三 ,内鬼攻击
永远不要考验人性。
内部人员犯案的例子屡见不鲜,从底层的员工到高管甚至是合伙人,都比比皆是。
对于底层员工,哪怕原本再正直善良兢兢业业,也可能有自己的经济压力或是遇到突发的状况,就像《绝命毒师》中演的那样,他即使不为自己,但也可能为老婆孩子而冒险。
对于高层,当一个人面对上千万上亿的诱惑时,没有多少正常人能把持得住,我们有时候对贪官污吏嗤之以鼻,是因为我们还没有设身处地的在那个位置上。
案例太多,大到腾讯公司麻花藤的左膀右臂,小到中小型公司的一线员工。这里就不一一例举,感兴趣的朋友可以自己去查。重点说下预防策略:
1, 所有操作记录可追溯
在后台应该备份有所有人的操作记录
2, 权限精细划分
涉及到以下几类权限时,必须要设置高的权限级别
-
网站敏感运营数据
-
业务核心流程
-
财务相关的操作
-
涉及利益链的某一环节
高权限账号要唯一对应,每个账号要对应到唯一的责任人;
个别归属不明的账号,如名为Test,Admin等账号都可能埋伏着安全隐患;
一定要设置登录手机验证码验证,以避免其他人冒用;
员工离职时务必注意账号的清除;
定期对账号进行清查。
3, 高危操作管理
根据具体业务流程定义一些行为为高危操作;
当出现高危操作时设置二次确认机制;
当多次出现高危操作时设立报警机制。
4, 敏感系统独立
涉及到敏感信息如财务信息的系统,应该在别的域名及服务器下独立建立,而不要在一个系统上划分一个板块。
综述
拼多多的事件,表面上看是一个技术性Bug,但实际上暴露的是整个运营监控体系,风控体系的不到位,一个不严密周全的运营活动/流程/制度设计,轻则导致企业上百万上千万的损失,重则引发产品信任危机,失去用户忠诚度,甚至影响到产品的生死存亡。
中国互联网公司的高管们,在谋求高速发展的同时,不仅仅是步子迈大了扯没扯着蛋的问题,而是要回头看看蛋有没有跟上自己的脚步。
毕竟,深渊在那凝视着您咧。