一天，某銀行活動部門發(fā)現(xiàn)，今年投入的 2000 萬營銷費(fèi)用中，1800 萬被羊毛黨薅走了。

銀行可能經(jīng)歷了兩個套路。

套路一：沒什么風(fēng)控措施，羊毛黨一擁而上，活動負(fù)責(zé)人看著火熱的活動數(shù)據(jù)沾沾自喜，沒想到辛辛苦苦拉的新在一個星期內(nèi)就掉光了。

套路二：有風(fēng)控措施，但是銀行內(nèi)鬼將風(fēng)控規(guī)則透露給了外部同伙，同伙根據(jù)信息調(diào)整了策略，繞過風(fēng)控，事后兩方分錢。

還有騙貸的。

9 月 6 日，據(jù)新聞報道，XX銀行兩員工參與騙貸 4200 萬，原來，兩名XX銀行的員工在外注冊了兩家公司，編造虛假的貸款用途騙取銀行貸款，自己申請自己審批，來了個騙貸一條龍服務(wù)。

受害的不只是銀行，還有銀行的客戶，比如，每一個普普通通走進(jìn)銀行存錢、貸款、辦理理財?shù)绕渌鹑诜?wù)的人。

這些人是怎么受害的呢？

最近有一個讓人啼笑皆非的“解凍民族資產(chǎn)”詐騙故事。這個故事的套路很古老，大致是“古代帝王在XXX有巨額資產(chǎn)，現(xiàn)在需要大家贊助一下，提取資產(chǎn)后將拿出很多扶貧資金給籌款的人”，這個受害者團(tuán)隊的頭頭馬銀帶領(lǐng)團(tuán)隊籌集了一筆高達(dá) 80 億元的扶貧款。

這個故事的魔幻之處在于上當(dāng)受騙者的信息被層層倒賣，大家覺得“你好騙，就都來騙一下”。

“馬銀等人的電話信息會在詐騙者圈中倒賣，本來我在騙他，騙了幾次之后，覺得再要錢可能要不過來了，就賣給你，你再冒充其他身份來騙他。一個‘豬頭’，常常有好幾個人來割一刀?！逼渲幸粋€詐騙者說。

回到前面說的銀行的故事，作為某個銀行客戶的你是不是經(jīng)常接到詐騙、推銷等騷擾電話？一個接一個，你都不知道，到底有多少人拿到了你的信息。

在內(nèi)外攻擊混合雙打下，個人信息不知不覺被多個黑灰產(chǎn)盤剝，甚至遭遇多重“宰殺”。

他們能玩的把戲不只這些，看看這份黑灰產(chǎn)動作清單，表格顏色越深，代表形勢越嚴(yán)峻：

不只是銀行，保險、理財、運(yùn)營商、互聯(lián)網(wǎng)等多個領(lǐng)域，個人與政府機(jī)構(gòu)、企業(yè)一起一同遭受網(wǎng)絡(luò)威脅。不過，今天我要講的故事主要還是給這些機(jī)構(gòu)“治病”，而非個人。

幫我分析“病情”的老醫(yī)生來自芯盾時代，他叫杜旭，有 20 多年的安全從業(yè)經(jīng)驗(yàn)，現(xiàn)任芯盾時代合伙人、產(chǎn)品市場部副總裁。

【杜旭】

杜旭把這種“病”劃分到了“業(yè)務(wù)安全”。業(yè)務(wù)安全是指保護(hù)業(yè)務(wù)系統(tǒng)免受安全威脅的措施或手段，你可以理解為你去一家銀行辦理業(yè)務(wù)，一家保險公司幫你處理保險業(yè)務(wù)，公司職工辦公所要流轉(zhuǎn)的業(yè)務(wù)系統(tǒng)的安全。

前面的安全風(fēng)險顯得很復(fù)雜，但是杜旭開出的“藥方”卻只有一個：搞清楚使用“業(yè)務(wù)”的人是誰，只讓他使用規(guī)定動作內(nèi)的業(yè)務(wù)，就像你約了小紅去唱K，就要保證來的是小紅，由于預(yù)算有限，規(guī)定動作就是 唱K，不能吃飯。而要達(dá)到這一目的，使用的工具也超級簡單——手機(jī)，21世紀(jì)最讓人上頭的產(chǎn)品。

你只需要拿出一個手機(jī)，背后的瀚海星辰由技術(shù)人員負(fù)責(zé)。

“用戶是C”的B端客戶的藥方

剛開始，大家都學(xué)會了一種方法：輸入手機(jī)號碼，拿起手機(jī)看看收到的短信驗(yàn)證碼，填進(jìn)去，這樣就完成了身份認(rèn)證。

有一天，狡猾的黑灰產(chǎn)學(xué)會了攔截短信驗(yàn)證碼，這種驗(yàn)證方式突然變得不那么可靠了。既然不那么安全，那就上人臉識別吧，至少“大部分人做不到模仿一個活人的臉”。但是，用戶要是每次使用銀行的服務(wù)，除了使用短信驗(yàn)證碼，還要再來一次人臉識別，肯定不太愉快，銀行也在想：到底應(yīng)該給誰彈出人臉識別的雙重認(rèn)證？

為了準(zhǔn)確判斷“誰應(yīng)該再贏得一次信任”，需要再上幾個維度綜合判斷，除了用戶能感受到的密碼、生物等維度，技術(shù)人員（后來就是機(jī)器）在背后從應(yīng)用、時間、歷史等7個維度進(jìn)行判斷。

這是三年前老醫(yī)生想的第一種辦法，名為 MFA（多因素）認(rèn)證，現(xiàn)在用得挺好的。但銀行又提出了新的需求，既然手機(jī)端可以這么應(yīng)用，電腦端、小程序等用戶能接觸到的全渠道都要能用上這種身份認(rèn)證，而且要保證就算黑灰產(chǎn)刷機(jī)也不能抹滅自己的痕跡。

黑灰產(chǎn)常試圖讓老醫(yī)生看不出這些數(shù)據(jù)來自同一個機(jī)器，但是老醫(yī)生自有應(yīng)對之道：利用幾千個維度確認(rèn)這些信息是否來自同一臺機(jī)器。“盡管可以刷新幾個指標(biāo)，但通過硬件指標(biāo)判斷，比如cpu性能、顯卡性能等，每一臺機(jī)器都有恒定且唯一的標(biāo)記，不容更改。甚至，還能知道機(jī)器上裝了哪些應(yīng)用軟件，軟件是什么版本等?！倍判裾f，這就是端點(diǎn)核心安全（EDR）。

銀行不能光憑“你說好”就相信你，它給出了 100 萬條測試數(shù)據(jù)，要求大家用自己的方法來進(jìn)行 POC 測試。

所謂 POC 測試，就是業(yè)界流行的針對客戶具體應(yīng)用的驗(yàn)證性測試，根據(jù)用戶對采用系統(tǒng)提出的性能要求和擴(kuò)展需求的指標(biāo)，在選用服務(wù)器上進(jìn)行真實(shí)數(shù)據(jù)的運(yùn)行，對承載用戶數(shù)據(jù)量和運(yùn)行時間進(jìn)行實(shí)際測算，并根據(jù)用戶未來業(yè)務(wù)擴(kuò)展的需求加大數(shù)據(jù)量以驗(yàn)證系統(tǒng)和平臺的承載能力和性能變化。

說得更簡單點(diǎn)，銀行用戶在測試數(shù)據(jù)里混入了一些“渾水摸魚”的高風(fēng)險數(shù)據(jù)，對應(yīng)現(xiàn)實(shí)操作，你能否全部找出來？

杜旭說，光給我這些數(shù)據(jù)，我也看不出來。

于是，他給了銀行進(jìn)行身份認(rèn)證的 SDK，讓銀行的機(jī)器再跑一段時間，再拿出100萬條數(shù)據(jù)進(jìn)行測試?！盎?SDK 跑的情況，我可以告訴你這 100 萬條信息來自于一百部手機(jī)?！崩厢t(yī)生胸有成竹。

用身份認(rèn)證技術(shù)知道用戶是誰還不夠，還需要知道他們干了什么，這是從“行為”角度進(jìn)行的二次確認(rèn)。

問題來了，既然你說只要是確認(rèn)是“好人”，那么“好人”進(jìn)來應(yīng)該不會發(fā)生“壞事”吧？為什么還要考察“行為”？杜旭告訴雷鋒網(wǎng)，因?yàn)閺膯蝹€客戶看，他可能是個干凈的用戶，但是如果關(guān)聯(lián)行為，會發(fā)現(xiàn)這個人有很高的風(fēng)險。

比如，信用清白的 A、B、C、D、E、F 分別申請借貸 10 萬，最后錢都倒了 G 的賬戶，說不定是黑灰產(chǎn)買賣了個人信息，或者以各種手段誘騙用戶借貸分成，最后給平臺造成追也追不回的壞賬。

不過，杜旭的想法依然是，通過鎖定設(shè)備身份，監(jiān)控設(shè)備是否有類似的不合理的群體行為，這個方案叫做“智能行為認(rèn)證 IPA ”。

發(fā)現(xiàn)用戶是誰，能做什么，確認(rèn)用戶到底做了什么，這兩個方案構(gòu)成了老醫(yī)生杜旭開給“用戶是C”的B端客戶的藥方。

抓出內(nèi)鬼和披著羊皮的狼

還有一類客戶沒有 C 端用戶，那么，他們的業(yè)務(wù)安全就容易做了嗎？并沒有，抓披著“良人”外套的內(nèi)鬼或者“攻擊者”也很難。

芯盾時代曾經(jīng)有個大型連鎖超市的客戶，它的員工遍布全國，有7萬人，二級單位有1000多個，這還沒有包括不同供應(yīng)商，誰能保證所有人都和老板一條心？

不僅不是一條心，還可能用 AI 冒充老板指揮員工打錢。

這個價值 173 萬元的詐騙就是這樣發(fā)生的：一天，英國子公司的 CEO 接到了德國母公司“老板”電話，老板操著一副德國腔的英文跟 CEO 聊起了天，原來，德國“老板”在跟“匈牙利供應(yīng)商”談生意，賬要從英國的子公司走，也就是英國子公司把錢打給“匈牙利供應(yīng)商”，德國的母公司后續(xù)再給英國子公司補(bǔ)款，德國“老板”要在一個小時之內(nèi)給“匈牙利供應(yīng)商”的賬戶打 22 萬歐元，折合人民幣173萬元。

因?yàn)檫@個聲音跟老板一毛一樣，CEO 毫不猶豫地打錢了，直到騙子沒騙夠，準(zhǔn)備再來一輪詐騙時，CEO 才發(fā)現(xiàn)不對勁。

一樣的路徑是，是否有人可以冒充老板或者員工的賬號等獲得相關(guān)權(quán)限？

杜旭把給“用戶是 C ”的 B 端客戶的“配藥原理”用到了這一類他們稱之為“E”端的客戶上，依舊簡單的是：他們要了解用戶是誰，有什么權(quán)限，干了些什么。

這一次，也是利用手機(jī)作為最簡單的介質(zhì)，稍微“輕松”一點(diǎn)的是，他們在確認(rèn)用戶身份時，只有一個核心路徑：確保只有 A 能做 A 做的事情，所有偏離固定路徑的行為和人都被認(rèn)為“有問題”。

來到第一個問題，怎么確保是“A”？

在訪問操作源頭就進(jìn)行身份核實(shí)，把以前公司派發(fā)的“U盾”轉(zhuǎn)變成手機(jī)認(rèn)證，不過不同的是，還需要在手機(jī)里裝一個驗(yàn)證 App，這個 App 在手機(jī)里有一塊單獨(dú)的區(qū)域，就像深處鬧市中的一個跟監(jiān)獄一樣守衛(wèi)森嚴(yán)的房子，如果要登陸業(yè)務(wù)系統(tǒng)，只有通過這個 App 發(fā)出“鑰匙”，才能進(jìn)入。

但身份驗(yàn)證只是撇開無權(quán)限用戶的手段，對于找出內(nèi)鬼而言，還需要核心武器：監(jiān)測、分析用戶的行為。

根據(jù)常態(tài)行為，發(fā)現(xiàn)異常情況，這是老醫(yī)生開出的“持續(xù)自適應(yīng)認(rèn)證”，每隔一個時間點(diǎn)，這個武器就會檢查用戶的狀態(tài)是否變化，是否有越權(quán)行為。比如，用戶 IP 沒有變化，但是登陸的驗(yàn)證方式卻突然從電腦轉(zhuǎn)移到手機(jī)端，“持續(xù)自適應(yīng)認(rèn)證”就要結(jié)合其他維度，考慮是否彈出其他驗(yàn)證方式，驗(yàn)證用戶是否合法。

在這個過程中，如果用戶沒有任何異常的行為，這個武器像一個靜默的記錄者，不斷地建立對用戶的印象，慢慢地知道了你的常規(guī)狀態(tài)，就像跟你一起生活了三年的鄰居大媽，一直覺得你是個安靜的小哥哥，突然發(fā)現(xiàn)你家有人連續(xù)一個月在深夜蹦迪，相信我，她一定會來砸門的。

不過，這個方案的核心不在于“抓住內(nèi)鬼，嚴(yán)刑拷打”，而在于保護(hù)正常的工作流程，簡單來說，你可以把它理解為保安，而非警察。

“因?yàn)檫@涉及到一個用戶打擾率的問題，我們也不可能嚴(yán)格到只要你偏離了一點(diǎn)，就馬上再次認(rèn)證，還是需要經(jīng)過其他維度的評分?！倍判駥卒h網(wǎng)說。

還有一個關(guān)鍵問題，假如老醫(yī)生真的要給有 7 萬名員工的企業(yè)上這個“持續(xù)自適應(yīng)認(rèn)證”，難道它要根據(jù) 7萬名員工的行為來生成 7 萬個模型？

當(dāng)然不是。

“規(guī)則發(fā)現(xiàn)和規(guī)則權(quán)重調(diào)整都是靠機(jī)器學(xué)習(xí)模型通過歷史性算出來的，AI 會根據(jù)不同的人群生成類似的模型，并通過一定頻率更改不同的驗(yàn)證規(guī)則?！倍判駥卒h網(wǎng)說。

也就是說，你可以把之前想象中的鄰居大媽理解成隔壁不同的物業(yè)，負(fù)責(zé)一個個轄區(qū)，而且這個物業(yè)還挺人性，會根據(jù)小區(qū)的發(fā)展開發(fā)不同的管理策略。

這兩類針對不同用戶的方案看上去還挺動態(tài)和復(fù)雜，但用戶能體驗(yàn)到的就是一項手機(jī)操作而已，這也是一個“問診”二十年老醫(yī)生的滿滿誠意：復(fù)雜的招式簡單化，讓你一個手機(jī)走天下。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。