围绕如何让业务安全情报在安全攻防中发挥价值的话题,邓欣以一名从事业务安全反欺诈10年的安全老兵的身份,与场内参会者进行了探讨。邓欣提出,在整个业务安全攻防体系里面,情报和风控是相互助推的两个齿轮。他将业务安全情报的价值归结为三点:提升攻防效率、评估攻防成本和效果,以及为攻防提供更好的可解释性。
以情报来识别黑产,洞悉黑产行为
在网络安全攻防中始终强调感知能力的建设,只有看得见敌人,看得清敌人的动作才能组织起有效防御。而在业务安全领域也是如此,如果不知道哪些人是黑产,黑产从哪里来,来了以后都做了什么,那么做好业务安全防护几乎无从谈起。因此,如何发现自身业务是否已经被黑产盯上,发现黑产实施攻击行为的攻击方法,是业务安全情报需要解决的两个首要问题。
邓欣认为,业务安全情报是一种高阶的知识,业务安全中的防守方如果缺失了情报能力,往往只能被动挨打。拥有情报能力,才能够化被动为主动,及时发现业务面临的各个风险场景。
邓欣举例,永安在线服务的某家企业客户曾在在今年6月份的时候上线了一个拉新活动,但由于风控不严谨的问题,导致活动受到了黑产团伙大规模攻击。但永安在线业务安全情报平台却没有忽视这个风险因素,捕获到了这一黑产团伙所使用的攻击工具,并将这一情报上报给了该企业。确认攻击事件存在后,这家企业客户迅速加强了风控策略,根据从该黑产工具中提取出来的特征对黑产账号进行了限制,从这个黑产团伙的大规模恶意攻击中摆脱出来。
假设没有业务安全情报预警的话,原有的风控规则无法识别出黑灰产恶意注册的行为,最终的结果很可能是企业业务显示拉新活动很成功,获取了很多新注册用户,营销费用没少花但实际业务也一直得不到预期的增长。
除了帮助风控感知未知威胁外,情报还能够发现风控的盲区。比如,当企业发现自身业务正在受到黑产的攻击,也根据黑产攻击行为优化调整了风控规则,那么风控是不是有效的?风控规则会不会再次被黑产团伙绕过呢?邓欣认为,这些问题都可以通过情报来回答。业务安全情报能够更好的跟风控机制交互,帮助风控发现盲区,以帮助用户不断地优化风控规则,有效提升对威胁风险的发现能力。
情报如何帮助企业合理评估攻防的成本和效果?
在邓欣看来,业务安全更多的是强调风险的可控,既然无法永久消灭黑产,那就去努力将其限制在一个可控的范围之内,让其无法对业务造成伤害。那么如何限制黑产呢?其中很关键的一点是提高投入产出比。“这也就是说我们要尽可能的提升黑产的作恶成本,同时尽可能的降低黑产的收益。那么如何得知黑产的攻击成本和收益是多少呢?答案还是要通过情报。”
邓欣在现场展示了曾服务过的某客户在活动期间的黑灰产监控数量和价格的走势图,他表示,随着活动的持续进行,企业的风控也会越来越成熟,到这个时候黑产注册账号数量和价格都出现了明显的下降趋势。
“成本和价格不能简单的划等号,因为和产注册账号后的死号率大幅提高了。”邓欣分析,在风控体系完善之前,注册十个号,一个号一块钱,十个账号都活下来了的话,单个账号成本就是一块钱;但风控体系完善之后再注册十个号,平均一个号五毛钱,但只活了一个号,那么单个账号成本就是五块钱。因此虽然价格下降了,但整体成本实际上是上升了。
业务安全情报天然具有比较好的可解释性
针对业务安全情报拥有较好的可解释性价值这一点,邓欣谈到,业务风控的数据输入来源就是业务数据,然后经过风控引擎的规则、策略,或算法,得出某一些业务请求应该放过还是应该限制和拦截,但是对限制名单中是否会存在误杀?是否会有漏洞的非法请求?很多时候业务风控很难去回答和解释。
业务安全情报则与之相反,其天然就具备较好的可解释性。因为业务安全情报输入不是业务数据,而是黑灰产所使用的资源、技术的数据。比如为什么要限制某个手机号?回答是正常用户不会使用这样的手机号;为什么要限制某一个IP地址?因为这个IP地址来源于黑产使用的秒拨平台等等。因此在情报的帮助下,风控在一定程度上也变得具备了可解释性,比如说限制的账号,跟情报里面来源于猫池手机号注册的账号具备同样的行为特征,这个就变得很好解释了。
除了业务安全情报在攻防中的应用价值外,邓欣还介绍了业务安全情报的产生机制,以及业务安全情报如何在攻防中进行实际应用和落地等实践经验。
邓欣最后表示,业务安全情报对于整个业务安全的攻防,具有不可替代的价值。而且随着线上业务的进一步发展,以及数字化转型,产业互联网的发展,业务安全情报的价值会越来越大。永安在线相信,依托于业务安全情报,每个企业也可以将业务安全的攻防做到完全自主可控。