雷鋒網(wǎng)編者按：如果說業(yè)務(wù)安全在 2012 年之前還只是以阿里、騰訊及攜程等為主的局部戰(zhàn)場，近些年隨著垂直電商、社交、移動(dòng)游戲和 O2O 等領(lǐng)域的快速發(fā)展，業(yè)務(wù)安全及反欺詐受到了更多的關(guān)注。

但現(xiàn)實(shí)情況是，大多數(shù)廠商并沒有像阿里和騰訊一樣與黑產(chǎn)相愛相殺一起成長，面對(duì)黑產(chǎn)的攻擊會(huì)一時(shí)無措。作為防守方，除了對(duì)抗技術(shù)外，更要增強(qiáng)對(duì)黑產(chǎn)的認(rèn)知，了解當(dāng)前在一些業(yè)務(wù)核心問題上的對(duì)抗階段和思路。

最近，在看雪安全開發(fā)者峰會(huì)上，來自威脅獵人的彭巍，通過多個(gè)黑產(chǎn)案例證明多數(shù)甲方在業(yè)務(wù)安全及反欺詐上很被動(dòng)的主要原因是缺乏對(duì)黑產(chǎn)的認(rèn)知，并幫助甲方研發(fā)梳理業(yè)務(wù)安全對(duì)抗思路并對(duì)當(dāng)前主要的一些風(fēng)險(xiǎn)場景具體說明。以下為彭巍演講實(shí)錄，雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）整理。

本次分享的主題是業(yè)務(wù)安全的發(fā)展趨勢以及對(duì)抗思路，我之前在金山毒霸負(fù)責(zé)系統(tǒng)和引擎開發(fā)，解決終端安全問題。今年年初加入了威脅獵人團(tuán)隊(duì)，這是一個(gè)專注業(yè)務(wù)安全相關(guān)黑灰產(chǎn)研究的團(tuán)隊(duì)，我的職務(wù)是產(chǎn)品總監(jiān)加服務(wù)端研發(fā)負(fù)責(zé)人。 

這是我分享的三個(gè)部分，第一，業(yè)務(wù)安全是什么。第二，業(yè)務(wù)安全昨天和今天。第三，針對(duì)對(duì)抗中的一些核心問題，提出對(duì)抗思路。

業(yè)務(wù)安全是什么

業(yè)務(wù)安全，顧名思義就是指企業(yè)業(yè)務(wù)上發(fā)生的安全問題。

業(yè)務(wù)安全范圍內(nèi)比較被大家所了解的場景包括：賬號(hào)安全、內(nèi)容安全、運(yùn)營活動(dòng)安全三大部分。

下面是它的詳細(xì)分支，包括黃牛刷單、羊毛黨等屬于業(yè)務(wù)安全的范疇。

業(yè)務(wù)安全解決的問題，大部分的情況就是去識(shí)別訪問業(yè)務(wù)的是機(jī)器還是人，這個(gè)人是惡意用戶還是正常用戶。

業(yè)務(wù)安全的昨天和今天

業(yè)務(wù)安全的歷史，首先按照移動(dòng)互聯(lián)網(wǎng)的爆發(fā)分為兩個(gè)大的階段，PC互聯(lián)網(wǎng)又可以分為兩個(gè)部分：

第一個(gè)階段，2007年之前，這個(gè)階段可以總結(jié)為剛起步的黑產(chǎn)對(duì)抗騰訊阿里等企業(yè)。

因?yàn)樵谶@個(gè)階段，2007年之前騰訊阿里等廠商因?yàn)楦髯詷I(yè)務(wù)逐漸開始涉及到龐大社交、游戲、線上交易等場景，于是黑產(chǎn)開始盯上這一塊利益，廠商也開始逐步重視。這個(gè)階段的特點(diǎn)其實(shí)是攻防節(jié)奏比較慢，防守方也是簡單風(fēng)控規(guī)則。

第二個(gè)階段，2008-2010年，這個(gè)階段黑產(chǎn)開始形成成熟的產(chǎn)業(yè)鏈，分工明確，各點(diǎn)擊穿，同時(shí)防護(hù)方也開始形成立體的風(fēng)控手段，這個(gè)階段業(yè)務(wù)安全開始作為企業(yè)安全的重要一環(huán)，被互聯(lián)網(wǎng)所認(rèn)知。目前為止攻守雙方是你來我往。

第三階段，隨著互聯(lián)網(wǎng)快速普及，各個(gè)細(xì)分領(lǐng)域快速增長，黑產(chǎn)逐漸健壯，大廠商是小步快跑以及新互聯(lián)網(wǎng)企業(yè)的崛起情況，這個(gè)時(shí)候攻守雙方逐漸拉開了距離。

在目前的階段，兩點(diǎn)明顯的趨勢：

1.場景爆發(fā)帶來的業(yè)務(wù)安全問題陡增。

這是一張監(jiān)控部分接碼平臺(tái)項(xiàng)目列表得出的分析報(bào)表，可以看到2011-2017年，薅羊毛產(chǎn)業(yè)鏈主要目標(biāo)O2O、互聯(lián)網(wǎng)金融、電商等都是極速增長，并且每天都有新的項(xiàng)目出現(xiàn)。

▲通過撞庫供給線路圖，每一年都有新增的出現(xiàn)

黑產(chǎn)的魔爪已經(jīng)無處不在，這是快銷行業(yè)常見的“再來一瓶”，也是我們通過接碼平臺(tái)發(fā)現(xiàn)快銷行業(yè)的各種關(guān)鍵詞，東鵬特飲、康師傅等。

這個(gè)二維碼不知道大家是否見過，現(xiàn)在快銷行業(yè)為了提高再來一瓶的體驗(yàn)，直接會(huì)把二維碼印在瓶身上，掃碼之后就可以關(guān)注它的微信號(hào)或者公眾號(hào)，然后抽獎(jiǎng)?lì)I(lǐng)紅包，但這些瓶蓋最終會(huì)流向廢品站，廢品站再集中回收流入黑產(chǎn)，黑產(chǎn)把這些二維碼數(shù)字化之后，通過海量的小號(hào)套取紅包，這樣導(dǎo)致廠商營銷費(fèi)用的損失，明明以前可以花1000萬做5000萬的事，現(xiàn)在得花3000萬。

2.黑產(chǎn)技術(shù)飛躍式的發(fā)展。

黑產(chǎn)技術(shù)發(fā)展超乎想象，人多，耗的錢也多，舉兩個(gè)例子。

①獲取IP資源的技術(shù)。

IP作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風(fēng)控方案之一，如何獲得 IP 資源也是黑灰產(chǎn)最先要解決的問題。

黑產(chǎn)獲得 IP 資源的方式也度過了幾個(gè)階段。最先開始通過匿名代理，然后掛機(jī)平臺(tái)批量獲取個(gè)人 ADSL 撥號(hào) IP ，再到現(xiàn)在虛擬化 ADSL 實(shí)現(xiàn)海量 IP 資源獲取。（秒撥）。

最后一個(gè)階段我們所說“秒撥”，目前黑產(chǎn)獲取 IP 資源的成本已經(jīng)大大降低。這是一個(gè)秒撥的截圖，看起來像 ADSI 家用的一樣，實(shí)際不是，這里會(huì)有一個(gè)啟用換 IP，還有某寶上搜索關(guān)鍵詞，大量類似服務(wù)都可以買到。

②接碼平臺(tái)技術(shù)

手機(jī)黑卡的流轉(zhuǎn)以前一直是影響黑產(chǎn)效率的問題，設(shè)備的流轉(zhuǎn)和卡的流轉(zhuǎn)不方便，耗費(fèi)成本。現(xiàn)在卡商和羊毛黨通過接碼平臺(tái)實(shí)現(xiàn)了手機(jī)黑卡無縫流轉(zhuǎn)，提高了黑產(chǎn)的生產(chǎn)效率，同時(shí)也對(duì)防守方產(chǎn)生很大的壓力。

上面是是接碼平臺(tái)的截圖，是接受驗(yàn)證碼平臺(tái)。

核心問題

這是網(wǎng)上看到的圖。

這就是業(yè)務(wù)安全最核心的問題，就是有一群人比你聰明，他們比你有更多的資源。那你怎么辦？

言歸正傳。業(yè)務(wù)安全防守方目前核心問題是攻守雙方信息嚴(yán)重不對(duì)稱的問題，體現(xiàn)在三個(gè)方面。

1.從攻擊方來說，攻擊場景爆發(fā)帶來攻擊平面快速增長。

2.這導(dǎo)致防守方的安全管理難度增大，守方對(duì)黑產(chǎn)認(rèn)知盲區(qū)增加，有一些觸網(wǎng)的大企業(yè)根本不知道這個(gè)面臨業(yè)務(wù)安全問題是什么。

3.傳統(tǒng)安全管理失控，傳統(tǒng)的安全團(tuán)隊(duì)都是期望與內(nèi)部業(yè)務(wù)部門制定標(biāo)準(zhǔn)，但是隨著業(yè)務(wù)的不斷發(fā)展，安全團(tuán)隊(duì)其實(shí)是無法感知業(yè)務(wù)安全上接口風(fēng)險(xiǎn)，因?yàn)槟闵踔炼疾恢滥骋粋€(gè)業(yè)務(wù)新增的接口，這今天總結(jié)起來防守方都不知道自己被攻擊了，都是事后被發(fā)現(xiàn)的。

這是認(rèn)知盲區(qū)的例子，是前段時(shí)間從某拼車APP血淚教育中的圖，雖然不是導(dǎo)致他們倒在資本寒冬中的原因，但是證明大部分廠商對(duì)于業(yè)務(wù)安全是完全未知的，這是一個(gè)拼車APP，每天補(bǔ)貼掉100萬，后來證明30%是被刷單者拿走了。

對(duì)抗思路

情報(bào)是各大安全領(lǐng)域的重要手段。

業(yè)務(wù)安全的情報(bào)主要是搜集什么樣的情報(bào)，兩個(gè)類別來說明：

1，開源情報(bào)：是指監(jiān)控QQ、論壇、QQ群、論壇、解碼平臺(tái)以及暗網(wǎng)獲得的開源情報(bào)。

這部分的情報(bào)經(jīng)分析可以直接還原出針對(duì)某一個(gè)企業(yè)的作案手段，直接起到告警或者預(yù)防的作用。上圖是我們監(jiān)控論壇的截圖，這是接碼平臺(tái)的截圖，剛剛提到東鵬特飲的例子，就是通過關(guān)鍵詞東鵬特飲而還原出整個(gè)作案手段的。

2，閉源情報(bào)：監(jiān)控黑產(chǎn)攻擊流量，可以更直接的監(jiān)控到黑產(chǎn)攻擊的詳細(xì)信息。

閉源情報(bào)可以提供到接口的詳情，甚至攻擊的來源以及路徑。這是視頻軟件刷流量的作案軟件，我們可以通過OD分析出來，直接提取出來這個(gè)下發(fā)任務(wù)的包，可以提取出來這個(gè)鏈接，可以直接寫代碼把這些情報(bào)提取出來。

這是監(jiān)控暗網(wǎng)攻擊流量的展示圖，可以看到目前暗網(wǎng)攻擊的TOP10，接口攻擊詳情、IP、地域等信息。

有了情報(bào)之后最明顯的價(jià)值就是，從之前業(yè)務(wù)安全防守時(shí)只能是事后發(fā)現(xiàn)，而導(dǎo)致了一直處于一個(gè)完全被動(dòng)處處救火的情況，變成完全可以提前采取預(yù)防措施。

另外，打造一個(gè)情報(bào)風(fēng)控識(shí)別方案，像撞庫識(shí)別方案，傳統(tǒng)的撞庫識(shí)別方案只是頻次控制，維度再多也很難區(qū)分出異常頻次波動(dòng)和正常業(yè)務(wù)帶來的頻次波動(dòng)。

有一些安全情報(bào)抓出來的攻擊流量，可以把異常頻次類的數(shù)據(jù)，和閉源情報(bào)提取出來的攻擊流量進(jìn)行特征對(duì)比，可以極大降低誤報(bào)率。

以上內(nèi)容來自看雪安全開發(fā)者峰會(huì)，雷鋒網(wǎng)整理。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。