|
|
51CTO旗下网站
|
|
移动端

着眼黑产攻防,四位大咖分享防护经验为你支招

6月9日,小编在中关村创业大街有幸参加了由威胁猎人、金山云和IPIP联合主办的首届网络黑产攻防沙龙,学习了不少有关业务安全攻防对抗,黑产攻防等方面的知识。本着好东西不能独享的原则,赶紧跟大家分享一下。

作者:杜美洁来源:51CTO|2018-06-19 08:12

【51CTO.com原创稿件】6月9日,小编在中关村创业大街有幸参加了由威胁猎人、金山云和IPIP联合主办的首届网络黑产攻防沙龙,学习了不少有关业务安全攻防对抗,黑产攻防等方面的知识。本着好东西不能独享的原则,赶紧跟大家分享一下。

“当前整个安全行业缺乏互通性,攻防双方信息严重不对称。作为防守方,都在自己的角度去做防护,缺乏交流。所以我们希望提供这样的一个机会,与大家共同探讨黑产攻防问题,这也是我们举办这次沙龙的初衷。”威胁猎人CEO毕裕在沙龙致辞中说到。

网络黑产规模呈现几何式增长

谈起黑产,可能很多人觉得陌生而神秘,其实黑产就发生在我们身边,比如常见的薅羊毛和盗取隐私个人数据。所谓黑产,泛指利用互联网技术不正当谋取钱财的产业链,简单来说就是利用病毒木马来获得利益的一个行业。在大数据领域和互联网金融领域,黑产最为猖獗。

随着互联网的发展以及网民规模的扩大,网络黑产带来的收益也是日趋巨大,驱使不法黑客们从单纯的炫技转向对利益的攫取,并使网络黑产的规模呈现几何式增长。由于网络黑产的低成本、高技术、高回报的特点,使其逐渐从半公开的纯攻击模式转化成为敛财工具和商业竞争手段。

现在,黑产已经形成分工明确,组织化运作的产业链条:从寻找攻击目标,制作攻击工具,到实施网络攻击,将收集来的数据加工清晰打包成产品出售,最后购买者雇佣人拨打诈骗电话。据不完全统计,2017年我国黑产的从业人员在百万级以上,每年造成的损失达千亿元级规模。

谈业务安全,评估是重中之重

会上,美团点评技术总监刁士涵分享了做业务安全的思路和方法。他表示,业务安全的问题五花八门,比如:刷单刷好评、优惠作弊、虚假注册、盗号、恶意投诉、客户骗赔、信用卡套现等。业务安全是一个非常系统的工程,业务安全的重中之重是评估,没有评估,业务安全无从下手。评估可定性风险在哪里,来源是什么;评估可以定量,该如何防护,优先级是什么,防控效果如何;评估可以帮助企业发现问题,漏过的都是我们发现不了的。

那么怎样做评估?要评估什么呢?对此,刁士涵认为,业务安全的评估内容包含优惠作弊的漏过滤,刷单的召回率,虚假注册的识别率等。一个好的评估指标需要具备相关性、独立性、及时性和延续性。

另外,他指出,企业的产品和运营会产生一定的风险,原因在于:业务相关同事不了解风险或者风险意识不够,对黑产的专业性、分工程度、产业链成熟度、能够调动的资源等,认识不充分;也因为人员流动性的原因,较难贯彻风险防范意识;研发运营环节太多,经常遗漏;着急上线,认为风险可以承受。

怎样才能提高运营人员的风险意识?刁士涵建议,做风控意识培训和案例宣讲,并对风险点进行总结,做到举一反三,一旦出现风险,风险责任落实到人。

黑产在移动设备成本上的对抗:模拟器、手机+改机工具、群控

随着移动互联网的爆发,PC端业务的下降,黑产也与时俱进,在移动端作恶的比例越来越高。我们该如何对抗?对此,威胁猎人的高级情报专家梁倍毓介绍了初级、中级、高级三种对抗方式,即:模拟器、手机+改机工具、群控。

模拟器:初级对抗中,黑产主要使用手机模拟器来完成设备的复用。常见于各类薅羊毛活动,采用多开方式手动操作,或是结合模拟点击脚本,进行攻击行为,一些模拟器也具有修改设备信息的功能。

手机+改机工具:改机工具通过劫持系统函数,伪造模拟指定手机(模拟器)的设备信息的APP,能够欺骗厂商在设备维度的检测,或是提供虚假数据以达到特定的盈利目的。改机工具会从系统层面劫持获取设备基本信息的接口,APP只能得到伪造的假数据。Andriod和iOS都有很多相应的改机工具,Andriod改机大部分都基于Xposed框架,需要Root,iOS大多基于Cydia框架,需要越狱。

群控:面对利益的黑灰产不会因为一个维度的检测而轻易放弃,所以使用群控类的高级对抗也随之产生,并被批量应用于场景中。当前的主流配置是云控+改机工具(比如NZT)+iPhone(通常iOS9),满足设备复用(成本降低)、自动化操作、批量化操作的要求。因为iOS的封闭性导致厂商APP难以获取足够的设备信息。

梁倍毓强调,单纯只在设备指纹层面上做对抗是不够的,还需要结合其他维度,比如注册手机号是否是黑产猫池号码,建立人机识别模型等。

面对云时代的僵尸网络,云服务商可以做什么?

随着人工智能、云计算、大数据等技术的发展,黑产也正在走进人工智能和云计算时代。金山云安全技术总监李鸣雷从一个僵尸网络的故事说起,与大家分享了云时代僵尸网络的特点分析及对抗思考。

李鸣雷表示,云时代的僵尸网络有五大特点:

第一个特点,云的资源获取容易,僵尸网络可以按需开通,按时付费。

第二个特点,资源的销毁会导致取证困难。传统的IPC,物理机是不能销毁的,但在云服务里用户可以彻底撤销云主机。另外,事后取证、溯源和传统的方式不同,也增强了查杀和防御的难度。

第三个特点,云服务商信任度较高。云服务商的域名通常被防火墙或者各种安全策略标记为可信任。如果把恶意软件,或者是控制端放在云上的话,很有可能被对方的防火墙给放掉。这也是云服务商面临的一个新的问题。

第四个特点,云主机缺乏可靠的登录机制和安全防护,导致黑客容易获取到资源。

第五个特点,云服务自身运营活动缺陷被薅羊毛。云资源的获取可以通过漏洞的方式来非法获取,还有一种是云服务自身的运营活动导致被薅羊毛。

在此背景下,云服务商可以做什么?如何抵御黑产?李鸣雷总结了两种对策:一是被动方式,首先是云主机的多重防御,如加强服务器安全、补丁、漏洞扫描等。其次是注册严格实名制,如防止恶意注册和薅羊毛,DNS检测与全流量检测发现潜在木马通信。二是主动的对策,如通过蜜罐部署,实现多区域,国内跨省跨地区,甚至是国际上跨国来做到主动性的防御和监测。

来自一个IP老司机的七个忠告

现在,很多网络服务所用的防作弊机制,在黑产分子的动态IP变换技术面前已岌岌可危。

“地理位置是IP数据各个维度中应用最广泛的标签,但是很多时候只有地理位置是不够的,这个IP后面是真实用户还是服务器;是公司出口还是家庭使用;这个IP最近的行为如何,是不是有恶意行为当过肉鸡?要想解决这些问题,必须要对IP画像。维度越多越准确,就越可以更好的帮助大家做业务上的分析与对策。”IPIP.NET创始人高春辉表示。

演讲中,作为一个IP老司机,高春辉给出了七个忠告:

  • 正确认识 IP 的库的各种情况。比如:基于 IP 做地理位置识别的局限性(网络位置、用户位置)。另外,不要拿覆盖率去评估一个 IP 库的准确度!
  • 首先要正确获取 IP 地址(REMOTE_ADDR)。如果你们的日志有人用 8.8.8.8 在访问,100%是假冒的;如果地理位置错的太离谱,恐怕你的业务安全也不好做。
  • 对于基站用途的 IP 不能从 IP 层面做判断。并且,对于一些网络出口、网关,策略应该是类似的。此外,所有基于 IP 的封禁都要有效期,哪怕是 1 年。
  • 来自于 IDC/VPN 的流量要严肃对待!
  • 基于 IP 的安全风控和基于业务数据的安全风控是不一样的。在极端情况下,可以在 IP 层面直接拒绝。
  • 推荐把运营商以及所有者的信息纳入到风控维度中。
  • 目前基于 BGP 的劫持和滥用貌似越来越多了,希望可以多交流。

为了更好地解决日益猖獗的网络威胁,威胁情报服务商威胁猎人指出,唯有打造以数据驱动安全为核心的安全生态,形成智能化、立体型的防御体系,才能对网络黑产进行实时监控与防御。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【编辑推荐】

  1. AI安全赋能产业 腾讯云天御助力打击黑产
  2. 黑产肆虐的背后,人工智能能做多少?
  3. 最有效率的安全团队并不一定最有经验 也不一定人数最多
  4. 最有效率的安全团队并不一定最有经验 - 网络·安全技术周刊第331期
  5. 暗网叫卖知名网站千万用户数据?揭秘黑产如何操作
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

数据库系统概念

本书是数据库系统方面的经典教材之一。国际上许多著名大学包括斯坦福大学、耶鲁大学、得克萨斯大学、康奈尔大学、伊利诺伊大学、印度理工学...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊