0
雷鋒網編者按:如果說業務安全在 2012 年之前還只是以阿里、騰訊及攜程等為主的局部戰場,近些年隨著垂直電商、社交、移動游戲和 O2O 等領域的快速發展,業務安全及反欺詐受到了更多的關注。
但現實情況是,大多數廠商并沒有像阿里和騰訊一樣與黑產相愛相殺一起成長,面對黑產的攻擊會一時無措。作為防守方,除了對抗技術外,更要增強對黑產的認知,了解當前在一些業務核心問題上的對抗階段和思路。
最近,在看雪安全開發者峰會上,來自威脅獵人的彭巍,通過多個黑產案例證明多數甲方在業務安全及反欺詐上很被動的主要原因是缺乏對黑產的認知,并幫助甲方研發梳理業務安全對抗思路并對當前主要的一些風險場景具體說明。以下為彭巍演講實錄,雷鋒網宅客頻道(微信公眾號:letshome)整理。
本次分享的主題是業務安全的發展趨勢以及對抗思路,我之前在金山毒霸負責系統和引擎開發,解決終端安全問題。今年年初加入了威脅獵人團隊,這是一個專注業務安全相關黑灰產研究的團隊,我的職務是產品總監加服務端研發負責人。
這是我分享的三個部分,第一,業務安全是什么。第二,業務安全昨天和今天。第三,針對對抗中的一些核心問題,提出對抗思路。
業務安全是什么
業務安全,顧名思義就是指企業業務上發生的安全問題。
業務安全范圍內比較被大家所了解的場景包括:賬號安全、內容安全、運營活動安全三大部分。
下面是它的詳細分支,包括黃牛刷單、羊毛黨等屬于業務安全的范疇。
業務安全解決的問題,大部分的情況就是去識別訪問業務的是機器還是人,這個人是惡意用戶還是正常用戶。
業務安全的歷史,首先按照移動互聯網的爆發分為兩個大的階段,PC互聯網又可以分為兩個部分:
第一個階段,2007年之前,這個階段可以總結為剛起步的黑產對抗騰訊阿里等企業。
因為在這個階段,2007年之前騰訊阿里等廠商因為各自業務逐漸開始涉及到龐大社交、游戲、線上交易等場景,于是黑產開始盯上這一塊利益,廠商也開始逐步重視。這個階段的特點其實是攻防節奏比較慢,防守方也是簡單風控規則。
第二個階段,2008-2010年,這個階段黑產開始形成成熟的產業鏈,分工明確,各點擊穿,同時防護方也開始形成立體的風控手段,這個階段業務安全開始作為企業安全的重要一環,被互聯網所認知。目前為止攻守雙方是你來我往。
第三階段,隨著互聯網快速普及,各個細分領域快速增長,黑產逐漸健壯,大廠商是小步快跑以及新互聯網企業的崛起情況,這個時候攻守雙方逐漸拉開了距離。
在目前的階段,兩點明顯的趨勢:
1.場景爆發帶來的業務安全問題陡增。
這是一張監控部分接碼平臺項目列表得出的分析報表,可以看到2011-2017年,薅羊毛產業鏈主要目標O2O、互聯網金融、電商等都是極速增長,并且每天都有新的項目出現。
▲通過撞庫供給線路圖,每一年都有新增的出現
黑產的魔爪已經無處不在,這是快銷行業常見的“再來一瓶”,也是我們通過接碼平臺發現快銷行業的各種關鍵詞,東鵬特飲、康師傅等。
這個二維碼不知道大家是否見過,現在快銷行業為了提高再來一瓶的體驗,直接會把二維碼印在瓶身上,掃碼之后就可以關注它的微信號或者公眾號,然后抽獎領紅包,但這些瓶蓋最終會流向廢品站,廢品站再集中回收流入黑產,黑產把這些二維碼數字化之后,通過海量的小號套取紅包,這樣導致廠商營銷費用的損失,明明以前可以花1000萬做5000萬的事,現在得花3000萬。
2.黑產技術飛躍式的發展。
黑產技術發展超乎想象,人多,耗的錢也多,舉兩個例子。
①獲取IP資源的技術。
IP作為互聯網的緊缺資源,一直是廠商最重要的風控方案之一,如何獲得 IP 資源也是黑灰產最先要解決的問題。
黑產獲得 IP 資源的方式也度過了幾個階段。最先開始通過匿名代理,然后掛機平臺批量獲取個人 ADSL 撥號 IP ,再到現在虛擬化 ADSL 實現海量 IP 資源獲取。(秒撥)。
最后一個階段我們所說“秒撥”,目前黑產獲取 IP 資源的成本已經大大降低。這是一個秒撥的截圖,看起來像 ADSI 家用的一樣,實際不是,這里會有一個啟用換 IP,還有某寶上搜索關鍵詞,大量類似服務都可以買到。
②接碼平臺技術
手機黑卡的流轉以前一直是影響黑產效率的問題,設備的流轉和卡的流轉不方便,耗費成本。現在卡商和羊毛黨通過接碼平臺實現了手機黑卡無縫流轉,提高了黑產的生產效率,同時也對防守方產生很大的壓力。
上面是是接碼平臺的截圖,是接受驗證碼平臺。
這是網上看到的圖。
這就是業務安全最核心的問題,就是有一群人比你聰明,他們比你有更多的資源。那你怎么辦?
言歸正傳。業務安全防守方目前核心問題是攻守雙方信息嚴重不對稱的問題,體現在三個方面。
1.從攻擊方來說,攻擊場景爆發帶來攻擊平面快速增長。
2.這導致防守方的安全管理難度增大,守方對黑產認知盲區增加,有一些觸網的大企業根本不知道這個面臨業務安全問題是什么。
3.傳統安全管理失控,傳統的安全團隊都是期望與內部業務部門制定標準,但是隨著業務的不斷發展,安全團隊其實是無法感知業務安全上接口風險,因為你甚至都不知道某一個業務新增的接口,這今天總結起來防守方都不知道自己被攻擊了,都是事后被發現的。
這是認知盲區的例子,是前段時間從某拼車APP血淚教育中的圖,雖然不是導致他們倒在資本寒冬中的原因,但是證明大部分廠商對于業務安全是完全未知的,這是一個拼車APP,每天補貼掉100萬,后來證明30%是被刷單者拿走了。
情報是各大安全領域的重要手段。
業務安全的情報主要是搜集什么樣的情報,兩個類別來說明:
1,開源情報:是指監控QQ、論壇、QQ群、論壇、解碼平臺以及暗網獲得的開源情報。
這部分的情報經分析可以直接還原出針對某一個企業的作案手段,直接起到告警或者預防的作用。上圖是我們監控論壇的截圖,這是接碼平臺的截圖,剛剛提到東鵬特飲的例子,就是通過關鍵詞東鵬特飲而還原出整個作案手段的。
2,閉源情報:監控黑產攻擊流量,可以更直接的監控到黑產攻擊的詳細信息。
閉源情報可以提供到接口的詳情,甚至攻擊的來源以及路徑。這是視頻軟件刷流量的作案軟件,我們可以通過OD分析出來,直接提取出來這個下發任務的包,可以提取出來這個鏈接,可以直接寫代碼把這些情報提取出來。
這是監控暗網攻擊流量的展示圖,可以看到目前暗網攻擊的TOP10,接口攻擊詳情、IP、地域等信息。
有了情報之后最明顯的價值就是,從之前業務安全防守時只能是事后發現,而導致了一直處于一個完全被動處處救火的情況,變成完全可以提前采取預防措施。
另外,打造一個情報風控識別方案,像撞庫識別方案,傳統的撞庫識別方案只是頻次控制,維度再多也很難區分出異常頻次波動和正常業務帶來的頻次波動。
有一些安全情報抓出來的攻擊流量,可以把異常頻次類的數據,和閉源情報提取出來的攻擊流量進行特征對比,可以極大降低誤報率。
以上內容來自看雪安全開發者峰會,雷鋒網整理。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
