看雪編輯按：正如暗網之於網際網路世界，現實生活中的黑灰色產業遠比你想象中的要複雜。在利益的驅動下，這些隱形產業逐步發展壯大並形成了各自的體系，如接碼平臺、撞庫等，這些都給社會造成了嚴重的危害，特別是對企業的業務提出了極大挑戰，如何對抗黑灰產自然也就成了安全從業者迫切需要解決的問題。此次議題是由威脅獵人團隊的彭巍為我們帶來的有關企業業務安全的發展及相應對抗實踐，其中重點揭露了無孔不入的地下暗黑世界，震驚之餘也引發了我們對業務安全的思考。以下內容為彭巍演講實錄，由看雪學院（微信公眾號：ikanxue）整理。

彭巍

威脅獵人產品總監。曾任職於獵豹移動，負責金山毒霸系統查殺引擎的研發，解決終端安全問題。2017年初加入威脅團隊，專注業務安全相關⿊灰產研究及對抗。

彭巍：大家好。本次分享的主題是業務安全的發展趨勢以及對抗思路，這裡我先自我介紹一下，我之前在金山毒霸負責系統差還引擎開發，解決終端安全問題，今年年初加入了威脅獵人團隊，這是一個專注業務安全相關黑灰產研究的團隊。我的title，之前寫的是產品總監，實際上我職務應該是產品總監加服務端研發負責人，希望大家接下來不要帶種族歧視來鄙視我。

這是我分享的三個部分：第一，業務安全是什麼。第二，業務安全昨天和今天。第三，針對對抗中的一些核心問題，提出對抗思路。

業務安全簡介

業務安全顧名思義就是指企業業務上發生的安全問題。對比於中終端安全、網路安全、WEB安全，後者主要研究作業系統本身或者說網路、WEB系統的安全性，而業務安全是關注業務本身的問題，它的範圍被大家所認知的，包括帳號安全、內容安全以及營銷活動安全。

下面是它的詳細分支，包括黃牛刷單、羊毛黨等屬於業務安全的範疇。業務安全解決的問題，大部分的情況就是去識別訪問業務的是機器還是人，這個人是業務使用者還是正常使用者？

業務安全的昨天和今天

業務安全的歷史，首先按照移動網際網路的爆發分為兩個大的階段，PC網際網路這邊又可以分為兩各小的部分：

第一個階段：2007年之前，這個階段可以總結為剛起步的黑產對抗騰訊阿里等企業。因為在這個階段，2007年之前騰訊阿里等廠商因為各自業務逐漸開始涉及到龐大社交、遊戲、線上交易等場景，於是黑產開始盯上這一塊利益，廠商也開始逐步重視。

這個階段的特點其實是攻防節奏比較慢的，防守方也是簡單風控規則。

第二個階段：2008-2010年，這個階段黑產開始形成成熟的產業鏈，分工明確，各點選穿，同時防護方也開始形成立體的風控手段，這個階段業務安全開始作為企業安全的重要一環，被網際網路所認知。

目前為止攻守雙方是你來我往。

第三階段：隨著網際網路快速普及，網際網路各個細分領域快速增長，這個黑黑鍵逐漸健壯。

大廠商是小步快跑以及新網際網路的崛起情況，這個時候攻守雙方逐漸拉開了距離。

在目前的階段，兩點明顯的趨勢：

1、場景爆發帶來的業務安全問題陡增。

這是一張監控解碼平臺響馬列表得出來的，可以看到2011-2017年，薅羊毛產業鏈主要目標O2O、網際網路金融、電商等都是極速增長，並且每天都有新的專案出現。

通過撞庫供給線路圖，每一年都有新增的出現。

黑產的魔爪已經無處不在，這是快銷行業常見的再來一瓶，也是我們通過解碼平臺發現有出現快銷行業各種關鍵詞，東鵬特飲、康師傅等，這個二維碼不知道大家是否見過，現在快銷行業為了提高再來一瓶的體驗，直接會把二維碼印在瓶身上掃碼之後就可以掛住它的微訊號或者公眾號，再接下來可以進入它的公眾號掃它的瓶蓋領它的二維碼，最終迴流到垃圾站，被重複刷。產商本來花一千萬想做五千萬的的事情，結果被黑產薅走了三千萬

2、黑產技術飛躍式的發展，黑產技術發展超乎想象，人多、耗的錢也多。

另外獲取IP資源的技術，IP作為網際網路的緊缺資源，一直是廠商防守最重要的風控方案之一，如何獲得IP資源也是黑灰產業獲得主要解決的問題，可以總結為經歷了三個階段。通過逆命代理，批量獲取個人ADSL撥號IP，虛擬化ADSL實現海量IP資源獲取。最後一個階段我們所說秒撥，目前黑產獲取IP資源的成本已經大大降低，對於防守方的簡單規則IP的品質這個策略就是一個顛覆。

這是一個秒撥的截圖，看起來像ADSL家用的一樣，實際不是，這裡會有一個啟用換IP，還有某寶上的搜尋關鍵詞，大量類似服務都可以買到。

接碼平臺，接碼平臺出現裝置流轉和卡的流轉都極其不方便，且耗費成本。現在卡商和羊毛黨通過接碼平臺實現了手機黑卡無縫流轉，大量提高了黑產生產效率，同時也對防守方產生很大的壓力，這是解碼平臺的截圖，是接受驗證碼平臺。

核心問題和對抗思路

業務安全最核心的問題，就是有一群人比你聰明，他們比你有更多的資源。那你怎麼辦？

業務安全防守方目前核心問題是一個攻守雙方嚴重資訊不對稱的問題，體現在三個方面從供給方來說供給的平面爆發，供給場景爆發帶來平面快速增長，這對你防守方的安全管理系數難度大大增加，對防守方來說對黑產認知盲區增加，有一些觸網的了大企業根本不知道這個面臨業務安全問題是什麼。

傳統安全管理失控，傳統的安全團隊都是期望與內部業務部門制定標準，但是隨著業務的不斷髮展，安全團隊其實是無法感知業務安全上介面風險，因為你甚至都不知道某一個業務新增的介面，這今天總結起來防守方都不知道自己被攻擊了，都是事後被發現的。

這是認知盲區的例子，是前段時間從某拼車APP血淚教育中的圖，雖然不是導致他們倒在資本寒冬中的證明原因，但是證明大部分廠商對於業務安全是完全未知的，這是一個拼車APP，每天補貼掉100萬，後來證明30%是被刷單者拿走了。

對抗思路，情報是各大安全領域的重大手段。業務安全的情報主要是蒐集什麼樣的情報，兩個類別來說明：

1、開源情報。開源情報就是指監控QQ、論壇、QQ群、論壇、解碼平臺以及暗網獲得的開源情報，這部分的情報經分析可以直接還原出企業某一個企業的作案手段直接起到告警或者預防的作用。這是我們的監控論壇的論壇截圖，這是接碼平臺的截圖，剛剛提到東鵬特飲的例子，就是我們通過關鍵詞東鵬特飲這個入手還原出的作案手段。

2、閉源情報，監控黑產攻擊流量，閉源情報更直接監控到黑產攻擊到接，可以提供到介面的詳情甚至攻擊的來源以及路徑可以提供這個路徑攻風控系統使用。

這是視訊軟體刷流量的作案軟體，我們可以通過OD分析出來，直接提取出來這個下發任務的包，這個可以提取出來這個連結，可以直接寫程式碼把這些情報提取出來。這是監控暗網攻擊流量的展示圖，可以看到我們監控到目前暗網攻擊的TOP10，可以監控這個攻擊來源。

有了情報之後我們可以做什麼？最明顯的價值就是從之前業務安全防守時只能是事後發現，而導致了一直處於一個完全被動處處救火的情況，變成完全可以提前採取預防措施。

另外，打造一個情報風控識別方案，像撞庫識別方案，傳統的撞庫識別方案只是頻次控制，維度再多也很難區分出異常頻次波動和正常正常業務帶來的頻次波動，有一些安全情報，抓出來的攻擊流量，就可以把異常頻次類的資料和攻擊流量的特徵進行對比，可以極大降低誤報率。

謝謝大家！

本演講PPT 下載連結：https://bbs.pediy.com/thread-222939.htm