黑产以及一般业务安全的应对思路

业务安全顾名思义是与业务紧密联系的，企业常见的业务场景有账号安全、活动安全、账户安全、交易安全、内容安全等，每种场景可能遇到不同类型的威胁，如虚假注册、撞库、盗号等等。

业务安全的目标是识别业务访问为正常或是异常，是机器人还是真人，是本人还是欺诈分子。比如有的岗位叫业务安全策略工程师，针对业务层面的恶意用户或恶意行为所采取的识别和打击策略，由于登录过程如何识别是正常登陆还是撞库小号呢？识别出撞库小号后业务形态要做出什么响应，是增加验证方式还是拒绝登录呢？

不同公司不同业务面临的业务安全场景

业务安全在安全家族中的角色

1、基础安全：早期互联网时代面临的安全来自硬件基础设备安全，例如设备烧毁损坏等

2、信息安全：政策、黄赌毒

通过语义分析是否有敏感词、通过多媒体识别视频和图片中是否有不良信息、由于发布信息需要账号所以需要数据挖掘分析异常账号

3、客户端安全：关注病毒和木马对抗，技能：客户端开发、逆向破解

4、应用安全：以反黑、反入侵、关注服务端安全，技能：web安全、漏洞挖掘、黑客技术为主

黑产将注意力从服务器转移到了外部应用攻击上，最典型的就是入侵企业官网页面篡改，黑客制造木马入侵。

市场上更多强调的是边界安全，企业要保障不能有恶意代码攻击服务器，产品上一般就是采用防火墙这类产品的同质化问题比较明显，2010年之后由于移动互联网的爆发，互联网已经渗透到我们生活的方方面面，O2O的兴起很多实体服务和交易转移到了线上，官网已不再是单纯的内容展示，而是承载了更多业务上的逻辑和流程，业务安全随之产生。

5、业务安全：打击一切业务层面的恶意产业链，技能：数据分析。建模、挖掘、大数据应用。

业务安全直接影响企业的整个业务逻辑，但是每家公司的业务形态和问题差异会比较大，很多时候业务安全问题都不能直接采购一套通用的风控系统解决，比如同样是电商，淘宝京东拼多多的客户群体业务形态黑产群体以及黑产作案手段和获利方式有着较大差异，并且业务安全重点在于攻防对抗，有利益在黑产就会不断变化攻击方式获利，所以很多时候不是购买一套风控系统就可以解决问题而是要搭建一个自己的业务安全团队。

万恶之源——网络黑灰产业链

2018年12月17日，星巴克上线“星巴克APP注册新人礼”营销活动，遭受黑灰产羊毛党大规模攻击。他们利用大量手机号注册星巴克APP的虚假账号，并成功领取活动优惠券，导致星巴克的营销活动两天即停止。
2019年1月20日凌晨，黑灰产羊毛党又利用电商平台拼多多“无门槛100元券”存在的bug薅羊毛，导致拼多多巨额资金损失。
东鹏特饮一改传统的瓶盖抽奖采取扫二维码领红包，省去繁琐流转还可以线上收集顾客信息，瓶盖的二维码被回收转卖，最终活动兑奖金额远远高于预期，而收获的只是营销效果为0的“僵尸用户”。

我国黑灰产已经形成了年产值达千亿元级别的庞大利益集团，通过上中下游的严密分工形成了密切协作的网络，可以让企业轻者损失数千万重者直接破产。

1、技术类的黑产

为中下游技术性不强的黑灰产制作并提供各类软、硬件设备和服务，比如木马植入钓鱼网站及各类恶意软件

2、源头性黑灰产

掌握号源信息或身份信息的黑产，常见的有手机号、身份证、工商信息等信息，通过贩卖用户信息获利。

3、平台类黑产

用于非法交易、交流的平台类黑灰产。如恶意网站、恶意论坛和恶意群组，以及类似提供接码、打码的平台，如QQ群组、论坛网站等

4、实施各类违法犯罪的黑灰产

基于中下游链路，黑灰产在实施环节常常表现为恶意行为、诈骗等形式

黑灰产业链发展历程

“黑灰产”指的是电线诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘。国家互联网应急中心于2015年就发起了重点打击的三类黑灰产专项行动，并对“黑产”范围进行了界定。

主要包括三类：

一是发动涉嫌拒绝服务式攻击的黑客团伙；

二是盗取个人信息和财产账号的盗号团伙；

三是针对金融、政府类网站的仿冒制作团伙。

早在2017年我国网络安全产业规模就已达到450多亿元。至今黑灰产业已达千亿元规模。通过技术等犯罪行为实施偷盗、诈骗、敲诈的案件数，在以每年30%的增速增长，且呈现越来越专业、国际化的状态。

早期特征

黑客攻击、地下产业、模式单一、组织零散

1、国际化

现在的黑产犯罪团伙往往跨境作案，并和国内多地维持隐蔽的联络，一次逃避警方打击。

2、智能化

黑产从业者的技术升级已实现了AI犯罪

3、公司化

黑产从业者会注册合法公司，披着科技外衣来获取灰色收入。

4、涉众化

以传销为代表，犯罪和受害者的定位产生了模糊。

5、平台化

黑产从业者越来越多成了上游提供者，降低了犯罪的各环节成本。

6、灰产病毒式扩张

保守估计，其从业人员至少已达上百万。

灰产与黑产相互依附、交织，已发展为跨平台跨行业的集团犯罪链条。黑产相关的核心工具和作案逻辑等由于网络安全法原因在这里不一一赘述，可点击“业务安全”访问课程查看。

黑卡的攻击量级以亿为单位

报告《Bot Traffic Report2016》，报告称2016年的机器人流量占全网流量的51.8%，超过人类流量，而其中恶意机器人流量占据了全网流量的28.9%，其中爬虫、撞库流量占比最高。业务安全面临巨大的考验。因此，面对越来越专业的团伙，越来越多的攻击场景，业务安全的发展也在于黑产的不断对抗中形成自己的防御体系。

恶意爬虫流量目标行业分布

业务安全防御体系

拿到一个业务问题后一般通过需求分析（利益分析&风险分析）、特征分析（恶意类型和规模&用户行为环境分析）、风控建模（建模方法&建模经验）、对抗方法论（过程中的思路和技巧）这4步来分析，下周会挑选一些对抗实例与大家分享。