搭建風控系統道路上踩過的坑（4）-風險分析

02-04

風控系統和大部分的產品項目一樣，最終需要對領導層彙報這個項目為公司帶來了什麼價值，這是評估項目成功與否的要素；

另外是哪裡做的不夠好，如果改善了能帶來更多的價值，給出了預期才有後續資源的補充，整個項目才能轉起來形成一個良性循環。

現在開始說說這個系列的最後一話：

如何對風控系統進行效果評估與優化

與之前三期的文章一樣，我們再來洗一次腦，業務風控要做的四件事：

1.拿到足夠多的數據
2.做足夠靈活的分析平台去分析風險
3.產出風險事件進行阻攔風險

4.量化風險攔截的價值和不斷分析案例進行策略優化

我們看一下這個環節要考慮的：

01找到錢在哪裡

風控項目的基本價值在於省錢，而省錢的思路基本有三種：

可以看出這三點是按風險事件的暴力程度做出的簡單劃分，其實也還有很多其他不同的視角來分類，很大程度上和對應企業的互聯網業務形態有關。

而我們做這樣劃分的目的是為了：在一開始就明確風控項目從哪裡可以挖掘效益。

很多情況下風險事件不是一個獨立的問題，而是一個鏈條，由一些看起來影響不大的問題逐層深入。比如，交易欺詐並不是一個獨立的問題，而是因為註冊環節發生的垃圾註冊問題攻擊者手裡有了大量的賬號所導致的，所以任何一個風險問題都是有價值的。

無利不起早，作為風險分析者應當有能力找到其中的關聯轉化關係，並預測對方的得手點進行效果評估會有更好的效果。

02有效利用預期價值的力量

天下沒有100%準確的風控策略，所以在接入攔截的過程中業務方可能存在種種阻力，往往的一個誤區是沒有攔截就認為風控沒有效果。

其實，效果評估不只是在最後項目落地評估價值所用，在推行項目中間也有很好的效果，雖然沒有攔截，但預期效果放在那裡，這對決策者平衡業務影響有著重要的價值。

03學會考慮企業財務目標

風控系統並不是一個可有可無的東西。其實大部分企業中安全已經是業務的必要組成部分了，那麼我們知道在資源有限、而業務風險問題無限的情況下，所有的資源投入都必然有一個優先順序，而這個優先順序與整個企業發展的現狀必須是牢牢捆綁在一起的。

講簡單些：風控系統解決什麼問題，評估出的效果與企業目前業務關心的問題息息相關。

如果企業目前的業務重點在一次年度促銷活動，那麼風控的重點就應當在促銷羊毛黨；如果企業目前面臨嚴重的賬戶盜用投訴問題，那麼重點就應在賬號安全。尤其在風控系統啟動之初，配合系統的需求交付時間選擇對應的重點問題，對於項目效果的評估是一個巨大的加分項，切記一開始就貪大貪全。

04策略的生命周期和健康度

風控系統的規則有多少？哪些已經很久沒有觸發了？產生誤判投訴的對應規則有哪些？一個新規則在建立起初的效果肯定是最有效的（因為這時風險問題正在發生，而規則正好對應了風險），但隨著時間其有效性是呈快速下降的趨勢。

比如，攻擊者都知道網站三次輸入密碼錯誤觸發驗證碼，他們會傻傻的嘗試第三次猜測密碼的概率有多大？那麼，是否有人在定期的去統計分析這些規則的效率？這就是風控產品的重要運營環節了。

而運營風控產品所要付出的代價，往往大於常規互聯網業務產品，並且是保證項目能夠持續產出價值並不斷迭代進化的一個前提。

業務風控是一個非常具有挑戰性的項目，我一直把它比作一種競技遊戲，而這種攻防不同於傳統安全（在傳統安全你並不能有足夠的技術能力預測所有人的攻擊方法），它更強調邏輯和預測——

攻守雙方在一個雙方充分了解的環境下（業務邏輯簡單到任何人都可以理解，但又可以產生無數的變化和組合）不斷的博弈。

而這正是業務風控系統的樂趣所在。

業務風險問題足夠簡單而又足夠複雜，正是這樣的原因其參與攻擊者並沒有太高的門檻限制。處於國內互聯網的環境下，任何一家企業都不可能逃開業務風險問題的影響。

作一個比喻，這片土壤是有著自己的一些特質的，企業如果是生長在這片土壤中的一顆樹，投入足夠的養分才能快速生長，而業務風險則是寄生於樹木竊取養分的角色，只有能夠充分抵禦這種風險的才能成長為參天大樹。

作者簡介
劉明豈安科技聯合創始人，首席產品技術官
超過6年的風控和產品相關經驗，曾就職網易，負責《魔獸世界》中國區賬戶體系安全。現帶領豈安互聯網業務風控團隊為客戶提供包括了明星產品Warden和RED.Q的風控服務。