隨著數(shù)字化轉(zhuǎn)型進(jìn)程的推進(jìn)，越來越多的企業(yè)無論是主動或被動，都開始了業(yè)務(wù)層面的數(shù)字化轉(zhuǎn)型，而很多傳統(tǒng)企業(yè)在這一過程中，對于業(yè)務(wù)安全風(fēng)險(xiǎn)的認(rèn)知未能及時(shí)跟上，安全建設(shè)不到位，幾乎空白的防御經(jīng)驗(yàn)在面對此類風(fēng)險(xiǎn)時(shí)無疑會捉襟見肘。因此，業(yè)務(wù)安全在企業(yè)數(shù)字化轉(zhuǎn)型過程中的重要性不言而喻，而通過第三方專業(yè)力量的引入，可以讓業(yè)務(wù)安全建設(shè)事半功倍，這也是推出《業(yè)務(wù)安全解決方案》的目的之一，遴選出我國業(yè)務(wù)安全領(lǐng)域的優(yōu)秀解決方案，以供相關(guān)安全建設(shè)需求方參考。

　　本期內(nèi)容主角是來自深圳永安在線科技有限公司（以下簡稱“永安在線”）的業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺。據(jù)永安在線CSO鄧欣介紹，包括該公司創(chuàng)始人在內(nèi)的核心團(tuán)隊(duì)有著多年的黑產(chǎn)研究和攻防對抗經(jīng)驗(yàn)，在將情報(bào)用于業(yè)務(wù)風(fēng)險(xiǎn)識別和處置方面也有豐富的成功積淀，業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺正是將這些沉淀下來的能力和經(jīng)驗(yàn)所轉(zhuǎn)化而來的產(chǎn)物，以期為各行業(yè)用戶在相關(guān)業(yè)務(wù)安全建設(shè)提供更多助力，以更好應(yīng)對日益復(fù)雜多變的網(wǎng)絡(luò)威脅形勢。

　　我國黑灰產(chǎn)規(guī)模化特征明顯

　　對企業(yè)正常業(yè)務(wù)生態(tài)構(gòu)成嚴(yán)重威脅

　　近些年，各類業(yè)務(wù)安全風(fēng)險(xiǎn)事件屢見不鮮，稍早一點(diǎn)如2018年1月曝出的某大型約車平臺出現(xiàn)數(shù)十萬不合資質(zhì)的司機(jī)虛假注冊，涉及金額達(dá)數(shù)千萬元；2019年1月某購物平臺因優(yōu)惠券漏洞被黑灰產(chǎn)團(tuán)伙利用，不當(dāng)牟利數(shù)額達(dá)到數(shù)千萬元。稍近一些如2021年6月某頭部電商平臺大量個(gè)人敏感信息被黑產(chǎn)人員批量爬取，涉案數(shù)據(jù)近12億條；2022年某學(xué)習(xí)軟件數(shù)據(jù)庫被黑產(chǎn)人員竊取，涉案數(shù)據(jù)達(dá)1.7億條。種種事件都告訴我們，黑灰產(chǎn)無處不在，任何行業(yè)、領(lǐng)域，無關(guān)乎企業(yè)規(guī)模之大小，只要有利益，均可成為攻擊者下手的目標(biāo)。

　　我國的黑灰產(chǎn)到底有多“強(qiáng)”？如果表述得直白一些，那可謂是數(shù)字化時(shí)代的發(fā)展有多快，黑灰產(chǎn)的進(jìn)步也同樣有多快。當(dāng)前，數(shù)字化已經(jīng)成為很多企業(yè)要面對的必答題，無非是速度快一些還是慢一些、質(zhì)量高一些還是低一些而已，在該背景支撐下，業(yè)務(wù)的數(shù)字化也催生出各種各樣的業(yè)務(wù)形態(tài)，如直播帶貨、刷臉支付等，這些場景出現(xiàn)后很快就被黑灰產(chǎn)盯上，比如直播帶貨刷銷量，刷臉繞過人臉識別。

　　在數(shù)字化時(shí)代背景下，與企業(yè)業(yè)務(wù)的數(shù)字化伴生的安全風(fēng)險(xiǎn)無疑會顯著增加，永安在線認(rèn)為，在網(wǎng)絡(luò)安全攻防中需始終強(qiáng)調(diào)感知能力的建設(shè)，只有看得見敵人，且看得清敵人的動作才能組織起有效防御。在業(yè)務(wù)安全領(lǐng)域也是如此，就是要不斷提升網(wǎng)絡(luò)黑灰產(chǎn)的發(fā)現(xiàn)能力，并與之持續(xù)對抗。鄧欣指出，如果不知道哪些人是黑產(chǎn)，黑產(chǎn)從哪里來，來了以后都做了什么，那么做好業(yè)務(wù)安全防護(hù)幾乎無從談起。

　　將風(fēng)險(xiǎn)發(fā)現(xiàn)能力前移至黑產(chǎn)產(chǎn)業(yè)鏈上游

　　力爭將風(fēng)險(xiǎn)阻斷于早期

　　因此，在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺的建設(shè)思路上，永安在線選擇了從上游入手進(jìn)行布控，以盡可能保證將風(fēng)險(xiǎn)在早期階段予以阻斷。鄧欣表示，當(dāng)前網(wǎng)絡(luò)黑產(chǎn)已經(jīng)形成了非常龐大且成熟的產(chǎn)業(yè)鏈，上中下游分工明確，進(jìn)行資源、物料、工具的交易，以及信息交流和交換；而永安在線的情報(bào)專家在對產(chǎn)業(yè)鏈結(jié)構(gòu)足夠了解的前提下，通過滲入、潛伏、偽裝等方式，長期且深入地對黑產(chǎn)產(chǎn)業(yè)鏈上、中游進(jìn)行全面布控，實(shí)時(shí)捕獲黑產(chǎn)攻擊數(shù)據(jù)，包括且不限于：

　　● 通過蜜罐布控，實(shí)時(shí)捕獲攻擊流量；

　　● 通過核心圈子布控，實(shí)時(shí)捕獲攻擊線報(bào)；

　　● 通過交易平臺布控，實(shí)時(shí)捕獲攻擊資源和物料；

　　● 通過傳播渠道布控，實(shí)時(shí)捕獲黑產(chǎn)攻擊工具等。

　　“基于這些捕獲到的海量原始攻擊數(shù)據(jù)，情報(bào)專家可運(yùn)用我們所提供的自動化運(yùn)營和分析平臺，從中提取出包括攻擊目標(biāo)、攻擊資源和物料、攻擊技術(shù)、攻擊特征等相關(guān)信息并形成威脅情報(bào)，最終通過永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺，對遭受攻擊的目標(biāo)客戶進(jìn)行實(shí)時(shí)預(yù)警。”鄧欣介紹道。

　　圖：永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺架構(gòu)圖

　　覆蓋事前、事中、事后三大階段

　　實(shí)現(xiàn)對業(yè)務(wù)風(fēng)險(xiǎn)從感知到應(yīng)對的閉環(huán)

　　在談到應(yīng)對業(yè)務(wù)安全風(fēng)險(xiǎn)時(shí)，鄧欣表示，一個(gè)好的解決方案應(yīng)具備覆蓋事前、事中、事后三個(gè)階段的能力，實(shí)現(xiàn)對業(yè)務(wù)風(fēng)險(xiǎn)從感知到應(yīng)對的閉環(huán)?！罢驹谄髽I(yè)用戶的角度去看這三個(gè)階段，我們會發(fā)現(xiàn)在不同的階段所要面對的難點(diǎn)也是不同的?！?/p>

　　事前階段

　　難以及時(shí)感知未知風(fēng)險(xiǎn)是企業(yè)用戶在該階段所面臨的最大難點(diǎn)。其主要表現(xiàn)為，當(dāng)企業(yè)在遭受攻擊時(shí)并未有感知，而是在蒙受較大損失之后進(jìn)行排查時(shí)才發(fā)現(xiàn)是由于自身某業(yè)務(wù)遭黑產(chǎn)攻擊所導(dǎo)致，這樣的情況下，即便查出原因，但攻擊已然發(fā)生，損失已然造成，這種后知后覺的情形無疑是企業(yè)不想看到的。更為值得注意的是，一些安全建設(shè)相對完善的大型互聯(lián)網(wǎng)企業(yè)同樣會暴露出類似問題。

　　針對這一難題，永安在線通過對黑產(chǎn)產(chǎn)業(yè)鏈尤其是上游部分進(jìn)行全面布控，通過持續(xù)監(jiān)測以力保能在攻擊發(fā)生的早期環(huán)節(jié)甚至是攻擊準(zhǔn)備期就能感知，從而達(dá)到及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)的目的。截至目前，永安在線基于全網(wǎng)部署的蜜罐體系和風(fēng)險(xiǎn)感知技術(shù)，每日捕獲數(shù)千萬條黑產(chǎn)攻擊流量、數(shù)百萬黑產(chǎn)攻擊線報(bào)和數(shù)千款黑產(chǎn)攻擊工具，并結(jié)合AI自動化分析技術(shù)和長年積累的情報(bào)分析專家經(jīng)驗(yàn)，可實(shí)時(shí)提取高價(jià)值的風(fēng)險(xiǎn)情報(bào)，幫助企業(yè)用戶及時(shí)感知風(fēng)險(xiǎn)。

　　鄧欣在這里也為我們描述了一個(gè)真實(shí)的案例，某黑產(chǎn)工具制作者將一款新編寫的自動化攻擊工具剛投入到傳播和售賣的階段，就已被永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺所捕獲，導(dǎo)致與該工具相關(guān)的后續(xù)一系列大規(guī)模攻擊發(fā)生前就被粉碎，在幫助用戶及時(shí)感知風(fēng)險(xiǎn)，并徹底規(guī)避后續(xù)可能會因該攻擊而導(dǎo)致的各類損失。

　　事中階段

　　難以精準(zhǔn)辨別攻擊者和正常用戶是該階段所面臨的最大難點(diǎn)。其主要表現(xiàn)為，在防護(hù)策略上的制定左右為難，過于嚴(yán)格的策略可能會產(chǎn)生不少將正常用戶判定為攻擊者的誤報(bào)，從而對業(yè)務(wù)側(cè)產(chǎn)生不良影響，甚至?xí)齺聿煌５乇г购屯对V；過于寬松的策略則容易令攻擊者發(fā)現(xiàn)其中漏洞并發(fā)起攻擊，而這些“漏網(wǎng)之魚”也同樣會對業(yè)務(wù)側(cè)帶來損失。

　　如想較好地克服這一難點(diǎn)，就對風(fēng)險(xiǎn)標(biāo)簽的精準(zhǔn)程度以及知識圖譜的分析能力提出了更高的要求。據(jù)鄧欣介紹，永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺當(dāng)前已具備從純黑原始攻擊數(shù)據(jù)中對黑樣本庫的精準(zhǔn)提取和特征識別能力，具體內(nèi)容主要有以下幾點(diǎn)：

　　● 從接碼平臺、群接碼、網(wǎng)頁接碼等平臺的交易數(shù)據(jù)中，提取出黑產(chǎn)用于虛假注冊的黑手機(jī)號；

　　● 從秒撥平臺、動態(tài)代理IP等平臺的交易數(shù)據(jù)中，提取出黑產(chǎn)發(fā)起批量攻擊使用的實(shí)時(shí)黑IP池；

　　● 從蜜罐、自動化攻擊工具捕獲的攻擊流量中，提取出有別于正常用戶請求的惡意請求特征；

　　● 從賭博網(wǎng)站、跑分平臺的監(jiān)控?cái)?shù)據(jù)中，提取出參與洗錢的銀行卡號或支付賬號；

　　● 從真人眾包平臺發(fā)布的作弊任務(wù)中，提取出參與作弊的用戶標(biāo)識等。

　　事后階段

　　難以有效地防范下一次攻擊是該階段所面臨的最大難點(diǎn)。鄧欣表示，如果企業(yè)用戶缺乏從攻擊者的視角對風(fēng)險(xiǎn)事件進(jìn)行全面且深入的審計(jì)分析，必然會陷入一種頭痛醫(yī)頭、腳痛醫(yī)腳的錯(cuò)誤境地，在面對后續(xù)可能出現(xiàn)的風(fēng)險(xiǎn)也將難以做到有效應(yīng)對。

　　面對這一難點(diǎn)，永安在線的做法是通過對企業(yè)防御體系的全面評估并提供改進(jìn)建議的方式，來幫助企業(yè)優(yōu)化、調(diào)整風(fēng)控策略，提高風(fēng)控門檻，以站在全局的角度為企業(yè)決策層提供參考。

　　永安在線基于自身在黑產(chǎn)團(tuán)伙最新的攻擊資源、物料、技術(shù)和手段的掌握能力，還原黑產(chǎn)攻擊全過程的模擬能力，對黑產(chǎn)攻擊成本的評估能力以及對黑產(chǎn)攻擊方式的破解能力，對企業(yè)用戶的防御體系進(jìn)行較為全面的安全評估，以幫助企業(yè)能夠及時(shí)找出自身所存在的弱點(diǎn)。在此基礎(chǔ)上，結(jié)合企業(yè)業(yè)務(wù)實(shí)際情況，提供針對性的改進(jìn)方案和建議。企業(yè)在發(fā)現(xiàn)問題的同時(shí)，可在專業(yè)人員的支持下解決安全問題，提升安全建設(shè)水平。

　　此前我們所接觸到的部分業(yè)務(wù)安全領(lǐng)域的風(fēng)險(xiǎn)感知或識別產(chǎn)品、工具時(shí)，用戶在應(yīng)用時(shí)普遍對其相關(guān)業(yè)務(wù)數(shù)據(jù)的保護(hù)有一定的擔(dān)憂，如是否可能會被濫用等情況出現(xiàn)。針對這一問題，鄧欣表示，永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺已實(shí)現(xiàn)在無需用戶提供任何業(yè)務(wù)數(shù)據(jù)的情況下提供預(yù)警和防護(hù)能力，尤其是在SaaS化部署的情況下，無任何數(shù)據(jù)流出，對用戶業(yè)務(wù)數(shù)據(jù)自身的安全方面無任何影響，同時(shí)也有效規(guī)避在數(shù)據(jù)合規(guī)層面的風(fēng)險(xiǎn)。

　　在大家普遍較為關(guān)心的使用成本方面，鄧欣表示，用戶只需將自己的產(chǎn)品或業(yè)務(wù)名稱、相關(guān)關(guān)鍵字及資產(chǎn)域名等信息在永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺中配置完成，平臺便會自動開啟監(jiān)控，其監(jiān)控的具體內(nèi)容包括：

　　● 命中域名的攻擊流量；

　　● 命中名字、關(guān)鍵詞或域名的自動化工具；

　　● 命中名字、關(guān)鍵詞的黑產(chǎn)討論；

　　● 命中名字、關(guān)鍵詞的作弊任務(wù)；

　　● 命中名字、關(guān)鍵詞的攻擊資源、物料等。

　　“用戶還可以自行配置預(yù)警的規(guī)則，當(dāng)有潛在攻擊命中規(guī)則時(shí)，平臺會通過微信或郵件等方式自動推送風(fēng)險(xiǎn)情報(bào)給安全負(fù)責(zé)人或其他相關(guān)人員，利于第一時(shí)間響應(yīng)?！编囆姥a(bǔ)充道，“同時(shí)，用戶可以通過輸入手機(jī)號、IP、域名、關(guān)鍵詞等信息的方式，在平臺中檢索相關(guān)內(nèi)容?！?/p>

　　不斷追求情報(bào)技術(shù)與產(chǎn)品的創(chuàng)新

　　為客戶創(chuàng)造持續(xù)而穩(wěn)定的價(jià)值

　　永安在線于2021年邁出了戰(zhàn)略升級的關(guān)鍵一步，開始發(fā)力API安全領(lǐng)域，但這并不代表其未來將會弱化在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)領(lǐng)域的進(jìn)一步發(fā)展，反而還會繼續(xù)不斷加強(qiáng)相關(guān)能力建設(shè)。

　　“業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)是永安在線的核心安全能力之一，也是我們有別于其他安全廠商和合作伙伴的差異化優(yōu)勢?！编囆缽?qiáng)調(diào)道，“因此，我們接下來仍然會在該領(lǐng)域持續(xù)大力投入，在數(shù)字化業(yè)務(wù)時(shí)代之下，在有效應(yīng)對愈演愈烈且不斷升級的黑產(chǎn)威脅方面，永安在線也將會不斷提升自身的情報(bào)能力，為客戶創(chuàng)造持續(xù)而穩(wěn)定的價(jià)值?！?/p>

　　隨后，鄧欣從三個(gè)方面闡述了永安在線未來會在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)領(lǐng)域的未來發(fā)展規(guī)劃：

　　1 堅(jiān)持基于情報(bào)的技術(shù)、產(chǎn)品創(chuàng)新。永安在線將會圍繞各個(gè)行業(yè)普遍關(guān)注的風(fēng)險(xiǎn)場景積極拓展，不斷進(jìn)行技術(shù)、產(chǎn)品創(chuàng)新的嘗試，并基于“風(fēng)險(xiǎn)預(yù)警-風(fēng)險(xiǎn)評估-風(fēng)險(xiǎn)處置”完整閉環(huán)的流程，為各行業(yè)客戶的不同風(fēng)險(xiǎn)場景提供標(biāo)準(zhǔn)化的業(yè)務(wù)安全解決方案。

　　2 用情報(bào)賦能更多其他產(chǎn)品。大家所了解的永安在線API安全管控平臺實(shí)際上也是基于其自身在情報(bào)方面的核心能力，簡單來說，該平臺也是通過情報(bào)去及時(shí)發(fā)現(xiàn)正遭受黑產(chǎn)攻擊的API接口，并精準(zhǔn)識別出訪問相關(guān)API接口的惡意請求流量，并可聯(lián)動WAF等安全設(shè)備及時(shí)阻斷。

　　3 共建開放的安全新生態(tài)。鄧欣表示，所有用戶均可通過企業(yè)郵箱免費(fèi)注冊并使用開放版的業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺，實(shí)時(shí)監(jiān)控和預(yù)警業(yè)務(wù)風(fēng)險(xiǎn)和API風(fēng)險(xiǎn)，快速驗(yàn)證風(fēng)險(xiǎn)數(shù)據(jù)，為企業(yè)信息安全管理提供情報(bào)數(shù)據(jù)支撐，同時(shí)也為創(chuàng)建更加開放的安全新生態(tài)貢獻(xiàn)一份力量。

　　通過上述幾點(diǎn)可以看出，永安在線的產(chǎn)品布局正在一步步展開，但業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)作為其核心安全能力之一，也仍是未來重點(diǎn)投入的發(fā)展主線之一。目前，永安在線業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺已為互聯(lián)網(wǎng)、金融、電商、生活出行等行業(yè)300余家企業(yè)提供威脅情報(bào)服務(wù)，覆蓋國內(nèi)85%頭部互聯(lián)網(wǎng)企業(yè)，我們在制作本內(nèi)容時(shí)還得知，在IDC發(fā)布的《IDC Perspective：中國網(wǎng)絡(luò)安全威脅情報(bào)市場洞察，2022》報(bào)告中，永安在線入選為IDC威脅情報(bào)推薦廠商，綜合考慮其團(tuán)隊(duì)能力、研發(fā)能力、產(chǎn)品能力，落地能力以及業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺在應(yīng)對相關(guān)風(fēng)險(xiǎn)時(shí)的及時(shí)性、有效性、易用性等諸多特點(diǎn)，可有效幫助企業(yè)解決賬號安全、營銷反欺詐、流量欺詐、接口安全在內(nèi)的諸多業(yè)務(wù)安全問題，為企業(yè)風(fēng)控提升攻防效率，賦能企業(yè)在線業(yè)務(wù)健康發(fā)展。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<