随着数字化转型的不断深化,企业的IT设施、数据资产、用户信息、业务环节通通迁移或原生于线上,环境日益开放,边界愈发模糊,众多核心和高附加值的业务面临重重安全隐患,比如恶意营销诈骗、活动作弊薅羊毛、盗号掠夺账户资源等等。
虎视眈眈的互联网黑灰产是造成业务风险的罪魁祸首,根据安全419的观察,受高额经济利益驱使,黑灰产的攻击技术和资源不断推陈出新,并形成了分工协作、严密配合的组织架构和供应链,让攻击活动越来越自动化、复杂、难对抗的同时,还可对外提供成熟的运作模式和攻击服务,降低门槛以吸纳更多人员入局,周而复始让黑灰产生态循环壮大。
威胁猎人于今年初发布的《2023年互联网黑灰产研究年度报告》就指出,2023年,黑灰产从业人员人数超过580万,同比上升141%,作恶手机号、风险IP、洗钱银行卡等攻击资源数量均呈现大幅上升趋势,黑产攻防对抗空前激烈。
对于数字化进程中的企业而言,业务安全已成企业高质量发展不可忽视的关键,其在构建及运营业务安全体系时,往往陷入很现实的窘境,一方面,面对业务风险,企业难以跟上攻击者诡谲多变的招数,因而对自身的威胁态势缺乏清晰认知,这属于攻防信息的不对等。另一方面,面对安全需求,防护体系需要顺应业务目标,但不同的业务活动对黑灰产的容忍度不尽相同,难以维持发展与安全的平衡,这属于安全度量的缺失。
当业务场景无限拓展,业务边界逐渐消失,安全419认为,本质上,攻击的危害程度和安全的防护效果都不再是一成不变的,因此需要一套科学、客观且全面的评估体系,为企业客观呈现遭受攻击带来的危害程度及安全策略实施后的效果等,即可以根据具体的业务安全目标,再结合具体的业务场景,构建针对性的防护体系,让“安全”能够弹性适配每一个具体的业务活动和业务活动的每一个阶段,让安全价值得以发挥和量化。
安全419了解到,威胁猎人近日发布《业务安全蓝军测评标准白皮书(2024年版)》,正是通过建立一套业务安全脆弱性评分(Interaction Security Vulnerability Score,ISVS)标准,评估黑灰产攻击给某个业务对象带来的危害,客观反映出当前业务安全的水位,及时暴露短板,并以此推动整改和治理。研读该标准白皮书,我们梳理出如下值得关注的亮点:
标准时隔四年再升级 可实施性进一步提升
早在2020年,威胁猎人发布了业内首个《业务安全蓝军测评标准白皮书》,填补了业务安全风险评估体系的空白,完成了理论阶段的业务安全脆弱性评分(ISVS)计算。
在实战中,一些实操困难开始涌现。一是并非所有场景都适用ISVS公式中的每个参数(比如人脸识别场景下,较少涉及最终变现环节且变现金额难以估算,导致无法得出比较准确的ROI),二是需投入大量时间精力把跟测评相关的所有黑产产业链都研究清楚,才能估算出每个参数合适的值,实施过重。
因此,威胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全蓝军实战经历,对原标准进行了修订和更新,将新标准中的业务安全脆弱性评分(ISVS)计算公式调整为:
ISVS = Max ( 攻击效率AE * 目标达成率AR )
从过去几年比较成功的蓝军案例来看,企业客户都会带着特定的测评目标,同时重点关注完成目标过程中可能存在的攻击方案以及每个方案的成功率。以上两个指标各自评估出一个区间得分,相乘便得到ISVS评分。当采用多个攻击方案进行测评,需要综合多个攻击方案的ISVS评分,基于木桶短板原则取最大值。ISVS分数越高,则说明测评对象面临该攻击方案时越脆弱,若黑灰产使用该方案对业务发起攻击,造成的危害越大。
某产品面对五种攻击方案时ISVS取值的散点图分布
纵观标准的升级过程,新标准进一步关注测评可行性和目标达成,可落地性更强。
模拟复现黑灰产攻击过程 多维度对比按需治理
根据前述ISVS计算公式,在实施中的操作步骤为,首先需要定义清晰的测评对象和目标,并针对此列出所有的攻击方案,为每个攻击方案设定攻击效率AE和目标达成率AR两个评估参数,从而根据公式得出每个攻击方案的ISVS,最后结合所有攻击方案的分数计算出本次测评的最终分数。
这样的评估思路,将完全从攻击者视角出发,以企业的某个业务对象为攻击目标,使用黑灰产的攻击方式对该对象发起模拟攻击测试,还原复现整个攻击过程和细节。此举意在扭转攻防信息不对等的现状,帮助企业了解到敌方的产业链现状,比如其投入的攻击资源、攻击成本,采用的攻击手段,产出的利益等等,企业可以结合最终的攻击结果评估黑灰产攻击给该业务对象带来的危害,进而从自身的成本、资源等多维度综合考量防护体系的构建,及时调整风控策略及规则。
进一步来看,虽然ISVS分数越高则说明测评对象面临该攻击方案时越脆弱,但ISVS评分的意义并不是去追求极致的低分以达到绝对的安全。
正如开篇所说,如今的业务安全目标存在弹性,基于发展与安全的平衡,企业需要将攻击限制在可控的范围内,ISVS评分可以通过明确的定义建立评分基准值,如可控基线和失控基线,通过基线对比判定测评对象的安全水位是否已失控。同时,在测评对象和预期目标不变的情况下,ISVS评分也会随着业务安全水位的变化和黑灰产攻击方式的升级迭代而变化,因此测评需要周期性地进行,通过ISVS评分的纵向对比来反映安全建设工作的实际成效,以及是否出现了新的短板。此外,需要跟行业内的同类业务进行横向对比,如果相比行业内的同类业务,ISVS评分偏高,则需要尽快加强安全建议,因为相对薄弱的业务必然会成为黑灰产的重点攻击对象。
相对应的,该标准也提到了不同类型的业务安全蓝军测评。比如基于基线对比的基础测评,适用于在业务安全建设早中期建立对黑灰产的清晰认知;比如基于纵向对比的周期测评,适用于长期开展的业务功能或营销活动,评估各项安全策略的效果;基于横向对比的行业横评,适用于观察测评对象在行业内的安全水位。
在安全419看来,看似简单的ISVS评分公式,作为一种理论层面的指导,在实施过程中通过模拟真实的黑产攻击活动形成了覆盖全面的攻击方案,让测评真实可信,并且以业务发展阶段和业务活动场景为抓手,按需进行相应的测评,推动构建针对性的业务安全体系,为企业客户创造实际的安全价值。《业务安全蓝军测评标准白皮书(2024年版)》提供的测评案例、评测类型以及评测场景,非常详尽地说明了该标准的应用之道。
写在最后
发展至今,企业资产与业务正在全面地向数字化迁移甚至是原生于数字化环境,“安全”再也无法采用过去的外挂式围墙进行严防死守。
这种趋势反映了两点变化,一是仅依靠攻防技术手段围追堵截,便是在攻击者后方追击,永远陷于被动,优秀的防御应该知己知彼,达到“敌方未攻我先控”的状态;二是企业的发展总是会引入未知的威胁,对于风险的态度需要从零容忍进化到动态平衡,利用管理、度量、评估的思维和体系在更低的成本投入中提高被攻击的门槛,让风险可控,让业务得以安全地运行。
因此我们可以看到,近年来,企业客户逐渐接受围绕安全风险为核心进行技术、组织、流程上的综合治理,风险评估、安全运营、安全有效性验证等手段和方案在各行业都愈加受到重视。聚焦到业务安全细分领域,业务安全蓝军测评标准正是该领域风险评估体系的重要支撑,直面攻防信息不对等、安全策略效果难评估等难题,让业务安全问题的治理形成按需构建、弹性适配、可度量可验证的闭环。
与此同时,标准的普及应用也依赖市场化的实战与检验,在互联网、金融、出行、电商、快消等业务安全领域重点行业,我们期待看到更多的业务安全蓝军测评方案和案例,在实战中反哺标准,让产业生态更加完善。