精华内容
下载资源
问答
  • 业务安全

    2013-03-01 11:17:47
    1、业务逻辑安全,比如金融领域的反欺诈、反洗钱、反骗保,企业中的反舞弊,反贪污,互联网领域的反外挂,反盗币等,是业务设计本身的问题,这些一般由企业内部的安全或内控团队完成;乙方要做需要非常深入行业; 2...
    1、业务逻辑安全,比如金融领域的反欺诈、反洗钱、反骗保,企业中的反舞弊,反贪污,互联网领域的反外挂,反盗币等,是业务设计本身的问题,这些一般由企业内部的安全或内控团队完成;乙方要做需要非常深入行业;
    2、业务体系安全,指的是业务逻辑没问题,但是在支撑业务的组织、流程、IT系统等方面出现安全风险
    3、业务权限安全,指的是由于企业人员角色岗位众多,如何在系统配置中实现有效的业务权限梳理和职责分离,一般大型企业的ERP系统或业务系统会涉及这方面
    4、业务数据安全,指的是业务数据从产生到销毁全生命周期中,相关人员、流程、系统方面的安全风险控制
    5、应用程序安全,这个一般是web应用的安全评估、渗透测试这类服务
    展开全文
  • 从这一讲开始,我们讨论业务安全。近几年,随着互联网的快速发展,很多公司为了获取用户增长,在业务中投入了大量的资本。向来都是向钱看齐的黑客(在业务安全中,我们称之为黑产),自然就将攻击的重心放到了业务中...

    在这里插入图片描述

    从这一讲开始,我们讨论业务安全。近几年,随着互联网的快速发展,很多公司为了获取用户增长,在业务中投入了大量的资本。向来都是向钱看齐的黑客(在业务安全中,我们称之为黑产),自然就将攻击的重心放到了业务中。业务安全也变得越来越热门,成为各大公司安全投入的重心之一。

    对比于传统的基础安全,业务安全有哪些特点呢?为什么它能够成为一个独立的领域呢?在业务安全中,我们需要重点关注的防护方法又有哪些呢?

    以上这些问题,在这个模块中我会详细来讲。今天,我们先从业务安全的特点和防护重点入手,让你对业务安全的体系和框架有一个清晰的认识。

    如何理解业务安全?

    学习一个新知识的最好方法,一定是从我们学过的知识入手。所以,今天我会对比基础安全,来帮助你理解业务安全。基础安全其实就是我们前几个模块关注的安全攻防视角下的安全概念和知识,也叫网络安全。

    想要理解业务安全,我们先来认识一下黑产。黑产是基于正常的业务产品逻辑,采取非正常或者批量的操作,来获取利益的行为。业务安全就是通过各类产品策略,来对黑产进行识别和拦截,从而保障业务的正常运行。

    你一定见过,或者参加过“红包雨”领红包的活动。在活动中,用户可以通过“红包雨”游戏领取一定金额的红包,金额大小由前端决定。通过这个例子,我们来对比一下黑客和黑产的攻击。

    在基础安全的攻击视角中,黑客会逆向前端代码,找到最终决定金额的逻辑,然后自己伪造一个大额的红包请求。这样一来,黑客就可以不用玩游戏,同时还能获得一个大额的红包。在业务安全的攻击视角中,黑产会开发一个自动玩游戏领红包的工具,操纵大量的账号来参与活动。最终,将各个账号的小额红包汇总到一个账号下,从而实现获利。

    黑产和黑客有哪些差异?

    从前面的例子中,我能够看出,黑客在基础安全和业务安全中的攻击方式有很大不同,那它们之间具体有哪些差异呢?接下来,我们一起来分析。

    在基础安全中,黑客会通过各种 Web 安全或者系统安全的漏洞,对公司的系统和应用发起攻击,最终侵入公司系统,窃取敏感信息等成果。“黑客”原意是指擅长各类计算机技术的人,也就是在基础安全领域中,掌握各种高端技巧,能够发现并利用漏洞的攻击者。但是,在业务安全中,业内普遍将攻击者称为“黑产”。之所以会改换一个名称,我认为主要有两点原因。

    第一,“黑产”强调的是“产业化”。

    尽管黑客也存在很多组织,但黑客组织更多的是将一群黑客进行统一管理,实际发起攻击的仍然是单人或者小组。

    相比于黑客,在业务攻击中,黑产已经形成了完整的产业化链条:在上游,有人专门提供各类技术支持,如验证码绕过、手机群控、自动注册工具等;在中游,有人专门收集大量的手机号、身份证号、银行卡号等信息,在应用内注册大量的垃圾账号;在下游,有人利用工具和账号,进行薅羊毛、刷评论、欺诈等操作。可以说,任何个人或者小的团体都没有办法发起业务攻击,必须依靠上游提供的各类资源,才能够实现真正获利。产业链的结构如下图所示:
    在这里插入图片描述

    第二,黑客强调的是技术对抗,而“黑产”更看重资源对抗。

    对于黑客来说,只要技术足够强大,并且手里掌握着一些“0 day”漏洞,就能够以一己之力攻破公司的安全防御体系。但是对于黑产来说,其本质是资源对抗,所以不可能有类似黑客的“单兵作战”。那什么是资源对抗呢?

    我们来看一个例子。现在有一个“新用户注册得红包”的活动,公司可能会给每个新用户发放 1 元的现金红包,以此作为用户增长的激励措施。这个时候,如果黑产注册一个新用户的成本是 2 元(需要手机号、银行卡等各种资源支持),那显然是一个亏本的买卖。因此,黑产需要想尽办法去降低注册资源的成本。如果是你,你会怎么做呢?你可以先试着思考一下,然后再来看我下面的分析。

    生活中就有很多这样的例子。以前,你想要骑一辆自行车,需要花几百块钱买一辆。而现在,你花上一块钱,就能够骑上共享单车,还能够“随停随走”。黑产的资源对抗也是利用的这种“共享”思想:在黑产的中上游,由专门的团伙负责大批量收集各类资源,供很多下游团伙使用,这样就能在很大程度上降低黑产发起攻击的成本。

    现在,黑产购买一个手机号的成本只需要几毛钱,而互联网应用获取一个新用户需要花费几十元,这其中的利益之大可见一斑。

    从黑客与黑产之间的攻击差异中,我们能够发现基础安全和业务安全的核心差异。基础安全是防御黑客的技术攻击,避免漏洞。业务安全是防御黑产的资源对抗,避免正常业务被攻击。

    业务安全如何防护?

    在基础安全中,我们说过应用的本质是数据,安全的本质是数据的 CIA,我们可以通过黄金法则来保护数据。那么,对于业务安全来说,我们的防护思路又是怎么样的呢?

    我们还是要从业务的本质入手来解决问题。我认为,业务的本质是一种投资,也就是公司投入成本来获取用户价值。投入的成本包括应用开发的成本、服务的成本以及获取用户的成本等。

    用户的价值也多种多样,直接的如收取用户的服务费用,间接的如通过用户来获取广告收益、通过用户来吸引商家入驻收取租金等。那黑产是如何从中获利的呢?

    黑产的获利手段是通过廉价的资源,降低用户的价值,从而赚取公司投入的成本。因此,业务安全的本质就是保障用户价值不受黑产的恶意影响。保障的方法就是提高黑产的资源成本,使得黑产无法获利。这也就是我所说的,业务安全的本质其实就是资源层次上的对抗。

    那我们应该如何进行资源对抗呢?首先,我们要知道,黑产需要进行哪些资源投入。一般来说,黑产会从四个方面进行资源投入,分别是:用户资源、IP 资源、设备资源和操作资源。下面,我们一一来看。

    首先是用户资源。

    黑产通常需要获取大量的用户身份,来进行大规模的业务操作,才能实现获利。这是因为,应用通常会要求用户绑定各种信息,比如手机号、身份证、银行卡等。而黑产需要满足应用的强制绑定要求,才能获得用户身份。因此,这些手机号、身份证以及银行卡等,其实就是黑产必须投入的用户资源。

    现在,黑产有很多办法可以获取这些用户资源。我来总结了几个常见的方法:

    通过虚拟运营商或者物联网卡来获取大量非实名手机卡
    在网上搜集各类泄露的身份证图片
    在偏远地区支付十几块钱,买到他人的手持身份证照片和视频
    在类似注册任务贴吧这样的任务群中,注册一个账号之后,再转手卖给黑产
    对于用户资源的对抗,目前主要的方式就是黑名单。这里,我把黑名单的防护流程总结了一张图。
    在这里插入图片描述

    从上图中我们可以看到,用户黑名单主要有两种收集方式:内部收集和外部采购。其中,内部收集是基于用户在业务内部的行为进行判定的,流程相对复杂一些,而外部采购是直接购买汇总好的黑名单。这样一来,我们就利用黑名单实现了对黑产的拦截。

    接着,我们来说 IP 资源。

    黑产往往是在同一个地方进行大量操作的,IP 相对固定。所以,任何公司做业务安全的第一步,都是对 IP 进行限制,常见的手段是限制一个 IP 下能够登录的用户数量。为了绕过这种安全防控机制,黑产必须掌握大量的 IP 资源。

    如果你有做过爬虫,一定知道通过快代理这种网上的免费代理,来绕过反爬机制。而黑产更高级一些,黑产会利用“秒拨 IP”来获取大量 IP 资源。所谓“秒拨”,就是指每一次拨号上网,都会分配一个新的 IP 给我们。只要持续地断网、拨号,我们就能够获得大量的 IP 资源。

    下图是某个代理 IP 网站的报价,我们可以看到,目前代理 IP 的价格最低只要 0.5 分钱。也就是说,黑产只需要付出很少的成本就能获得大量 IP 资源。
    在这里插入图片描述

    事实上,我们目前很难对 IP 资源进行有效防控。IP 的变化十分频繁,一个 IP 上一分钟可能是黑产在操作,下一分钟可能就被正常用户所使用了。所以,即使我们能基于业务数据确定一个 IP 存在异常,也没有办法对它进行黑名单处理。

    除了 IP 之外,设备也是公司做业务安全的一个基础。

    在正常情况下,一个设备对应一个账号。但是,黑产可能会需要在一个设备上使用几十个账号进行操作,这就很容易被应用和公司检测到异常。因此,黑产必须想办法获取大量的设备。

    黑产获取设备的方法比较多,最简单的一种是通过模拟器来模拟设备。但是,很多公司会对前端进行检测,来发现模拟设备。因此,黑产也就从使用模拟设备升级为使用真实的手机。所以,很多黑产案件中都会出现由大量手机设备组成的“手机墙”。除此之外,也有上游团队将手机做成云控模式,下游黑产可以直接花钱购入可远程操控的真实手机设备。

    设备资源的对抗原理是对虚拟设备进行识别。这就需要依赖业务安全中比较关键的设备指纹技术了。所谓“设备指纹技术”,就是收集设备上的各类特征,对设备进行追踪,然后基于设备的行为和信息,判定是虚拟设备还是人为操作,以此对黑产进行拦截。

    最后是操作资源。

    黑产需要正常使用业务才能获利,所以在操作上会和正常用户一样花费时间和精力。这对黑产来说,也是一个不小的成本。

    比如说,在开头的例子中,用户参加“红包雨”游戏领取红包的过程,就是一个操作的过程:用户为了领取一个几毛钱的红包,在 APP 上花几分钟玩一个游戏。这显然对黑产是不合算的。因此,黑产会尝试使用一些自动化的工具,比如按键精灵,让机器来完成游戏的过程。这样一来,黑产就释放了人力的操作资源投入,大大降低了操作成本。

    所以说,我们和操作资源的对抗,就是在和黑产的自动化工具进行对抗。公司为了区分“人”和“机器”的操作,就需要使用验证码(如图片验证码、滑块验证码等)。通过这类“人”很容易完成,但“机器”很难完成的验证方式,黑产就没办法全自动地完成交互,我们也就提高了黑产的操作成本。

    总之,业务安全的防护核心就是提高黑产的资源成本。更详细的防护方案,我们会在后面的课程中详细来讲,这里你只需要对这几种资源有一个全面的认知即可。

    为了帮助你理解这 4 种资源的核心特点,我整理了一个表格供你参考,如下图所示:
    在这里插入图片描述

    总结

    好了,今天的内容讲完了。我们一起总结回顾一下,你需要掌握的重点内容。

    业务安全和基础安全在本质上就有很大的不同:在基础安全中,黑客将技术作为核心竞争力;在业务安全中,黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源,谁就能窃取公司更大的利益。因此,作为防守方,我们在关注业务安全的时候,也应当将关注的重点放在如何提高黑产的资源成本上,这样才能够为公司提供有力的业务安全防护。
    在这里插入图片描述

    思考题

    最后,还是给你留一道思考题。

    今天,我们讲了几个黑产必须要掌握的资源。你可以思考一下,假如你掌握了这些资源,你会如何对你的业务发起攻击?又会如何获利呢?

    欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!

    下一讲

    产品安全方案:如何降低业务对黑灰产的诱惑?

    展开全文
  • 业务安全 –业务逻辑漏洞 业务安全概述; 业务安全测试流程: 业务数据安全 商品支付金额篡改 前端JS限制绕过验证 请求重放测试 业务上线测试 *商品订购数量篡改 密码找回安全 注入 业务逻辑 信息泄露 ...

    目录

    业务安全 –业务逻辑漏洞

    业务安全概述;

    业务安全测试流程:

    业务数据安全

    商品支付金额篡改

    前端JS限制绕过验证

    请求重放测试

    业务上线测试

    *商品订购数量篡改

    密码找回安全


    注入

    业务逻辑

    信息泄露

    业务安全概述;

    简单讲,随着社会发展,越来越多的行业都开始发展互联网业务,利用信息通信性技术以及互联网平台进行商务互动(金钱交易)。如:银行、保险、证券电商、P2P、O2O、游戏、社交、招聘、航空等。涉及金钱、个人信息、交易、等重要隐私数据,成为黑客攻击的目标。

    (业务逻辑漏洞主要是开发人员业务流程设计的缺陷,不仅限于网络层、系统层、代码层等。例登陆验证码绕过、交易中的数据被篡改、接口的恶意调用等,都属于业务逻辑漏洞)。

     

    注:业务逻辑漏洞可以逃逸各种安全防护,迄今为⽌没有很好的解决办法。也是为什么⿊客偏好使⽤业务逻辑漏洞攻击的⼀个原因。

     

     

    业务安全测试流程:

    准备>>调研>>场景建模>>流程梳理>>风险点识别>>业务风险点识别>>开展测试>>撰写报告

     

    业务数据安全

    商品支付金额篡改

    电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别是在确保在用户客户端与服务端、业务系统接口之间的数据传输的一致性。通常在订购类交易流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户提交的业务数据而导致的商品金额篡改漏洞。

    商品金额篡改漏洞测试,通过BP抓包修改业务流程中的交易金额等字段,例在支付页面抓取金额字段,修改成任意金额提交,查看是否是修改后的金额数据完成业务流程。

    测试作用:

    主要针对订单⽣成的过程中存在商品⽀付⾦额校验不完整⽽产⽣业务安全⻛险点,通常导致攻击者⽤实际⽀付远低于订单⽀付的⾦额订购商品的业务逻辑漏洞。

    现实案例:一毛钱买冰箱。

     

    前端JS限制绕过验证

    很多商品在限制用户购买数量时,Web应用仅在页面通过JS脚本限制,未在服务端校验用户提交的数量。

    我们可以通过BP抓取苦户端发送的请求包修改JS端生成处理的交易数据,将请求中的商品数量改成大于最大限制的值,看能否以非正常业务交易数据完成业务流程。

    测试作用:主要针对电商平台由于交易限制机制不严谨、不完善⽽导致的⼀些业务逻辑问题。例如,在促销活动中限制商品购买数量,却未对数量进⾏前、后端严格校验,往往被攻击者所利⽤,购买多个促销商品,造成商家的损失。

    现实案例:打折商品限制⽤户购买数量,购买多个促销商品。

     

    请求重放测试

    是电商平台业务逻辑漏洞中⼀种常⻅的由设计缺陷所引发的漏洞,通常情况下所引发的安全问题表现在商品⾸次购买成功后,参照订购商品的正常流程请求,进⾏完全模拟正常订购业务流程的重放操作,可以实现“⼀次购买多次收货”等违背正常业务逻辑的结果。

    测试作用:该项测试主要针对电商平台订购兑换业务流程中对每笔交易请求的唯⼀性判断缺乏有效机制的业务逻辑问题,通过该项测试可以验证交易流程中随机数、时间戳等⽣成机制是否正常。

    现实案例:一次购买多次发货。

    业务上线测试

    业务上限测试主要是针对⼀些电商类应⽤程序在进⾏业务办理流程中,服务端没有对⽤户提交的查询范围、订单数量、⾦额等数据进⾏严格校验⽽引发的⼀些业务逻辑漏洞。

    *商品订购数量篡改

    该项测试主要针对商品订购的过程中对异常交易数据处理缺乏⻛控机制⽽导致相关业务逻辑漏洞,例如针对订购中的数量、价格等缺乏判断⽽产⽣意外的结果,往往被攻击者利⽤。

    实战:damiCMSV5.4网上商城任意商品购买

     

    成功!!!!

     

    密码找回安全

    验证码客户端回显测试

    找回密码测试中要注意验证码是否会回显在响应中,有些⽹站程序会选择将验证码回显在响应中,来判断⽤户输⼊的验证码是否和响应中的验证码⼀致,如果⼀致就会通过校验。

    验证码暴力破解

    用户登录或者修改密码时验证码使用次数没有受限制,就会被HEIKE暴力破解并修改任意用户密码。

     

    Response状态值修改测试

    Response 状态值修改测试,即修改请求的响应结果来达到密码重置的⽬的,存在这种漏洞的⽹站或者⼿机App往往因为校验不严格⽽导致了⾮常危险的重置密码操作。

    这种漏洞的利⽤⽅式通常是在服务端发送某个密码重置的凭证请求后,出现特定的响应值,⽐如

    true

    1

    ok

    success

    200

    注:通常这种漏洞的回显值校验是在客户端进⾏的,所以只需要修改服务器的响应数据包即可。

    ☺ * Session覆盖

    业务逻辑是:由⽤户使⽤⼿机进⾏注册,然后服务端向⼿机发送验证码

    短信,⽤户输⼊验证码提交后,进⼊密码重置⻚⾯。

    测试:

    1. 打开浏览器,访问重置密码⻚⾯,并提交⾃⼰的⼿机号(例:133),同时浏览器接收SessionID;

    2. ⽤⾃⼰的账号(⼿机号)接收凭证(短信验证码);

    3. 获得凭证校验成功后,进⼊密码重置⻚⾯;

    4. 在浏览器新标签重新打开找回密码⻚⾯,输⼊⽬标⼿机号(例:177),此时服务器就会重新下发SessionID;

    5. 此时当前SessionID 已经被覆盖,重新回到第三步中打开的重置密码⻚⾯即可重置⽬标⼿机号密码。

    漏洞原因:

    1. 验证码校验之后,没有及时更新SessionID,或者没有及时更新服务器端Session信息。
    2. SessionID么有与手机号绑定还木有验证码绑定。

     

    弱Token设计缺陷测试

    在找回密码功能中,很多⽹站会向⽤户邮箱发送找回密码⻚⾯链接。⽤户只需要进⼊邮箱,打开找回密码邮件中的链接,就可以进⼊密码重置⻚⾯了。找回密码的链接通常会加⼊校验参数来确认链接的有校性,通过校验参数的值与数据库⽣成的值是否⼀致来判断当前找回密码的链接是否有效。

    密码找回流程绕过测试

    网站的密码找回功能一般有以下几个步骤:

    1. 用户输入找回密码的账号:
    2. 校验凭证:向用户发送短信验证码或者找回密码链接,用户回填验证码或单击链接进入密码重置页面,以此方式证明当前操作用户是账号主人:
    3. 校验成功进入重置密码页面。

    ⽤户修改密码需要向服务器发送修改密码请求,服务器通过后再修改数据库中相应的密码,所以在测试中我们⾸先要收集三个步骤的请求接⼝,重点是收集到最后⼀步重置密码的接⼝,这样我们可以直接跳过凭证校验的接⼝去尝试直接重置密码。

     

    接口参数账号修改

    找回密码功能逻辑中常常会在用户修改密码接口提交参数中存在用户账号的参数,而用户参数作为一个可控变量是可以被篡改,从而导致修改账号密码的凭证或修改的目标账号出现偏差,最终造成任意账号密码修改的漏洞。

     

    接⼝参数账号修改流程测试为拦截前端请求,通过修改请求内的账号ID 、名称或者邮箱、⼿机号等参数,将修改后的数据发送给服务器进⾏欺骗达到密码重置的⽬的

    展开全文
  • 安全模型和业务安全体系

    千次阅读 2020-02-19 16:57:31
    网络安全和业务安全 网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。 ...

    网络安全和业务安全

    网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。

    业务安全中,黑灰产基于非正常的资源(IP、手机号、身份信息等),通过正常的产品流程,获取利益,影响业务正常运营。比如:黑灰产通过大量手机号注册新号,获取企业新户奖励,最终批量套现。

    网络安全中,攻击者的意图多种多样:有挖漏洞卖钱的,有卖隐私数据赚钱的,有恶意报复的,也有纯粹炫技的。但对于业务安全,黑灰产的目的其实很直接,就是钱。

    在这里插入图片描述

    由于国外网络安全发展较早,且国外对于个人隐私的保护更加严苛,所以在传统网络安全这一领域上,国外一直领先于国内的整体水平。而对于业务安全,则是一个极具中国特色的安全发展方向,因为早期互联网烧钱式的推广营销,大大刺激了黑灰产的迅速发展。

    这就引发了一个思考,在较为成熟的网络安全中,有没有什么知识,是可以运用到业务安全中,帮助业务安全的快速发展呢?在微博业务安全发展中,就尝试了运用安全模型的概念,来搭建业务安全整体的体系架构。

    IPDRR模型简介

    IPDRR是NIST提供的一个网络安全框架(cybersecurity framework),主要包含了五个部分:

    • Identify:评估风险。包括:确定业务优先级、风险识别、影响评估、资源优先级划分
    • Protect:保证业务连续性。在受到攻击时,限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施
    • Detect:发现攻击。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行
    • Respond:响应和处理事件。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统
    • Recover:恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复

    当然在各个部分中,又涵盖了企业在网络安全中需要关注的各种细节问题,来帮助企业快速搭建网络安全体系。
    在这里插入图片描述
    PS:顺带科普一下常见的安全标准:NIST、ISO、COBIT、ITIL、等保等。其中NIST是美国的国家级安全标准。ISO(著名的两万七系列)是国际性的,通用性更强。COBIT和ITIL都和ISO紧密联系,也是比较经典的安全标准。而国内也同样提出的等级保护这样的安全标准,当然,相对水一些。

    这些安全标准之所以会提出安全框架的概念,就是因为,在网络安全中,企业所遇到的问题往往是相似的,所以能够总结出一套比较通用的框架来。有了安全框架之后,后续不论是对企业安全建设的指导,还是对于企业安全水平评估,都有了很好的标准。

    而对于业务安全来说,因为业务的多样性,所以一定程度上很难总结出非常具体的安全框架。但是,在相对高一些的层次上来说,业务安全大的流程和思路往往是相似的。因此,可以使用安全模型对业务安全进行总结和指导,避免思维被局限(比如:风控系统解决所有业务安全问题),出现安全短板。

    模块介绍与实践

    Identify

    在业务安全中,Identify部分的主要工作是:定义业务的安全需求。对于大部分业务来说,其面临的安全问题一般都比较直接,比如:投票榜单类业务,就是怕被刷;拉新促活业务,就是怕被薅等。也就是说,尽管手段多种多样,但是黑灰产的目的往往很单一。

    在这种情况下,就必须首先和业务方确定,他们对于业务的风险能够接受多少,比如下表所示:有的业务方可能涉及直接的资金投入,不允许黑灰产的存在;有的业务则只是排名上的影响,被刷一定程度上也能带来流量。这些安全需求的确定,能够帮助安全部门来作出决策:这个业务需要什么样的安全服务,需要投入多少精力到这个业务中去。

    因素 业务A 业务B 业务C
    业务KPI/防刷目的 拉新并提高新户留存 提高老户留存 提高业务公信力
    被刷产生的影响/对刷量容忍度/准确度要求
    被刷概率/黑产可能获利
    目标用户 真人用户,非小号 高质量用户 真人用户,可以是小号
    实时性要求
    误伤影响

    Protect

    Protect强调的是,在人为介入之前,能够自动运行的防御机制,如网络安全中的防火墙、waf等。在业务安全中,更倾向于将其定义为产品机制上的安全防御。对于同一个业务场景,采取不同的安全机制,将会起到很大的差异。比如说,对于抽奖来说,给抽奖制定什么样的门槛。门槛越高,则用户体验越差,参与量越小。但随之而来的,黑灰产的成本也越高,被刷的概率也越小。那么,这就需要安全部门和业务部门共同协商制定,来把控这个安全门槛的尺度。

    业务 低安全 中安全 高安全
    抽奖参与条件 转发 关注并转发 关注30天以上转发
    红包领取 无限制 需绑定身份证 需绑定支付宝,并识别人脸
    优惠/折扣券 满10减10 满10减9.99 满10减9.99,3天内有效
    转评赞、红包金额 无上限 公开上限100w 隐式上限

    Detect

    业务安全中,Detect和Protect的主要区别在于:Detect会基于数据进行分析,然后找出有问题的数据,并进行处理;而Protect并步区分正常和异常数据,只是普适性的提高成本,来加强安全。

    因此,Detect就是所谓的风控系统。需要再次强调的是,风控系统是业务安全中很重要的一个部分,但仅仅依靠风控系统,是没有办法做好业务安全的。

    关于风控系统,因为内容过多,在此就不展开来细谈了。可以参考公众号发布的风控相关文章进行了解。

    Respond

    严格意义上来说,Detect只负责进行识别,而具体的处理和响应,就需要放到Respond中来进行。当然,对于异常数据的处理方式,也就常规的几种:稍重一些的直接拦截,稍轻一些的则插入各种验证方法(图片、短信、滑块等)。

    这里需要额外强调一点的是,在处理异常数据的过程中,一定要考虑到反馈入口的添加。比如拦截时,可能弹出一个操作异常的页面,但在页面中添加一个投诉反馈的入口。对于投诉的信息,不一定要全部处理,但一定要监控其波动水平。比如说:某天投诉的用户量突然上涨了好几倍,那么很可能就是风控出现误伤了,亦或是黑灰产发起了集中的攻击。不论是哪种情况,都需要及时人工介入来进行分析处理。

    另外,如果资源足够的话,也可以组织专门的团队来负责应急响应处理的工作。当黑灰产发起攻击时,收集证据,发起溯源。当损失达到一定程度时,也可以通过法律途径,来进行打击。随着《网络安全法》的发布,目前网信办、网安、公安等,都越来越重视网络犯罪的打击。不要认为只有严重的资产损失才能报案,今年以内,微博以经对刷榜单、刷互动、甚至抓站的团体和公司发起了很多司法诉讼,也成功将很多黑灰产团伙关进了小黑屋。(蔡徐坤微博上亿转发量幕后推手 “星援”APP被端 嫌疑人在泉落网

    Respond

    Respond表示要对业务进行恢复操作。如果被薅羊毛了,就及时冻结资金,避免提现转出;如果被刷了,就撤销行为,还原真实数据;如果实在弥补不回来了,就可以寻求法律援助。

    当然,分析根本原因,补足安全措施,不断提升企业的业务安全水平,才是安全人员需要持续投入精力去进行的。
    在这里插入图片描述

    总结和展望

    基于微博业务安全的推动和发展进程,总结出了一些业务安全发展初期的建议,核心是:先求全,全面铺开;再求深,提升竞争力

    • Identify需要对业务方进行一定的安全教育,比如:“防刷”到底是防什么样形式的刷
    • Detect为推动的基石, 只要能够识别部分的攻击行为,就能够说服业务进行合作
    • 成功接入后,以Protect优先,避免因为未发现的漏洞,导致业务直接被打崩
    • 部分Protect逻辑,如果业务方不愿意额外开发,可以转接到风控引擎中来实现
    • Detect逻辑求稳为主,漏判可以想办法弥补,一旦误伤过量,可能被业务直接拉黑
    • 提供完善的Respond服务,人力成本较高,但业务满意度很高

    业务安全是一个很大的概念,绝不是某几个工具或系统能够实现的。正如在网络安全中,乙方公司可以做出WAF、IDS/IPS、漏扫等专业的安全产品,但无法为企业建立完整的安全架构(也有提供安全建设的厂商,不过都是通过长期驻场,深度合作来实现的)。因此,业务安全中,乙方公司也许可以做出风控系统、验证码、人脸识别等安全产品,但业务安全的建设,还是需要依靠安全团队来进行规划和构建。

    安全框架,对于企业业务安全发展,能起到很核心的作用。安全框架作为一个High Level的指导论,能够帮助安全团队快速理清工作目标,并发现安全短板,从而全面的提升企业的安全水平。另外,由于其通用性,安全框架也能够在多样的业务场景下,给予安全团队和业务部门指明方向,避免将过多的精力放在无用的地方,提高效率。

    当然,因为业务安全的特色,安全框架无法像其再网络安全中一样,事无巨细的列举出企业应该做的每一项事情。因此,在细节上,如果更好的为业务提供安全服务,仍然需要安全团队结合业务特色,进行具体的决策。

    最后,安全无“银弹”!

    展开全文
  • Web安全中的业务安全问题

    千次阅读 2018-10-15 21:35:23
    今天下午看完了《业务安全实战指南》,是一本2018年的新书。这本书包含的业务安全内容感觉挺全的,不过编排并不好,很多地方都有重复;应该是不同作者写了不同章节,但是事先没有分的太清楚。 我将结合以往知识与这...
  • 业务安全-业务安全

    千次阅读 2019-05-28 10:33:43
  • 机器学习互联网业务安全实践

    千次阅读 2020-04-20 10:10:12
    机器学习互联网业务安全实践 缘起 去年有幸得到机械工业出版社的邀请,将过去几年在互联网业务安全、反作弊、反垃圾等领域内的工作集结成书,希望为这个方向做一点小小的贡献。 编辑推荐 适读人群 :互联网业务安全...
  • 业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息...后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。
  • BMa · 2015/09/08 10:470x00 我理解的业务安全业务安全,按照百度百科的解释:业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身...
  • 携程是如何保障业务安全

    千次阅读 2017-01-19 14:33:09
    2015年加入携程,负责携程业务安全。个人专注在:安全漏洞,数据分析建模,业务安全,风控系统整体架构等。 作为国内第一大OTA企业,业务安全一直是携程所面临的重要安全风险之一。在面对各类从散兵作战到越来越专业...
  • 解析P2P金融的业务安全

    千次阅读 2015-10-19 15:28:28
    看了很多乙方同学们写的业务安全,总结下来,其出发点主要是在技术层面风险问题。另外捎带一些业务风险。今天我要谈的是甲方眼里的业务安全问题,甲方和乙方在业务安全的视野上会有一些区别和一些重合。在同一个问题...
  • 反爬虫业务安全概览

    千次阅读 2019-07-12 17:24:01
    反爬虫业务安全概览起源蚂蚁吃大象残酷的竞争恶意报复反爬虫我们要防御什么刷量占用资源信息资源盗取反爬虫技术防御视角反爬虫的挑战在哪里传统方案难以应对分布式爬虫数据采集难度大反爬虫防御现状利用 IP 和 UA ...
  • 后台业务安全(一)

    千次阅读 2018-05-16 11:52:39
    后台业务安全(一) 学习业务安全的准备工作: 掌握一套成熟的业务安全测试的方式方法,消化吸收前人总结的宝贵经验,开拓自己的安全事业。 了解目标平台的业务流程。 测试技巧: 科学的测试方法 学会使用...
  • 业务安全:某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程,而业务安全就是保证这些流程按照预定的规则运行。 下面先来看看常见的业务安全点(业务威胁) 常见的业务安全点 由于...
  • 6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码...
  • 课程介绍  互联网账号泄露事件频发,脱库、洗库、撞库,形成了一条完善的黑灰产业链,盗刷信用卡、“羊毛党”猖獗、刷单炒信等业务风险背后,如何去防范,阿里聚安全专家笙华为你...课时3:互联网业务安全防护实践
  • 业务安全漏洞挖掘要点

    千次阅读 2016-05-09 16:04:18
    业务安全漏洞挖掘要点1 身份认证安全 暴力破解 用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。 示例 360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646 淘米...
  • 课程介绍 互联网账号泄露事件频发,脱库、洗库、撞库,形成了一条完善的黑灰产业链,盗刷信用卡、“羊毛党”猖獗、刷单炒信等业务风险...课时3:互联网业务安全防护实践 开始学习http://click.aliyun.com/m/27938/
  • 互联网安全的发展史 一提到互联网领域的安全问题,我想大多数人的第一反应是利用网络、软件的漏洞进行的各种攻击,或者用手指在键盘上跳舞的黑客们,这似乎是一个老生常谈的问题。 我们每个人都能随口说出几种攻击,...
  • 随着网络安全发展到目前,最初最常见的注入、跨站、上传等Web安全问题基本得到大多数人的重视,目前常见的web扫描器也基本都能发现,业务安全却却日益成为网络安全的重要风险来源,而且各种逻辑问题也出现的五花八门...
  • “你们安全不要阻碍业务发展”、“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨。...但回归到互联网业务安全场景,现在业务安全防控常见场景往往如下:场景一:安
  • 业务安全之接口调用安全

    千次阅读 2018-09-04 22:54:24
    关于接口设计安全,主要需要考虑两个方面的安全问题,一是接口访问验证及权限问题,主要解决接口访问的合法性(用户登录验证、来源验证、频率控制等);另外是数据传输安全,主要解决接口数据被监听篡改和接口错误...
  • 构建电商网站业务安全系统,防止“薅羊毛” 2020-02-19 新零售安全 场景描述 业务运营活动是电商行业开展业务必不可少的手段,但大流量带来的系统可用性、优惠券带来的“薅羊毛”等问题屡见不鲜,都会影响到运营效果...
  • 互联网业务安全

    2016-12-27 17:24:23
    提高密码复杂度: 1. 对抗暴力破解; 2. 防止密码中包含个人信息 所以可以想到的方法有:设置更复杂的密码(包括提高位数,使用更多种类的字符,避免... ...关于业务逻辑问题: 实例1:黑客通过cookie劫持导致账户
  • 业务安全测试

    2017-03-07 15:04:35
    11. 针对接口进行应用层安全测试,整理登录后台,对接口进行测试 12. 对github进行常规检查 13. 对使用的第三方服务进行梳理     接口测试步骤: 1. 确认接口状态(nmap) 2. 使用爆破...
  • 6月9日消息,为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工信部现公开征求对《互联网新业务安全评估管理办法(征求意见稿)》的意见。 该办法所称互联网新业务...
  • 2020年3月28日晚,安在新媒体携手网易共同举办了安在讲堂网络安全公益讲座第一季特别专场,以“泛社交业务安全风控”为主题,进行了深入的探讨和分享。网易易盾首席产品风控官imlolo、恺英网络信息安全总监杨晓东、...
  • [网络安全学习篇64]:业务安全

    千次阅读 2020-05-11 00:24:11
    引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就...
  • 业务安全负责人越来越多的成为互联网企业的标配,主要在于其职能所解决的与传统安全问题有根本的不同

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 34,439
精华内容 13,775
关键字:

业务安全