消灭风险。那么,风险和损失就是一个动态平衡的过程。平衡好风险和资损,才是我们追求的目标。
举个例子,如果风控拦截保护的资金小于这些订单带来的价值、处理成本或者是用户流失,那么我们就应该考虑是否还需要这么做。
当然,平衡要考虑的东西越不止这些,你同样要考虑如果风险发生了对公司的声誉影响,用户感受以及你的合作方对你的压力。总之,平衡是风控的第一要素。
4、服务于业务
有人说,风控部门像个警察,这理解就错了。没有业务的存在,风控便毫无价值。所以,其实风控部门更像一个保镖,而你的业务部门,就是你的雇主。保护好他们并让他们满意,才是你的职责所在。
不要企图去阻拦业务,而是尽可能的帮助他看清问题并提供解决方案。
5、木桶原理
你的风控水平取决于你防御体系最薄弱的环节。如果你发现了一个明显会被利用的漏洞或者缺陷并且是你无法控制或者承受的,都应该尽快的修补它,否则你将承受比你评估时还要多的损失。
相信我,漏洞被发现的速度远高于你的想像。基于这个事实,你应该在你监控最薄弱的环节多加监控,了解你现在的处境和状况以便于你做出正确的判断。
6、安全感
用户体验是很奇怪的东西。验证短信打扰他了他会烦恼,但如果他尝试支付1万元时你没有给他发个验证短信,他也一样会很苦恼。安全感本身特别的重要,在自助处理问题的场景下,安全感才是用户最关心的问题。
比如手机客户端上,如果短信验证码就能找回密码,用户就会质问手机丢失的场景下的安全性。这就是一个典型的安全感的场景。
尽量的营造适当场景下的安全感,有助于你的用户配合支撑你的各种安全策略。
7、用户体验
风控不可回避的一个问题是用户体验,也就是在风险识别后处理决策时要面对的问题。无论是短信校验,或者是要求验证各种各样的密码、身份识别问题,都是用户体验的伤害。
更可怕的是,每中断一个环节,就会流失大量的用户。比如,每校验一次短信,就会流失30%的用户。
所以,站在大部分正常用户的角度思考问题,减少用户本身的思考,提高风控的识别能力,尽量的对有把握的再做处理,会让你的业务和风险控制都获利。
8、引流原则
由于风控问题本身的未知性,所以尽量将问题暴露在自己已知的范围下。简单的说,攻击者引到自己知道的场景下并给予适当的损失做为风控的基础成本。
比如,在某一风控策略下,并不是完全将符合条件的攻击拦截,而是随机做1%的放行,或者,将价值超过50元的才做拦截。这样做的好处是显而易见的,在双方都处于黑盒的情况下,可以尽可能保护到自己未知的问题,以避免出现攻击者全力研究新漏洞造成的不可控制的突然一击。
减少问题,同时注意不要去创造新的问题。当然,这本身取决于风控损失的承受能力,如果这个漏洞你无法做到50元以上的都拦截(没有对这个问题有“控制力”)那么就应该尽可能的完全修复这个问题。
9、对抗性
风控最有的意思的地方,在于它是一个对抗性的工作。一旦你做了防御,敌人便会放弃进攻(没有人会在明知会触犯风控拦截的情况下无谓的尝试同样的方法浪费手中资源)。
所以,整体的风控策略、规则、模型都需要不断的调整,来应对这样的对抗情况。比如我们根据历史的CASE发现穿红色衣服敲门的都是坏人,所以我们对穿红色衣服的人都加强了检查。
那么坏人也会在一段时间后发现我们的策略而穿上黑衣服。这个时候,我们找到的穿红衣服的人,好人的比例就会不断的上升而几乎抓不到坏人了。这就是对抗性带来的规则准确率下降。
因此,不断的监控我们的数据并及时回顾,是一项基本的风控工作。同时,对抗性还要求我们对风控的策略有健壮性。还是上面的例子,单一性状或者简单条件的规则,对于临时的防控会很有效,但维持的时间通常都很短,需要不断的调整。所以我们需要尽可能多的组合条件,减少策略被发现的可能。
如果规则变成如果来敲门的人是男性且穿着红色衣服且敲门的声音大于70分贝,那么他是坏人,那么,衣服颜色为红色这一判断要素被发现的概率就会大大下降,同时,即使被发现了,也无法确认这个条件所占的比例和作用情况。更进一步,如果模型的计算变成0.3*性别+0.5*衣服颜色+0.2*分贝,那么这个策略就更为健壮了。
10、忽略用户的智商
在风控问题上,请相信绝大部分用户都没有安全意识。他们既不知道个人信息的重要性,也不知道密码设成什么好,更不知道为什么他的账户就受到了攻击,或者想参加一个活动受到了举办方的各种限制。
请一定多走几步,帮用户设想好更种可能出现的状况,并对风控做评估,制定合适的策略。
比如现在被广泛应用于账户安全中的二步验证(短信验证),至少要考虑到如下问题:短信收不到怎么办、短信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证手机、短信验证码是否存在泄漏/劫持/被钓鱼的风险、手机当前状态下是否持有在本人手中等等。用户往往很单纯,请保护好他们单纯的心。
所以,无论在什么时候,都要考虑到风控研究的对象,都是一群想着办法在模仿正常人的人,他们善于伪装,拥抱变化,牢记对抗性,与人斗其乐无穷嘛。