【文末福利】业务情报驱动事件响应(上)

安全对抗的攻防过程当中难免有磕磕碰碰的时候，业务安全也是一家公司最难推动的一个。

羊毛党常常模仿正常用户，利用规则等的漏洞，绕过甲方风控检测，直接攻击业务，这相比起对应用程序攻击受损要快的多。场景通常有：薅羊毛，骗贷/骗分期、虚假开户/信用卡套现等等。

讲讲我的亲生经历，案发大概在18年上半年左右，安全响应中心收到邮件告警有用户反馈某业务活动正在被薅羊毛。一番追溯过后发现城市运营同学没有将上线的活动告知安全部，导致没增加风控规则才被羊毛党利用，Ps：如果有机会我想把这个案例分享给大家。“但我怕我人没了”。在那次之后每次产品经理需要上线活动时都会利用IM同步负责安全测试的同学，避免再有下一次被薅羊毛的情况。

某甲方产品经理也曾很嚣张的给我说过一句话，我活动是定制多少份/money，东西是有限制的，我把它送出去。kpi上来了，老板看到报表也很开心。你们搞安全的就别瞎参合进来了。

在所有做业务安全中都离不开遭受到：

1、批量注册

2、撞库攻击

3、薅羊毛

4、欺诈交易

5、虚假安装

6、批量刷单

7、虚拟号码

8、买卖用户身份信息

……

做业务安全前期我们需要在事前就做好应对准备，如手中准备一份黑产手机号、黑产ip、黑产邮箱等等，一切在那看来正常不过的账号信息都需要被添加至风控规则里面。

追溯事件的发生还可从：

1、暗网

2、活跃度较高的黑产论坛

3、黑产群

4、社交平台

5、关注黑产软件等方面进行追溯。

等我们把所有信息掌握了该整理成一份完整的溯源报告提供至警方追溯犯罪嫌疑人。

 其实做威胁情报不管是做威胁检测还是业务安全都离不开4W原则，哪4W？

1、时间:过去、现在、将来 When？

2、空间:物理、虚拟的（限于网络）Where？

3、任何人 Who？

4、任何事 What？

要根据任何三个已知条件的精确层度，推断第四点信息。 搞清楚人物和事件之间内在的时空关系，是一款好的情报工具/系统的必备条件。同时这些信息也可以是一个变量，不管是设卡拦截，监控追踪还是别的办法，要把信息搞出来，四要素才是完整的，否则就是缺项了，变成了单向的四要素信息。缺项要尽一切可能把信息搞出来。这才是一个完整的关系链。这里的推断思路适合用于任何事情不局限在这里。

参考F3EAD循环的前半部分（查找、定位和消除）是主要的作业部分，对我们来说就是指事件响应。通过这三个步骤，会发现、识别对手，进而将其斩草除根。我们根据情报采取行动，但情报的作用并不止于此。在这一阶段产生的数据，还将应用于F3EAD循环的后半部分（利用、分析和传播）的工作中。

将它转换为黑产前期工作，先是收集各家活动推出，分析活动利润，研究利用，最后演变成获利。甚至还会对薅羊毛方法进行传播。而甲方安全应对则是排查、溯源、定损、挽回、调查、立案，我只有前三的经历，后三如果你正在经历或者需要交流的，可通过私信等方式与我取得联系。

围绕攻击者查找目标的第一步，就是验证所掌握的攻击者资料是否可靠。你的企业是否被攻击者视作攻击目标？他们为什么会瞄准你的企业？我们不妨设计一个威胁模型，指导我们站在攻击者视角看待攻击目标，发现潜在威胁。这个模型不但可以提高我们对于潜在威胁的发现速度，还可以帮助我们分辨数据类别，并为那些可能成为攻击目标的数据设置访问权限。

对于过多情报渠道时可以融入语意分析、自然语言处理、机器学习等功能。这里不过于细讲做法了，以前写过。回看：深入浅出略谈威胁情报

最后引用

十点防褥建议：

• 如何识别设备信息，检查是否是虚拟机（针对虚拟机）

• 对于群控对设备是否放置SIM检查。

• 因为工作室群控都是连接WIFI 对IP进行识别

• 设备都是花钱买，都是一些低配的安卓手机（检查是否root是否有一键刷机工具）IOS设备基本都是5C机器，对系统版本识别是否越狱是否安装NZT工具

• 因为是群控设备都是机器模拟用户的操作，对时间间隔性进行分析来判断是否是群控设备

• 检查设备是否有按键精灵类似的软件

• 群控设备都是固定安装在设备架上面，软件提供模拟位置，所以真实的固定位置不会发生实质的变化。获取真实地址进行分析判断是否是群控

• 注册手机号是否虚假小号或者第三方卡商提供的短信接码验证

• 对提现用户进行分析

• 了解羊毛党情报，获取关键线索进行打击

• 基于多源数据结合，全方位监控账号异常

• 基于用户行为模式检测

• 基于用户人物画像
  

• 融入人工智能算法

当然我不是专门做业务安全的，可能在写这文章的时候并不是过于专业，如果有哪里写的不足的望多多谅解。

我准备在不久的将来对公众号全体粉丝做一个回馈，抽个小奖。不知不觉运营公众号也有四五年的时间了，感谢大家从旧公众号支持到新公众号。价格小一千的奖品，如果你有还不错的提议欢迎在公众号后台留言，若采用将会送出精美小礼品一份！

以上临时工所述
我司一概不负责

本文始发于微信公众号（逢人斗智斗勇）：【文末福利】业务情报驱动事件响应(上)