欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

专访小盾安全——黑产与网络资产之间的一道“防火墙”

admin2020-07-2043资讯

不同于传统的网络安全,从某种程度上来说业务安全伴随着o2o的时代背景才得以进入大众的视野,例如大家最熟悉的“薅羊毛”,与职业从事“薅羊毛”产业的“黑灰产”团队做对抗,就属于业务安全的基本范畴。

当然,不同业务领域的业务安全需求也存在着极大的差别,简单来说,如果将业务比作企业与用户之间的通路,那业务安全需要考虑的就是如何保障这条通路的顺畅运行,就像设计一条城市道路,路口是用环岛、用红路灯、用高架桥还是隧道,要根据具体的车流情况、成本来分别计算。类比到业务安全领域,就需要对具体的业务环境有足够深入的了解。

“薅羊毛”与业务安全

我们还是从大家熟悉的“薅羊毛”说起。

从2013年起,o2o这种将线下商业与互联网相结合的商业模式乘着本地化与智能移动设备普及的东风高速发展,线上团购、促销、上门生鲜、上门维修、滴滴打车,如雨后春笋般涌现,新兴市场的出现以及资本的涌入,伴随而来的是用户的井喷式增长,以电商平台为代表的企业为了吸引用户,开始投入大量资金开展优惠活动、现金促销。

如果说大数据的发展让企业第一次认识到数据的价值,那么从某种程度上说,“羊毛党”的诞生第一次从用户的角度彰显了数据的价值。


以新用户现金券为代表形式,线上商家为了获客,往往会为新用户发放具有实际购买力的现金券,在这种典型的营销业务场景中,现金券发放的基本门槛是——未注册过的手机号。

黑产团队利用这种低门槛,运用大规模收购手机号注册新用户从而获得现金券的方法,转手倒卖。而据同盾科技6月份公布的一份数据来看,黑产注册一个新的手机号成本仅为0.1元,黑产获利可见一斑。


当然,在今天的互联网营销中,“薅羊毛”已经成为一种买卖双方互相认同的促销模式,商家从另一个角度达成了促销、获客的目的。但是从下图数据来看:


2013年阿里巴巴的平均获客成本为12.17元每人,到了2018年,这一数字已经上升到了77.99。除了各平台之间的烧钱竞赛,诸如“薅羊毛”此类的业务安全漏洞也是造成获客成本上升的一大原因。

从某种程度上说,这种情况也促成了市场对于业务安全的直接需求。

当然,业务安全发展至今,其涵盖内容早已不仅仅是同黑产团队进行对抗,单就线上账号体系来说,业务安全就涵盖了其中4个方面,多达10多种风险。

账号体系业务安全漏洞风险一览,资料由“小盾安全”提供

业务安全的核心是与黑产持续对抗

2020年6月22日,同盾科技正式发布了全新业务安全独立品牌“小盾安全”。值得一提的是,同盾科技创立于2013年,这与我们上文中聊到业务安全兴起的时间节点恰好吻合,从某种角度上来说,同盾科技发展的6年间经历了国内业务安全从无到有的全过程,他们可能也是目前市面上为数不多的长时间同黑产团伙正面交锋的团队之一。

有关具体的业务安全问题,我们找到 “小盾安全”产品总监丁杨做出了解答。

嘶吼:业务安全在具体的网络安全环境中处于什么定位,“小盾安全”的主要解决的问题和主要功能是什么?

丁杨:业务安全,也就是目前“小盾安全”主要的业务方向,应该是处于整个网络安全产业的一个上层。如果做一个简单的分割,从网络安全的硬件层,到上面的系统层,再到应用层,再到最上面才是业务层,业务安全主要还是跟客户的业务做一个紧密的结合,主要解决的是不同的客户在开展业务的过程中,从营销到账号到交易,再到内容合规等等这些业务上面临的风控问题。“小盾安全”目前也构建了我们自己的一套产品和工具体系,里面包括风险感知平台、风险决策平台、风险处置平台和风险运营平台,形成了一个安全闭环,这是我们业务安全主要做的事情。它的核心是同黑产做持续的对抗,以业务情报作为驱动,以业务数据资产作为原料,以网络安全技术作为基础,然后依靠AI算法学习模型,从而达到帮助企业厂商解决业务安全问题的目的

嘶吼:在同黑产团队对抗过程中,风险感知是极其重要的一环,同盾科技是如何实现风险感知能力的?

丁杨:我记得是2015年的时候,安全威胁情报的概念特别火,一些互联网大厂也成立了自己的安全威胁情报团队,专门去做威胁情报这个方向的业务,那个时候也是以威胁情报作为启发,既然传统的网络安全里面可以做情报,在业务安全里面是不是也可以做一些类似的事情呢? 于是就在当时我们成立了“黑产情报团队”,这个团队的主要目的就是潜入到一些黑产的圈子里面去,了解当下黑产或者是暗网里面的一些讨论攻击的目标,以及攻击使用的工具或者手段,包括它整个产业链的上下游的情况。当然同时我们也研发了一些自动化的工具,包括通过一些模型算法、自动化工具,通过情报信息的收集和沉淀,逐渐学习到怎样能更好的在一些场景上跟黑产进行对抗。同时也可以获取到一些有价值的情报信息直接交给客户,比如提前给客户预警某个黑产团伙正在针对你的某一个营销活动尝试发起攻击。这其实是我们的风险感知,或者是全网风险情报政策这种机制的由来,而发展到后来,通过对黑产的深入了解,对于常见的漏洞和攻击行为就已经能够通过模型分析进行精准的定位和把控了。

真正的安全并不完全依赖于技术

在安全领域,技术上的能力往往只能解决部分问题,木桶原理同样适用于业务安全,最后的效果往往取决于短板。

在实际的业务安全应用中,首先要强调就是网络安全的重要性,假如网络系统本身已经有漏洞,黑客已经能够批量的获取数据,这时在业务层面做风控意义不大。要在网络安全能力做的比较好的基础上,重视业务安全风控体系。

其次,如果业务流程本身的设计存在问题,任何技术手段都会无济于事,在巨大利益面前黑产会不遗余力的加大攻击的力度与手段。

做好业务安全的另一个关键就是在业务上线前进行缜密的业务逻辑设计、梳理,将最大的风险提前规避,所以业务安全越早介入,业务承受到的风险就越小。

就这个问题,丁杨表示:“业务安全往往需要前期针对客户的业务做一个详细的分析和了解。小盾安全会对一些通用的场景进行分析,沉淀下来知识库,然后通过这些知识库,我们会输出给客户,告诉他们怎样能够设计一个更安全的业务流程。比如说注册登录的一套体系看似简单,但其实身份认证、密码找回漏洞这些细节,是一些对安全不太了解的企业容易忽略的。”

策略+标准+定制

在业务安全领域,不同公司、不同领域的业务环境差别很大,如何根据不同的业务场景和业务需求配置安全解决方案,是困扰业务安全厂商的一大难题。

嘶吼:业务安全在不同公司、不同领域的应用方式上有很大的差异,小盾安全如何将安全能力与具体的业务流程做到恰当的匹配?

丁杨:这也算是我们跟传统网络安全的一个差异,很多时候一些基础的网络安全产品或能力,相对来讲是可以进行标准化配置的,因为尽管在不同的领域、方向上,但很多底层配置是共通的,比如说都是用的同一个网络设备,同一种开源的架构,或者同一套系统。

但是在业务层面,因为需要跟具体业务做紧密结合,所以定制化的含量会很高,比如说我们会碰到,尽管同样是电商,但是奢侈品电商与虚拟物品或者快消品电商,它的风险等级,客户的安全需求、安全偏好是完全不一样的。

针对这种情况,“小盾安全”首先会在底层构建一套相对来说比较标准化的计算框架或者运营平台,里面包括比较通用的计算能力,比如说决策引擎或者是一些机器学习的建模和运行平台,这些其实都是标准化的工具。

基于这些标准化的东西以上,服务于不同行业的客户时,就需要给出定制化的运营体系。这套体系里面包括策略运营和模型运营,以及一些人工的经验,比如说黑产情报业务。同时它的定制化频率,更改频率和定制化的内容会更多,这部分在业务安全领域反而是一个核心。

总结来讲,“小盾安全”是基于底层的一个标准的计算框架,再加上灵活自定义的一个运营体系,从而实现业务安全差异化配置的。

结语

尽管我们在文中聊到有关业务安全带来的诸多漏洞与隐患,但是就目前数据显示,大多数的公司、企业中,并没有配置相应的业务安全部门。从某种程度上说,类似“小盾安全”这样的安全团队,实际上正在充当黑产与网络资产中间的“防火墙”角色。


通过泄漏KVA SHADOW映射破坏Windows KASLR(下)

通过泄漏KVA SHADOW映射破坏Windows KASLR(上) Windows中的PML4随机分配 如前所述,PML4表是64位内存模型中的最高分页级别,在Windows中,仅通过使用最低的0x100条目(256)来映射用户内存,而使用最高的0x100条目来映射内核内存,此表用于分隔用户和内核内存。知道每个PML4条目都可以映射512GB(0x8000000000字节),并且为用户模式分配了0x100条目,我们可以通过执行以下计算来得到用户虚拟地址范围: user address range: 0 ~ 0x100 * 0x8000000000 也就是: user address range: 0 ~ 0x00007FFF'FFFFFFFF (0x8000'00000000 - 1) 由于Windows用于分页管理的一种特殊技术称为“自引用(self-referential)”,它由指向自身的PML4条目(指向包含该条目本身的PML4表)组成,因此整个分页表的虚拟地址可以是仅通过知道PML4表的地址即可计算得出。同时,只要知道启动后Windows内核将哪个PML4条目用作

网友评论