AD风险实验室
是一家攻防专业知识学习平台,专注于分析互联网黑产群体的作恶手段,研究对抗策略。
下文是AD风险实验室与永安在线CEO毕裕的一次对话,双方重点探讨了行业最新的一些黑产攻防思路。
【正文】
永安在线(原威胁猎人)成立于2017年1月,核心创始成员来自腾讯反欺诈情报团队,拥有十年以上黑灰产对抗经验,为
今日头条、陌陌、中国互联网应急响应中心深圳公安等在内的企事业单位及大型互联网企业
提供反欺诈解决方案。团队多次获得黑客大赛Pwn20wm冠军,由猎豹移动、泰岳梧桐、真格基金易合资本投资。AD风险实验室有幸请来老毕就黑产攻防的多年经验与大家进行分享,以下内容由攻防菌根据老毕交流内容进行整理。
大型互联网公司、
国内各大银行信用卡中心、
国家监管机构。
具体是腾讯、阿里、百度、顺丰、苏宁易购、爱奇艺、bilibili、华为、滴滴、脉脉、唯品会、招商银行信用卡中心、
网信办、中国信通院等(非完全列举)。
三条产品线:情报、数据、决策引擎
传统威胁情报领域
侧的重点
在
安全领域
攻防场景
,
比如业务安全、生产环境安全、
app防护,
国内比较有名气的公司有“微步在线”。永安在线是国内
威胁情报领域最早
做业务情报的团队,侧重点不再是传统攻防场景。
信用卡中心的属性是金融和互联网两块都有交集
与人相关的金主都是永安在线的潜在客户
开源情报、闭源情报、工具情报
是业务情报的三大范畴
。
从业务风险的视角看,矛盾集中在:需要对抗的黑产人数过于庞大、发起攻击的手段还有攻击覆盖的平面过于分散、对业务风险的感知滞后。复盘各大公司暴露出来的信息泄漏问题,我们在情报端有能力早于媒体曝光半年前发现问题。业务情报不仅涵盖应用层,还包含
工具层
。我们有能力监测发起攻击的主流工具,包括软件、硬件、群控、云控等,相关能力也输出给了京东在内的公司。再说下闭源情报和开源情报,这些概念在美国的安全领已经达成非常标准化的共识。
闭源情报
侧重在流量监控,永安在线做闭源情报的核心逻辑是直接监控黑产服务器。直接监控黑产服务器优势有两方面:
实施方便
,我们并不需要在企业内部去部署什么样的东西,而是在公网上通过蜜罐直接监控黑产 ,然后把黑产的流量实时分流出来,加工分析同步给企业;
干净精准
,从源头上标记黑产流量,避免黑白流量掺合到业务流量的海量的业务流量之下,对业务趋势判断造成的干扰。
情报领域的攻防
不仅可以避免平台遭受经济损失,还能争取防控
主动权、维护
企业声誉。
设备端
、
IP端
、
手机号
是数据的三个侧重点。
大家
都接触
过IP信誉库
,将其应用在业务场景中,
同时满足
时
效性和业务
场景的匹配
非
常难。
永安在线是国内唯一能够提供业务反欺诈场景的IP信誉库,并且能够解决秒拨的问题。
在业务层面,秒拨是业务风险上面对的主要问题。黑产借助家庭宽带账号和流量卡频繁更换IP,使得整个攻击层面成本非常低。以前我们基于频次策略从IP上防护,在新的形势下,单点防护的效果会变得非常的差。永安在线非常聚焦在解决业务欺诈和风险场景上,能够直接判定这个IP是否为秒拨,目前国内具备这种能力的团队很少。
无论是IP、设备号、手机号、都是基于这个风险场景之下黑产规避不了的核心资源。我们研究黑产现在获取手机号的渠道、方式、方法,然后将黑产已经获取的资源清单同步给客户,让客户在风控上尽早判断。这种判断可以提前到注册,在注册页面检测出手机号是否为黑产持有。从纵深攻防的逻辑来讲,将问题的解决控制在前端,能够减轻后端复杂攻防承受的巨大压力。
数据产品在使用跟提供价值的时候,非常简单直接明确。在云计算场景,用户注册量不大并且风险场景不是特别的宽的情况下,注册窗口下能解决80%的风险问题。
风控决策引擎从产品框架上各家都差不多,无外乎设备端的设备指纹和云端的策略及模型。设备指纹在设备端发现风险的能力上,从之前确定设备唯一标识性的过渡到判断风险的环境。风险环境的判断是永安在线设备指纹的核心价值,我们在设备上能够准确精准全面的判断出虚拟机、软改、硬改、多开、克隆等方法生成的风险环境。
策略跟模型的侧重点不同。规则的侧重在于简单判断的逻辑,If...else/A或者B/与否,是直接的风控手段。模型的应用价值最大,举个例子,恶意拦截的逻辑里面如果没有从用户注册的信息上发现明确风险,比如说注册了一批邮箱但是没有从邮箱上判断恶意,邮箱的注册有明显逻辑比如ABC123这样六个字数字加字符,我们能够判断这批邮箱用同一种自动化的流程去注册的,就可以用模型。投入模型的价值与产出空间的上限就会足够大。
风控引擎最重要的在运营,产品做的再多,也需要通过运营手段跟不断的运营精力的投入来提供价值的上限。
策略是最直接风控手段,模型产出的价值上限大,运营是风控引擎的根本。
从鹅厂出来并不是因为大厂限制了合作的维度,而是因为专注赋能才能建立平台项目的长期价值。只做单件事和输送长期价值背后的逻辑不同,现在团队可以专心从行业的维度看到问题、解决问题、投入技术,精力有限。我也很怀念在鹅厂的感觉,角度不同。
追求长期价值定位更好赋能是离开鹅厂的原因,鹅厂是一个离开仍会怀念的地方。
这个问题太牛了,我讲一下其中的逻辑。创业的过程我会接触很多客户,这些客户的场景我未必都了解,或者说我未必比客户更加了解客户自己的业务。今年是创业的第三年,前两年打基础的时候做的事情跟场景都不相关。打基础的时候,只专注在底层逻辑,比如说判断这个IP是不是风险IP、这个IP在上一分钟是不是干了坏事儿、这个IP是不是黑产持有,无论爬虫风险还是恶意注册或者其他,我都能自信帮助客户识别风险。IP也好、设备也好,当下我能百分之百识别出持有方是黑产,保持优势的办法就是选对路径潜心布局。假如没有前两年的积累,分心研究客户业务场景,估计既服务不好客户公司也走不到现在。
有了积累之后我们才围绕具体场景打磨解决方案,目前能够支撑账号安全和引流两个场景,因为场景的覆盖受到运营投入跟技术投入的限制,所以很多场景暂时不做。
打磨产品需要时间和投入,
整个2019年用了半年时间也只支撑了两个场景,安全领域不再是万能产品的时代。
