大把投入买流量,为他人做嫁衣裳
今天要分享的真实案例,是一家金融租赁公司。他们日常会通过巨量引擎、磁力金牛等各类平台投放广告,吸引客户留资,再由电销团队进行意向确认和服务、风控团队会根据客户信息进行征信审核,审核通过再流转到下一环节。
管理层从经营报表的异常,发现投放的ROI在下降。深挖后,发现经常有客户被竞对以更低的首付和月供撬走,也时常会接到客户的投诉,反馈下单后就会接到同类平台的电话,怀疑有“内鬼”向竞对泄露客户信息。管理层通过小号进行验证,发现也收到了竞对的推销电话。定位到在征信审核阶段及之前,客户信息就已经被泄露出去。
此后,技术部门通过设备抽查、投放蜜罐、公安报警等多种方式尝试抓到“内鬼”,但是始终没有结果,客户信息依然持续被泄露,严重影响企业营收,同时让企业因为客诉面临巨大的监管压力。
踏破铁鞋无觅处
技术部门同时也调研了多种数据安全方案,例如监控+DLP(数据防泄露)软件,发现都不能解决问题:
- 传统终端安全方案只能基于网络和终端边界进行管控,但是该企业的业务系统,都是购买的SaaS或直接开放在互联网上的,脱离工作电脑员工也可以登录,管不住。
- 企业自建的业务系统在建设初期都是以办公提效为目的设计开发的,相关安全能力有缺失,比如动态脱敏、访问权限、下载管控、日志监控等都做的不完善。进行安全改造的开发成本巨大,改造周期长。而且部分业务系统还是三方SaaS,根本无法改造。
- 很多员工都是自带电脑的,在个人电脑上安装监控软件阻力重重,员工会有对抗情绪。
得来全不费工夫
由于自身安全经验较浅,该公司的技术部门求助到兄弟公司,在兄弟公司的推荐下接触到了一种轻量级的方案——基于专用的办公浏览器进行数据安全管控和操作审计。
那么方案如何实施落地呢?
经现场调研后,发现从客户下单到成单发货整个流程,从客户、风控、研发,数据经过了多个部门,数据流转链路长,涉及敏感数据的业务应用多,职能部门覆盖广。
先收口
如何实现不同团队、不同应用的统一访问收口、安全集中管理,成为第一大难题。对此,基于专用浏览器可以实现多种收口方式帮助企业实现了访问收口。
- 针对企业内部应用,通过安全网关从网络层面实现了访问收口,员工通过办公浏览器可以直接访问内网应用,但是通过别的浏览器不管在哪里都访问不了,既确保了安全,又提升了体验。
- 针对外部三方系统,通过“三方账号管理”的能力,实现了在办公浏览器里的免密登录,而一旦脱离办公浏览器,由于不知道密码,员工也就无法登录系统了,从而实现了访问收口。
再管控
收口后,有客户信息的业务系统自动实现了数据防泄密能力,比如防拷贝、防截屏、防下载、动态脱敏等。还能给不同岗位的员工分配不同的权限。
以巨量引擎为例:
- 负责运营投放的员工,不能登录飞鱼CRM,只能投放。
- 负责电话确认的员工,只能在飞鱼CRM里用内置外呼的功能,不能看到真实的电话号码,并且不能访问广告投放模块。
- 负责线上跟进的销售,不能导出客户名单。
- 老板或者高管可以看到完整的信息。
从而确保了,通过广告投放收集的客户信息,只能“为我所用”。
留痕迹
同时,办公浏览器的日志审计能力也在“抓内鬼”中发挥了极大的作用,针对员工对各类业务系统的访问,包括业务账号的使用时间、客户信息数据的查看、页面内容的复制、文件的下载都进行了详细的记录。搭配录屏审计,员工在办公中的所有异常行为,管理员都可以第一时间发现并进行制止。
小投入,轻量化,有效果
最终,该公司以较小的采购成本,较少的运营成本,有效的实现了对客户信息的保护。在2024年上半年,在灰度推广阶段,通过审计能力抓到两次“内鬼”。全量推广后,截至目前都未再收到客诉,投放的ROI也恢复正常。