基于情報提升企業風控攻防效率,助力企業在線業務健康發展
隨著數字化轉型進程的推進,越來越多的企業無論是主動或被動,都開始了業務層面的數字化轉型,而很多傳統企業在這一過程中,對于業務安全風險的認知未能及時跟上,安全建設不到位,幾乎空白的防御經驗在面對此類風險時無疑會捉襟見肘。因此,業務安全在企業數字化轉型過程中的重要性不言而喻,而通過第三方專業力量的引入,可以讓業務安全建設事半功倍,這也是安全419推出《業務安全解決方案》的目的之一,遴選出我國業務安全領域的優秀解決方案,以供相關安全建設需求方參考。
本期內容主角是來自深圳永安在線科技有限公司(以下簡稱“永安在線”)的業務風險情報平臺。據永安在線CSO鄧欣介紹,包括該公司創始人在內的核心團隊有著多年的黑產研究和攻防對抗經驗,在將情報用于業務風險識別和處置方面也有豐富的成功積淀,業務風險情報平臺正是將這些沉淀下來的能力和經驗所轉化而來的產物,以期為各行業用戶在相關業務安全建設提供更多助力,以更好應對日益復雜多變的網絡威脅形勢。
我國黑灰產規模化特征明顯對企業正常業務生態構成嚴重威脅
近些年,各類業務安全風險事件屢見不鮮,稍早一點如2018年1月曝出的某大型約車平臺出現數十萬不合資質的司機虛假注冊,涉及金額達數千萬元;2019年1月某購物平臺因優惠券漏洞被黑灰產團伙利用,不當牟利數額達到數千萬元。稍近一些如2021年6月某頭部電商平臺大量個人敏感信息被黑產人員批量爬取,涉案數據近12億條;2022年某學習軟件數據庫被黑產人員竊取,涉案數據達1.7億條。種種事件都告訴我們,黑灰產無處不在,任何行業、領域,無關乎企業規模之大小,只要有利益,均可成為攻擊者下手的目標。
我國的黑灰產到底有多“強”?如果表述得直白一些,那可謂是數字化時代的發展有多快,黑灰產的進步也同樣有多快。當前,數字化已經成為很多企業要面對的必答題,無非是速度快一些還是慢一些、質量高一些還是低一些而已,在該背景支撐下,業務的數字化也催生出各種各樣的業務形態,如直播帶貨、刷臉支付等,這些場景出現后很快就被黑灰產盯上,比如直播帶貨刷銷量,刷臉繞過人臉識別。
在數字化時代背景下,與企業業務的數字化伴生的安全風險無疑會顯著增加,永安在線認為,在網絡安全攻防中需始終強調感知能力的建設,只有看得見敵人,且看得清敵人的動作才能組織起有效防御。在業務安全領域也是如此,就是要不斷提升網絡黑灰產的發現能力,并與之持續對抗。鄧欣指出,如果不知道哪些人是黑產,黑產從哪里來,來了以后都做了什么,那么做好業務安全防護幾乎無從談起。
將風險發現能力前移至黑產產業鏈上游力爭將風險阻斷于早期
因此,在業務風險情報平臺的建設思路上,永安在線選擇了從上游入手進行布控,以盡可能保證將風險在早期階段予以阻斷。鄧欣表示,當前網絡黑產已經形成了非常龐大且成熟的產業鏈,上中下游分工明確,進行資源、物料、工具的交易,以及信息交流和交換;而永安在線的情報專家在對產業鏈結構足夠了解的前提下,通過滲入、潛伏、偽裝等方式,長期且深入地對黑產產業鏈上、中游進行全面布控,實時捕獲黑產攻擊數據,包括且不限于:
● 通過蜜罐布控,實時捕獲攻擊流量;
● 通過核心圈子布控,實時捕獲攻擊線報;
● 通過交易平臺布控,實時捕獲攻擊資源和物料;
● 通過傳播渠道布控,實時捕獲黑產攻擊工具等。
“基于這些捕獲到的海量原始攻擊數據,情報專家可運用我們所提供的自動化運營和分析平臺,從中提取出包括攻擊目標、攻擊資源和物料、攻擊技術、攻擊特征等相關信息并形成威脅情報,最終通過永安在線業務風險情報平臺,對遭受攻擊的目標客戶進行實時預警。”鄧欣介紹道。
圖:永安在線業務風險情報平臺架構圖
覆蓋事前、事中、事后三大階段實現對業務風險從感知到應對的閉環
在談到應對業務安全風險時,鄧欣表示,一個好的解決方案應具備覆蓋事前、事中、事后三個階段的能力,實現對業務風險從感知到應對的閉環。“站在企業用戶的角度去看這三個階段,我們會發現在不同的階段所要面對的難點也是不同的。”
事前階段
難以及時感知未知風險是企業用戶在該階段所面臨的最大難點。其主要表現為,當企業在遭受攻擊時并未有感知,而是在蒙受較大損失之后進行排查時才發現是由于自身某業務遭黑產攻擊所導致,這樣的情況下,即便查出原因,但攻擊已然發生,損失已然造成,這種后知后覺的情形無疑是企業不想看到的。更為值得注意的是,一些安全建設相對完善的大型互聯網企業同樣會暴露出類似問題。
針對這一難題,永安在線通過對黑產產業鏈尤其是上游部分進行全面布控,通過持續監測以力保能在攻擊發生的早期環節甚至是攻擊準備期就能感知,從而達到及時發現風險的目的。截至目前,永安在線基于全網部署的蜜罐體系和風險感知技術,每日捕獲數千萬條黑產攻擊流量、數百萬黑產攻擊線報和數千款黑產攻擊工具,并結合AI自動化分析技術和長年積累的情報分析專家經驗,可實時提取高價值的風險情報,幫助企業用戶及時感知風險。
鄧欣在這里也為我們描述了一個真實的案例,某黑產工具制作者將一款新編寫的自動化攻擊工具剛投入到傳播和售賣的階段,就已被永安在線業務風險情報平臺所捕獲,導致與該工具相關的后續一系列大規模攻擊發生前就被粉碎,在幫助用戶及時感知風險,并徹底規避后續可能會因該攻擊而導致的各類損失。
事中階段
難以精準辨別攻擊者和正常用戶是該階段所面臨的最大難點。其主要表現為,在防護策略上的制定左右為難,過于嚴格的策略可能會產生不少將正常用戶判定為攻擊者的誤報,從而對業務側產生不良影響,甚至會引來不停地抱怨和投訴;過于寬松的策略則容易令攻擊者發現其中漏洞并發起攻擊,而這些“漏網之魚”也同樣會對業務側帶來損失。
如想較好地克服這一難點,就對風險標簽的精準程度以及知識圖譜的分析能力提出了更高的要求。據鄧欣介紹,永安在線業務風險情報平臺當前已具備從純黑原始攻擊數據中對黑樣本庫的精準提取和特征識別能力,具體內容主要有以下幾點:
● 從接碼平臺、群接碼、網頁接碼等平臺的交易數據中,提取出黑產用于虛假注冊的黑手機號;
● 從秒撥平臺、動態代理IP等平臺的交易數據中,提取出黑產發起批量攻擊使用的實時黑IP池;
● 從蜜罐、自動化攻擊工具捕獲的攻擊流量中,提取出有別于正常用戶請求的惡意請求特征;
● 從賭博網站、跑分平臺的監控數據中,提取出參與洗錢的銀行卡號或支付賬號;
● 從真人眾包平臺發布的作弊任務中,提取出參與作弊的用戶標識等。
事后階段
難以有效地防范下一次攻擊是該階段所面臨的最大難點。鄧欣表示,如果企業用戶缺乏從攻擊者的視角對風險事件進行全面且深入的審計分析,必然會陷入一種頭痛醫頭、腳痛醫腳的錯誤境地,在面對后續可能出現的風險也將難以做到有效應對。
面對這一難點,永安在線的做法是通過對企業防御體系的全面評估并提供改進建議的方式,來幫助企業優化、調整風控策略,提高風控門檻,以站在全局的角度為企業決策層提供參考。
永安在線基于自身在黑產團伙最新的攻擊資源、物料、技術和手段的掌握能力,還原黑產攻擊全過程的模擬能力,對黑產攻擊成本的評估能力以及對黑產攻擊方式的破解能力,對企業用戶的防御體系進行較為全面的安全評估,以幫助企業能夠及時找出自身所存在的弱點。在此基礎上,結合企業業務實際情況,提供針對性的改進方案和建議。企業在發現問題的同時,可在專業人員的支持下解決安全問題,提升安全建設水平。
此前我們所接觸到的部分業務安全領域的風險感知或識別產品、工具時,用戶在應用時普遍對其相關業務數據的保護有一定的擔憂,如是否可能會被濫用等情況出現。針對這一問題,鄧欣表示,永安在線業務風險情報平臺已實現在無需用戶提供任何業務數據的情況下提供預警和防護能力,尤其是在SaaS化部署的情況下,無任何數據流出,對用戶業務數據自身的安全方面無任何影響,同時也有效規避在數據合規層面的風險。
在大家普遍較為關心的使用成本方面,鄧欣表示,用戶只需將自己的產品或業務名稱、相關關鍵字及資產域名等信息在永安在線業務風險情報平臺中配置完成,平臺便會自動開啟監控,其監控的具體內容包括:
● 命中域名的攻擊流量;
● 命中名字、關鍵詞或域名的自動化工具;
● 命中名字、關鍵詞的黑產討論;
● 命中名字、關鍵詞的作弊任務;
● 命中名字、關鍵詞的攻擊資源、物料等。
“用戶還可以自行配置預警的規則,當有潛在攻擊命中規則時,平臺會通過微信或郵件等方式自動推送風險情報給安全負責人或其他相關人員,利于第一時間響應。”鄧欣補充道,“同時,用戶可以通過輸入手機號、IP、域名、關鍵詞等信息的方式,在平臺中檢索相關內容。”
不斷追求情報技術與產品的創新為客戶創造持續而穩定的價值
永安在線于2021年邁出了戰略升級的關鍵一步,開始發力API安全領域,但這并不代表其未來將會弱化在業務風險情報領域的進一步發展,反而還會繼續不斷加強相關能力建設。
“業務風險情報是永安在線的核心安全能力之一,也是我們有別于其他安全廠商和合作伙伴的差異化優勢。”鄧欣強調道,“因此,我們接下來仍然會在該領域持續大力投入,在數字化業務時代之下,在有效應對愈演愈烈且不斷升級的黑產威脅方面,永安在線也將會不斷提升自身的情報能力,為客戶創造持續而穩定的價值。”
隨后,鄧欣從三個方面闡述了永安在線未來會在業務風險情報領域的未來發展規劃:
堅持基于情報的技術、產品創新。永安在線將會圍繞各個行業普遍關注的風險場景積極拓展,不斷進行技術、產品創新的嘗試,并基于“風險預警-風險評估-風險處置”完整閉環的流程,為各行業客戶的不同風險場景提供標準化的業務安全解決方案。
用情報賦能更多其他產品。大家所了解的永安在線API安全管控平臺實際上也是基于其自身在情報方面的核心能力,簡單來說,該平臺也是通過情報去及時發現正遭受黑產攻擊的API接口,并精準識別出訪問相關API接口的惡意請求流量,并可聯動WAF等安全設備及時阻斷。
共建開放的安全新生態。鄧欣表示,所有用戶均可通過企業郵箱免費注冊并使用開放版的業務風險情報平臺,實時監控和預警業務風險和API風險,快速驗證風險數據,為企業信息安全管理提供情報數據支撐,同時也為創建更加開放的安全新生態貢獻一份力量。
