雷鋒網(wǎng)編者按：如果說業(yè)務安全在 2012 年之前還只是以阿里、騰訊及攜程等為主的局部戰(zhàn)場，近些年隨著垂直電商、社交、移動游戲和 O2O 等領(lǐng)域的快速發(fā)展，業(yè)務安全及反欺詐受到了更多的關(guān)注。

但現(xiàn)實情況是，大多數(shù)廠商并沒有像阿里和騰訊一樣與黑產(chǎn)相愛相殺一起成長，面對黑產(chǎn)的攻擊會一時無措。作為防守方，除了對抗技術(shù)外，更要增強對黑產(chǎn)的認知，了解當前在一些業(yè)務核心問題上的對抗階段和思路。

最近，在看雪安全開發(fā)者峰會上，來自威脅獵人的彭巍，通過多個黑產(chǎn)案例證明多數(shù)甲方在業(yè)務安全及反欺詐上很被動的主要原因是缺乏對黑產(chǎn)的認知，并幫助甲方研發(fā)梳理業(yè)務安全對抗思路并對當前主要的一些風險場景具體說明。以下為彭巍演講實錄，雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）整理。

本次分享的主題是業(yè)務安全的發(fā)展趨勢以及對抗思路，我之前在金山毒霸負責系統(tǒng)和引擎開發(fā)，解決終端安全問題。今年年初加入了威脅獵人團隊，這是一個專注業(yè)務安全相關(guān)黑灰產(chǎn)研究的團隊，我的職務是產(chǎn)品總監(jiān)加服務端研發(fā)負責人。 

這是我分享的三個部分，第一，業(yè)務安全是什么。第二，業(yè)務安全昨天和今天。第三，針對對抗中的一些核心問題，提出對抗思路。

業(yè)務安全是什么

業(yè)務安全，顧名思義就是指企業(yè)業(yè)務上發(fā)生的安全問題。

業(yè)務安全范圍內(nèi)比較被大家所了解的場景包括：賬號安全、內(nèi)容安全、運營活動安全三大部分。

下面是它的詳細分支，包括黃牛刷單、羊毛黨等屬于業(yè)務安全的范疇。

業(yè)務安全解決的問題，大部分的情況就是去識別訪問業(yè)務的是機器還是人，這個人是惡意用戶還是正常用戶。

業(yè)務安全的昨天和今天

業(yè)務安全的歷史，首先按照移動互聯(lián)網(wǎng)的爆發(fā)分為兩個大的階段，PC互聯(lián)網(wǎng)又可以分為兩個部分：

第一個階段，2007年之前，這個階段可以總結(jié)為剛起步的黑產(chǎn)對抗騰訊阿里等企業(yè)。

因為在這個階段，2007年之前騰訊阿里等廠商因為各自業(yè)務逐漸開始涉及到龐大社交、游戲、線上交易等場景，于是黑產(chǎn)開始盯上這一塊利益，廠商也開始逐步重視。這個階段的特點其實是攻防節(jié)奏比較慢，防守方也是簡單風控規(guī)則。

第二個階段，2008-2010年，這個階段黑產(chǎn)開始形成成熟的產(chǎn)業(yè)鏈，分工明確，各點擊穿，同時防護方也開始形成立體的風控手段，這個階段業(yè)務安全開始作為企業(yè)安全的重要一環(huán)，被互聯(lián)網(wǎng)所認知。目前為止攻守雙方是你來我往。

第三階段，隨著互聯(lián)網(wǎng)快速普及，各個細分領(lǐng)域快速增長，黑產(chǎn)逐漸健壯，大廠商是小步快跑以及新互聯(lián)網(wǎng)企業(yè)的崛起情況，這個時候攻守雙方逐漸拉開了距離。

在目前的階段，兩點明顯的趨勢：

1.場景爆發(fā)帶來的業(yè)務安全問題陡增。

這是一張監(jiān)控部分接碼平臺項目列表得出的分析報表，可以看到2011-2017年，薅羊毛產(chǎn)業(yè)鏈主要目標O2O、互聯(lián)網(wǎng)金融、電商等都是極速增長，并且每天都有新的項目出現(xiàn)。

▲通過撞庫供給線路圖，每一年都有新增的出現(xiàn)

黑產(chǎn)的魔爪已經(jīng)無處不在，這是快銷行業(yè)常見的“再來一瓶”，也是我們通過接碼平臺發(fā)現(xiàn)快銷行業(yè)的各種關(guān)鍵詞，東鵬特飲、康師傅等。

這個二維碼不知道大家是否見過，現(xiàn)在快銷行業(yè)為了提高再來一瓶的體驗，直接會把二維碼印在瓶身上，掃碼之后就可以關(guān)注它的微信號或者公眾號，然后抽獎領(lǐng)紅包，但這些瓶蓋最終會流向廢品站，廢品站再集中回收流入黑產(chǎn)，黑產(chǎn)把這些二維碼數(shù)字化之后，通過海量的小號套取紅包，這樣導致廠商營銷費用的損失，明明以前可以花1000萬做5000萬的事，現(xiàn)在得花3000萬。

2.黑產(chǎn)技術(shù)飛躍式的發(fā)展。

黑產(chǎn)技術(shù)發(fā)展超乎想象，人多，耗的錢也多，舉兩個例子。

①獲取IP資源的技術(shù)。

IP作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風控方案之一，如何獲得 IP 資源也是黑灰產(chǎn)最先要解決的問題。

黑產(chǎn)獲得 IP 資源的方式也度過了幾個階段。最先開始通過匿名代理，然后掛機平臺批量獲取個人 ADSL 撥號 IP ，再到現(xiàn)在虛擬化 ADSL 實現(xiàn)海量 IP 資源獲取。（秒撥）。

最后一個階段我們所說“秒撥”，目前黑產(chǎn)獲取 IP 資源的成本已經(jīng)大大降低。這是一個秒撥的截圖，看起來像 ADSI 家用的一樣，實際不是，這里會有一個啟用換 IP，還有某寶上搜索關(guān)鍵詞，大量類似服務都可以買到。

②接碼平臺技術(shù)

手機黑卡的流轉(zhuǎn)以前一直是影響黑產(chǎn)效率的問題，設備的流轉(zhuǎn)和卡的流轉(zhuǎn)不方便，耗費成本。現(xiàn)在卡商和羊毛黨通過接碼平臺實現(xiàn)了手機黑卡無縫流轉(zhuǎn)，提高了黑產(chǎn)的生產(chǎn)效率，同時也對防守方產(chǎn)生很大的壓力。

上面是是接碼平臺的截圖，是接受驗證碼平臺。

核心問題

這是網(wǎng)上看到的圖。

這就是業(yè)務安全最核心的問題，就是有一群人比你聰明，他們比你有更多的資源。那你怎么辦？

言歸正傳。業(yè)務安全防守方目前核心問題是攻守雙方信息嚴重不對稱的問題，體現(xiàn)在三個方面。

1.從攻擊方來說，攻擊場景爆發(fā)帶來攻擊平面快速增長。

2.這導致防守方的安全管理難度增大，守方對黑產(chǎn)認知盲區(qū)增加，有一些觸網(wǎng)的大企業(yè)根本不知道這個面臨業(yè)務安全問題是什么。

3.傳統(tǒng)安全管理失控，傳統(tǒng)的安全團隊都是期望與內(nèi)部業(yè)務部門制定標準，但是隨著業(yè)務的不斷發(fā)展，安全團隊其實是無法感知業(yè)務安全上接口風險，因為你甚至都不知道某一個業(yè)務新增的接口，這今天總結(jié)起來防守方都不知道自己被攻擊了，都是事后被發(fā)現(xiàn)的。

這是認知盲區(qū)的例子，是前段時間從某拼車APP血淚教育中的圖，雖然不是導致他們倒在資本寒冬中的原因，但是證明大部分廠商對于業(yè)務安全是完全未知的，這是一個拼車APP，每天補貼掉100萬，后來證明30%是被刷單者拿走了。

對抗思路

情報是各大安全領(lǐng)域的重要手段。

業(yè)務安全的情報主要是搜集什么樣的情報，兩個類別來說明：

1，開源情報：是指監(jiān)控QQ、論壇、QQ群、論壇、解碼平臺以及暗網(wǎng)獲得的開源情報。

這部分的情報經(jīng)分析可以直接還原出針對某一個企業(yè)的作案手段，直接起到告警或者預防的作用。上圖是我們監(jiān)控論壇的截圖，這是接碼平臺的截圖，剛剛提到東鵬特飲的例子，就是通過關(guān)鍵詞東鵬特飲而還原出整個作案手段的。

2，閉源情報：監(jiān)控黑產(chǎn)攻擊流量，可以更直接的監(jiān)控到黑產(chǎn)攻擊的詳細信息。

閉源情報可以提供到接口的詳情，甚至攻擊的來源以及路徑。這是視頻軟件刷流量的作案軟件，我們可以通過OD分析出來，直接提取出來這個下發(fā)任務的包，可以提取出來這個鏈接，可以直接寫代碼把這些情報提取出來。

這是監(jiān)控暗網(wǎng)攻擊流量的展示圖，可以看到目前暗網(wǎng)攻擊的TOP10，接口攻擊詳情、IP、地域等信息。

有了情報之后最明顯的價值就是，從之前業(yè)務安全防守時只能是事后發(fā)現(xiàn)，而導致了一直處于一個完全被動處處救火的情況，變成完全可以提前采取預防措施。

另外，打造一個情報風控識別方案，像撞庫識別方案，傳統(tǒng)的撞庫識別方案只是頻次控制，維度再多也很難區(qū)分出異常頻次波動和正常業(yè)務帶來的頻次波動。

有一些安全情報抓出來的攻擊流量，可以把異常頻次類的數(shù)據(jù)，和閉源情報提取出來的攻擊流量進行特征對比，可以極大降低誤報率。

以上內(nèi)容來自看雪安全開發(fā)者峰會，雷鋒網(wǎng)整理。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。