随着数字化转型进程的推进,越来越多的企业无论是主动或被动,都开始了业务层面的数字化转型,而很多传统企业在这一过程中,对于业务安全风险的认知未能及时跟上,安全建设不到位,几乎空白的防御经验在面对此类风险时无疑会捉襟见肘。因此,业务安全在企业数字化转型过程中的重要性不言而喻,而通过第三方专业力量的引入,可以让业务安全建设事半功倍,这也是安全419推出《业务安全解决方案》的目的之一,遴选出我国业务安全领域的优秀解决方案,以供相关安全建设需求方参考。
本期内容主角是来自深圳永安在线科技有限公司(以下简称“永安在线”)的业务风险情报平台。据永安在线CSO邓欣介绍,包括该公司创始人在内的核心团队有着多年的黑产研究和攻防对抗经验,在将情报用于业务风险识别和处置方面也有丰富的成功积淀,业务风险情报平台正是将这些沉淀下来的能力和经验所转化而来的产物,以期为各行业用户在相关业务安全建设提供更多助力,以更好应对日益复杂多变的网络威胁形势。
我国黑灰产规模化特征明显 对企业正常业务生态构成严重威胁
近些年,各类业务安全风险事件屡见不鲜,稍早一点如2018年1月曝出的某大型约车平台出现数十万不合资质的司机虚假注册,涉及金额达数千万元;2019年1月某购物平台因优惠券漏洞被黑灰产团伙利用,不当牟利数额达到数千万元。稍近一些如2021年6月某头部电商平台大量个人敏感信息被黑产人员批量爬取,涉案数据近12亿条;2022年某学习软件数据库被黑产人员窃取,涉案数据达1.7亿条。种种事件都告诉我们,黑灰产无处不在,任何行业、领域,无关乎企业规模之大小,只要有利益,均可成为攻击者下手的目标。
我国的黑灰产到底有多“强”?如果表述得直白一些,那可谓是数字化时代的发展有多快,黑灰产的进步也同样有多快。当前,数字化已经成为很多企业要面对的必答题,无非是速度快一些还是慢一些、质量高一些还是低一些而已,在该背景支撑下,业务的数字化也催生出各种各样的业务形态,如直播带货、刷脸支付等,这些场景出现后很快就被黑灰产盯上,比如直播带货刷销量,刷脸绕过人脸识别。
在数字化时代背景下,与企业业务的数字化伴生的安全风险无疑会显著增加,永安在线认为,在网络安全攻防中需始终强调感知能力的建设,只有看得见敌人,且看得清敌人的动作才能组织起有效防御。在业务安全领域也是如此,就是要不断提升网络黑灰产的发现能力,并与之持续对抗。邓欣指出,如果不知道哪些人是黑产,黑产从哪里来,来了以后都做了什么,那么做好业务安全防护几乎无从谈起。
将风险发现能力前移至黑产产业链上游 力争将风险阻断于早期
因此,在业务风险情报平台的建设思路上,永安在线选择了从上游入手进行布控,以尽可能保证将风险在早期阶段予以阻断。邓欣表示,当前网络黑产已经形成了非常庞大且成熟的产业链,上中下游分工明确,进行资源、物料、工具的交易,以及信息交流和交换;而永安在线的情报专家在对产业链结构足够了解的前提下,通过渗入、潜伏、伪装等方式,长期且深入地对黑产产业链上、中游进行全面布控,实时捕获黑产攻击数据,包括且不限于:
•通过蜜罐布控,实时捕获攻击流量;
•通过核心圈子布控,实时捕获攻击线报;
•通过交易平台布控,实时捕获攻击资源和物料;
•通过传播渠道布控,实时捕获黑产攻击工具等。
“基于这些捕获到的海量原始攻击数据,情报专家可运用我们所提供的自动化运营和分析平台,从中提取出包括攻击目标、攻击资源和物料、攻击技术、攻击特征等相关信息并形成威胁情报,最终通过永安在线业务风险情报平台,对遭受攻击的目标客户进行实时预警。”邓欣介绍道。
图:永安在线业务风险情报平台架构图
覆盖事前、事中、事后三大阶段 实现对业务风险从感知到应对的闭环
在谈到应对业务安全风险时,邓欣表示,一个好的解决方案应具备覆盖事前、事中、事后三个阶段的能力,实现对业务风险从感知到应对的闭环。“站在企业用户的角度去看这三个阶段,我们会发现在不同的阶段所要面对的难点也是不同的。”
1、 事前阶段。难以及时感知未知风险是企业用户在该阶段所面临的最大难点。其主要表现为,当企业在遭受攻击时并未有感知,而是在蒙受较大损失之后进行排查时才发现是由于自身某业务遭黑产攻击所导致,这样的情况下,即便查出原因,但攻击已然发生,损失已然造成,这种后知后觉的情形无疑是企业不想看到的。更为值得注意的是,一些安全建设相对完善的大型互联网企业同样会暴露出类似问题。
针对这一难题,永安在线通过对黑产产业链尤其是上游部分进行全面布控,通过持续监测以力保能在攻击发生的早期环节甚至是攻击准备期就能感知,从而达到及时发现风险的目的。截至目前,永安在线基于全网部署的蜜罐体系和风险感知技术,每日捕获数千万条黑产攻击流量、数百万黑产攻击线报和数千款黑产攻击工具,并结合AI自动化分析技术和长年积累的情报分析专家经验,可实时提取高价值的风险情报,帮助企业用户及时感知风险。
邓欣在这里也为我们描述了一个真实的案例,某黑产工具制作者将一款新编写的自动化攻击工具刚投入到传播和售卖的阶段,就已被永安在线业务风险情报平台所捕获,导致与该工具相关的后续一系列大规模攻击发生前就被粉碎,在帮助用户及时感知风险,并彻底规避后续可能会因该攻击而导致的各类损失。
2、 事中阶段。难以精准辨别攻击者和正常用户是该阶段所面临的最大难点。其主要表现为,在防护策略上的制定左右为难,过于严格的策略可能会产生不少将正常用户判定为攻击者的误报,从而对业务侧产生不良影响,甚至会引来不停地抱怨和投诉;过于宽松的策略则容易令攻击者发现其中漏洞并发起攻击,而这些“漏网之鱼”也同样会对业务侧带来损失。
如想较好地克服这一难点,就对风险标签的精准程度以及知识图谱的分析能力提出了更高的要求。据邓欣介绍,永安在线业务风险情报平台当前已具备从纯黑原始攻击数据中对黑样本库的精准提取和特征识别能力,具体内容主要有以下几点:
·从接码平台、群接码、网页接码等平台的交易数据中,提取出黑产用于虚假注册的黑手机号;
·从秒拨平台、动态代理IP等平台的交易数据中,提取出黑产发起批量攻击使用的实时黑IP池;
·从蜜罐、自动化攻击工具捕获的攻击流量中,提取出有别于正常用户请求的恶意请求特征;
·从赌博网站、跑分平台的监控数据中,提取出参与洗钱的银行卡号或支付账号;
·从真人众包平台发布的作弊任务中,提取出参与作弊的用户标识等。
3、 事后阶段。难以有效地防范下一次攻击是该阶段所面临的最大难点。邓欣表示,如果企业用户缺乏从攻击者的视角对风险事件进行全面且深入的审计分析,必然会陷入一种头痛医头、脚痛医脚的错误境地,在面对后续可能出现的风险也将难以做到有效应对。
面对这一难点,永安在线的做法是通过对企业防御体系的全面评估并提供改进建议的方式,来帮助企业优化、调整风控策略,提高风控门槛,以站在全局的角度为企业决策层提供参考。
永安在线基于自身在黑产团伙最新的攻击资源、物料、技术和手段的掌握能力,还原黑产攻击全过程的模拟能力,对黑产攻击成本的评估能力以及对黑产攻击方式的破解能力,对企业用户的防御体系进行较为全面的安全评估,以帮助企业能够及时找出自身所存在的弱点。在此基础上,结合企业业务实际情况,提供针对性的改进方案和建议。企业在发现问题的同时,可在专业人员的支持下解决安全问题,提升安全建设水平。
此前我们所接触到的部分业务安全领域的风险感知或识别产品、工具时,用户在应用时普遍对其相关业务数据的保护有一定的担忧,如是否可能会被滥用等情况出现。针对这一问题,邓欣表示,永安在线业务风险情报平台已实现在无需用户提供任何业务数据的情况下提供预警和防护能力,尤其是在SaaS化部署的情况下,无任何数据流出,对用户业务数据自身的安全方面无任何影响,同时也有效规避在数据合规层面的风险。
在大家普遍较为关心的使用成本方面,邓欣表示,用户只需将自己的产品或业务名称、相关关键字及资产域名等信息在永安在线业务风险情报平台中配置完成,平台便会自动开启监控,其监控的具体内容包括:
1、命中域名的攻击流量;
2、命中名字、关键词或域名的自动化工具;
3、命中名字、关键词的黑产讨论;
4、命中名字、关键词的作弊任务;
5、命中名字、关键词的攻击资源、物料等。
“用户还可以自行配置预警的规则,当有潜在攻击命中规则时,平台会通过微信或邮件等方式自动推送风险情报给安全负责人或其他相关人员,利于第一时间响应。”邓欣补充道,“同时,用户可以通过输入手机号、IP、域名、关键词等信息的方式,在平台中检索相关内容。”
不断追求情报技术与产品的创新 为客户创造持续而稳定的价值
永安在线于2021年迈出了战略升级的关键一步,开始发力API安全领域,但这并不代表其未来将会弱化在业务风险情报领域的进一步发展,反而还会继续不断加强相关能力建设。
“业务风险情报是永安在线的核心安全能力之一,也是我们有别于其他安全厂商和合作伙伴的差异化优势。”邓欣强调道,“因此,我们接下来仍然会在该领域持续大力投入,在数字化业务时代之下,在有效应对愈演愈烈且不断升级的黑产威胁方面,永安在线也将会不断提升自身的情报能力,为客户创造持续而稳定的价值。”
随后,邓欣从三个方面阐述了永安在线未来会在业务风险情报领域的未来发展规划:
1、 坚持基于情报的技术、产品创新。永安在线将会围绕各个行业普遍关注的风险场景积极拓展,不断进行技术、产品创新的尝试,并基于“风险预警-风险评估-风险处置”完整闭环的流程,为各行业客户的不同风险场景提供标准化的业务安全解决方案。
2、 用情报赋能更多其他产品。大家所了解的永安在线API安全管控平台实际上也是基于其自身在情报方面的核心能力,简单来说,该平台也是通过情报去及时发现正遭受黑产攻击的API接口,并精准识别出访问相关API接口的恶意请求流量,并可联动WAF等安全设备及时阻断。
3、 共建开放的安全新生态。邓欣表示,所有用户均可通过企业邮箱免费注册并使用开放版的业务风险情报平台,实时监控和预警业务风险和API风险,快速验证风险数据,为企业信息安全管理提供情报数据支撑,同时也为创建更加开放的安全新生态贡献一份力量。
通过上述几点可以看出,永安在线的产品布局正在一步步展开,但业务风险情报作为其核心安全能力之一,也仍是未来重点投入的发展主线之一。目前,永安在线业务风险情报平台已为互联网、金融、电商、生活出行等行业300余家企业提供威胁情报服务,覆盖国内85%头部互联网企业,我们在制作本内容时还得知,在IDC发布的《IDC Perspective:中国网络安全威胁情报市场洞察,2022》报告中,永安在线入选为IDC威胁情报推荐厂商,综合考虑其团队能力、研发能力、产品能力,落地能力以及业务风险情报平台在应对相关风险时的及时性、有效性、易用性等诸多特点,可有效帮助企业解决账号安全、营销反欺诈、流量欺诈、接口安全在内的诸多业务安全问题,为企业风控提升攻防效率,赋能企业在线业务健康发展。