今天,聊聊“业务安全的新趋势”

  • A+
所属分类:安全闲碎
今天,聊聊“业务安全的新趋势”

近年来“互联网+”和“数字化转型”的浪潮,让网络和信息化应用空前繁荣。业务安全保障作为互联网资产的最后一层防御系统,也成为了安全市场的一颗明珠,深得企业和安全公司的关注。每个细分市场对技术和能力的需求不尽相同。本文主要就黑产变现最直接、最具规模效应的恶意机器人(Bot)流量展开,描述绿盟科技关于这一领域的判断,并介绍现有的能力积累。


垃圾邮件到薅羊毛的进化

实际上,Bot请求在互联网诞生之初便已存在。例如搜索引擎爬虫,就给互联网内容的分发和获取带来极大便利。然而,Bot技术作为一把双刃剑,也正悄然给互联网生态带来严重威胁。在上世纪90年代,借助Bot发起的垃圾邮件攻击给当时的电子邮箱业务带来不小的负面影响,严重妨碍了邮箱用户的正常使用。结合当时的技术大环境,虽然很快通过图形验证码的方式有效打击了垃圾邮件的制造源头,获得了阶段性的胜利,但如今恶意Bot的覆盖面已经几乎涉猎所有黑产的牟利场景,例如内容/竞价爬虫、黄牛党、有组织的薅羊毛团伙等。


业务安全面临的核心威胁来源于Bot管理能力建设的缺失及漠视。薅羊毛、爬虫、撞库、业务逻辑绕过等类型的Bot威胁在以往并未引起充分重视。


今天,聊聊“业务安全的新趋势”

2014-2019年Bot请求和人类访问流量占比趋势图


在巨额利益的驱使下,Bot威胁相关技术正快速进步,逐步形成了如今我们能够看到的:技术专业、分工合理、体系完备的黑产链条。在这个链条中的角色,可以大致分为三个位置,即上、中、下游,其中:

  • 上游:提供各类安全基础设施资源,主要包括猫池、代理IP、伪造身份信息等,便于攻击者进行各种客户端信息的伪装。

  • 中游:提供各类技术服务,自动化的抢购工具、撞库工具、真人模拟请求工具,甚至出现了集成攻击平台,集成各类技术服务和设备信息伪造的各类资源,便于推广给普通用户。

  • 下游:提供黑市交易、实物变现服务等,主要涉及数据黑市交易、薅羊毛实物商品变现等。

Bot攻击和网络诈骗、业务欺诈等业务场景密切相关。有研究机构认为,早在2017年,因个人信息泄露造成的经济损失已超千亿元,因网络欺诈导致的损失接近5000亿元。


攻击者的技术手段不断更新,可以说,我们所要面对的Bot威胁,已经不再是一个通过验证码即能应对的简单技术问题。随着企业数字化转型和业务的多元化发展,如商业爬虫、广告欺诈、数据泄露导致的账号接管和精准诈骗,薅羊毛、账号自动注册,刷票刷粉等上百个业务威胁场景,更多Bot攻击形态,已经呈现在我们面前。


高校作为一个典型行业,面临着一系列、多种多样的真实Bot威胁。例如通过教师邮箱系统撞库,获取教师权限进行非法改分等。通过暴露的API结合爬虫技术抓取学生的隐私信息,进而实时精准诈骗,和校外培训机构合作进行揽客,严重影响正常的教学秩序。更有甚者,将教师邮箱中的科研成果、涉密信息贩卖给境外情报机构。


2019年,恶意Bot流量在网络中的占比已经达到了14年以来的最高峰值——接近全网请求的近四分之一。


可以说,恶意Bot流量已经几乎无处不在。广告、引流、定价、内容、羊毛、黄牛、恶意注册等,每个行业都面临着不同意图的恶意行为。虽然每种攻击的方式和目的因行业而异,但利用Bot技术是成功发起攻击的必备技术手段,也是降低攻击成本的最佳选择。任何一种攻击的发生,都会直接或间接给企业的经济和声誉造成损失,让真实用户流失。


以影响较为广泛的撞库攻击为例,在源头侧,数据泄露的攻击事件一直有增无减。2019年,全球发生了近5000次数据泄露事件,近百亿条账户信息外泄后,是各种黑产中间商的狂欢。越多的账号撞库事件发生,意味着更多的账户将面临撞库风险。


大力发展数字经济,不仅带来的业务形态和基础设施的变化,同样也给黑产更为广阔的攻击面。治理的前提,是维护系统的正常运行,保障真正客户的正常用户体验。但与此同时,黑灰产早已进入高速进化状态,高度拟人化的恶意机器人行为,分布式的手机恶意Bot远控软件,都意味着对抗的强度仍在逐步升级。


应对 Bot 威胁的五大阶段与四项能力

基于绿盟科技业务安全团队的多年调研、分析,我们认为,针对恶意Bot的发现和管理,会经历如下五个阶段发展:


第一阶段:人机识别

能够识别Bot流量及合法用户请求,进行Bot缓解。


第二阶段:全渠道防护

能够识别基于浏览器、移动App、API防护的Bot,进行Bot缓解。


第三阶段:Bot管理

根据访问意图区分好Bot及恶意Bot,给予访问行为分析,识别Bot意图,针对不同的意图,提供多样化的Bot管理处置策略,从而击溃攻击者的攻击模式,如:告警、混淆、欺骗、阻断、限流、延迟、缓存等。


第四阶段:黑产工具防护

攻防对抗可持续化,支持复杂攻击链条中黑产工具、数据的检测识别,提供与之相匹配的安全解决方案,确保客户关键数据和业务的安全性。


第五阶段:人肉攻击团伙识别联动

在黑灰产攻击场景中,结合情报、数据分析等多方面能力,提高集体防御能力,为风控平台补充赋能,增强侦测真人作弊行为能力,对抗黑灰产业链攻击。


第一阶段及第二阶段的能力建设,目前已有的反爬虫SDK或WAF 等产品已经基本可以满足。但随着对抗的深入,处于第三阶段及第四阶段的企业,应辅以更专业、能力更具针对性的网关类产品,通过对 Bot意图的甄别,实现更精细化的管控及响应,并配合业务风控系统完成网关侧数据能力的补充。


基于这一理念,绿盟科技近日已正式发布了绿盟科技首款业务安全产品——绿盟业务安全网关产品(BMG)。该独立的网关类业务安全产品,对客户而言有如下四点价值:


(1)防止敏感数据泄露,如个人身份信息等。

(2)减少业务资产风险,防止大规模薅羊毛、黄牛抢购事件发生。

(3)保障合法用户的交互体验,避免用户流失,保护企业声誉。

(4)支撑市场活动热度,保障营销费用定向投放,确保营销数据真实性,为后续精准投放提供数据支持。


分析绿盟业务安全网关的价值主张,不难看出,产品设计的核心是围绕Bot防护的第三阶段进行。产品背后依托的是绿盟科技多年在安全领域累积的产品能力和对抗经验,以及必要的技术支撑。


从能力角度,绿盟业务安全网关有如下四项关键能力:


能力一:基于硬件信息生成设备指纹

黑产团伙往往通过方便的一键新机+秒播两个特性,直接绕过指纹和IP两个建模的主键信息,从而对抗客户现有的各种风控和行为分析系统。而基于设备底层特征计算设备指纹,能够精准的跨浏览器标识追踪客户端设备,设备指纹不会再跟随伪造的设备信息发生变化。将指纹插入请求头后,风控系统可以方便的取得真实客户端标识,最大程度上捕获改机软件、代理设备发起攻击的Bot请求。


能力二:全方位、立体的威胁情报支持

对威胁行为及攻击团伙的威胁情报生产一直是绿盟科技多年来持续投入的重点方向。依托多个安全技术研究中心和安全实验室,绿盟科技威胁情报中心可以同时保持对暗网和黑客论坛小时级的追踪能力,从而累积了大量情报数据。不论是网络安全层面的漏洞、APT组织、恶意软件,还是网络空间安全层面的攻击团伙、黑产工具和僵尸主机,都进行了覆盖。这种全方位、立体的威胁情报同时也为绿盟业务安全网关提供了重要知识支撑。


能力三:黑灰产活动行为特征分析

在与黑产的对抗中,安全建模团队围绕业务需求,以风险事件事前防范为出发点,根据实时推送的一些明确参与黑产活动的流量数据分析,深入分析黑产行为特征。目前,安全建模团队已经具备了成熟的系统,能够及时发现和预警黑灰产异常情况,且已在多家客户上线运营,并申报多项创新案例。


能力四:代理与检测更好的平衡

业务安全网关是一个很特殊的角色。对外,它承接了全部的业务请求数据,形成了统一的视角,可以看到更全面的攻击信息。对内,它又是一个代理设备,加入了终端检测的内容。如果代理和检测的平衡把控不佳,将会影响到业务系统的正常运行。


恰好,绿盟科技在网关类产品经验丰富,特别是WAF,业务安全网关与其无论是部署位置还是技术特性,乃至面对的业务情况,都非常相近。


事实上,绿盟业务安全网关作为刚发布的新品,已经服务多个行业客户。如某知名酒业公司代理商,在2019年爆发大规模薅羊毛事件,每天遭受数以百万的机器自动化抢购,形成了票务收集、短信接码、自动化抢购、实物变现等产业链路,给企业形象带来严重负面影响,平均每天给黑产带来的利润约10万元以上。在部署绿盟业务安全网关后,我们能够帮助客户每天拦截近百万次的机器自动化抢购,每天拦截99.96%以上的自动化攻击请求,保证80%的产品能被真实用户抢购到。此外,通过事后的分析,绿盟业务安全网关还能协助对黑产组织的追踪以及打击。


结语

绿盟科技高度重视安全研究和技术创新,在基础安全研究和前沿安全领域进行积极的探索。业务安全核心团队更是在应用安全和业务分析领域专注10余年,技术完全自主研发,帮助政府、金融、运营商等客户解决了大量安全问题。并在多年Bot研究积累基础上,形成了丰富的检测规则,可以帮助客户有效杜绝内容爬虫/竞价爬虫,黄牛党、有组织的薅羊毛团伙等Bot攻击。


随着各企业、单位对业务安全高度重视,绿盟科技针对业务安全这一细分领域推出业务安全网关这款产品,是国内现阶段相对成熟的Bot攻击防护产品。可以帮助客户解决Web系统、业务平台等Bot流量的管理以及安全防护、暴破、爬取用户信息,撞库等安全问题。帮助客户实现API请求防护和管控和对机器人流量管理。能够通过对各个业务接口的保护,实现打击窃取用户隐私、撞库、薅羊毛、黄牛党等恶意行为,有效拦截自动化攻击、针对API的手动参数篡改两大攻击方式,提升攻击者的攻击难度,保障业务系统稳定运行、实现业务能力提升。


业务安全网关不仅在技术上有着优势,还作为唯一一家入选的安全厂商,获得了2019年中国国际金融展金鼎奖的年度优秀金融科技解决方案和浦发银行金融科技创新大赛提名奖,得到了金融行业的认可。


业务安全网关的推出不只是单单一款新品的发布,更加意味着绿盟科技将全面进军业务安全这一细分领域。整个业务安全团队针对于Bot攻击分析、代码审计、API安全等技术都有着深厚沉淀。后续将致力于业务安全方向推出多款基于业务安全方向的产品,打造业务安全整体解决方案。作为巨人背后的专家,绿盟科技将与各位客户一道探索数字化转型下的业务安全风险治理工作。为客户的安全部门和业务部门提供协同平台,不仅为业务部门进行技术赋能,还为安全部门带来更多的决策参考,将风险从源头进行遏制。


今天,聊聊“业务安全的新趋势”

今天,聊聊“业务安全的新趋势”

今天,聊聊“业务安全的新趋势”

今天,聊聊“业务安全的新趋势”

今天,聊聊“业务安全的新趋势”

今天,聊聊“业务安全的新趋势”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: