导语:当大家在面对同一个黑产问题时,却在摸索不同的方法。所以我们希望提供这样的一个机会,与大家共同探讨黑产攻防问题。

6 月 9 日下午,由威胁猎人、金山云和 IPIP 联合主办的首届网络黑产攻防沙龙在北京举行,就当下业务攻防对抗、黑产情报分析等时下热门课题进行了解析,并邀请安全圈的大咖们分享了各自的黑产攻防经验。

美团点评技术总监刁士涵、金山云安全技术总监李鸣雷、IPIP.NET 创始人高春辉等嘉宾参加了此次沙龙。

沙龙在轻松的气氛下准时开场。威胁猎人 CEO 毕裕做了简单的致辞,向到场嘉宾对此次沙龙活动的支持表示感谢。

640.jpg

威胁猎人 CEO 毕裕

随着互联网的飞速发展,黑产也呈爆发态势增长,而当前存在的主要问题是,整个安全行业缺乏互通性,攻防双方信息严重不对称。毕裕表示,当大家在面对同一个黑产问题时,却在摸索不同的方法。所以我们希望提供这样的一个机会,与大家共同探讨黑产攻防问题,这也是我们举办这次沙龙的初衷。

刁士涵:业务安全的非技术因素

来自美团点评技术总监刁士涵认为,业务安全是一个系统工程,策略、规则、算法、数据等技术对抗只是防范黑产攻击的一小部分。要获得更好的防控效果,需要从整个业务流程来考虑综合方案。

640 (1).jpg

美团点评技术总监刁士涵

刁士涵在现场给我们分享了通过非技术因素的改进和优化来提高业务安全的效果,并详细分析了几个重要的非技术因素:评估、产品、业务运营、情报、客诉。

而评估则是非技术因素中的重中之重,如优惠作弊的漏过率是多少,刷单的召回率是多少,虚假注册识别的准确率和召回率是多少,账户被盗的资损率是多少?没有评估,业务安全无从下手。评估可以定性风险在哪里,来源是什么,甚至可以评估防控优先级及效果。

梁倍毓:黑灰产在移动设备成本上的对抗

随着 PC 端业务下降,移动互联网爆发,黑产也与时俱进,在移动端作恶的比例越来越高。来自威胁猎人的高级情报专家梁倍毓从黑产的视角给大家分享了黑产在移动设备成本上的对抗。

640 (2).jpg

威胁猎人高级情报专家梁倍毓

在初级对抗中,黑产主要使用手机模拟器来完成设备的复用。常见于各类薅羊毛活动,如采用多开方式手动操作,或是结合模拟点击脚本进行攻击行为。梁倍毓在现场还生动地给大家举了黑产利用手机加上改机工具如何实现薅某外卖平台新用户首单红包的整个过程。

梁倍毓强调,面对利益的黑灰产不会因为一个维度的检测而轻易放弃,所以使用群控类的高级对抗也随之产生,并被批量应用于场景中。如注册账号:通常每一部手机能够注册的特定厂商的账号都是有限的,通过伪造新的设备指纹就可以达到手机的无限复用,进而批量注册账号。

所以单纯地只在设备指纹层面上做对抗是不够的,还需要结合其他维度,比如注册手机号是否是黑产猫池号码,建立人机识别模型等。

李鸣雷:云服务面临的黑产问题 – 从一个僵尸网络说起

随着云计算的兴起,越来越多的用户开始从传统 IT 架构转换到云环境。黑产也利用云计算的廉价、易获取等特点,将战场转移到云平台上。金山云安全技术总监李鸣雷从一个僵尸网络的故事说起,与大家共同探讨了云运营商和云租户如何安全运营和使用云计算平台。

640 (3).jpg

金山云安全技术总监李鸣雷

当前,云端僵尸网络的新特点是资源获取容易,僵尸网络可以按需开通,按时付费;资源的销毁导致取证困难;云服务商的域名,通常被防火墙标记为可信任,大量云主机缺乏可靠的登录机制和安全防护。

面对这些问题,云服务商可以做些什么呢?李鸣雷总结了两种对策,一是被动方式,首先是云主机的多重防御,如加强服务器安全、补丁、漏洞扫描等。其次是注册严格实名制,如防止恶意注册和薅羊毛,DNS 检测与全流量检测发现潜在木马通信。二是主动的对策,如通过蜜罐部署,实现多区域,国内跨省跨地区,甚至是国际上跨国来做到主动性的防御和监测。

高春辉:IP 与黑产攻防

IP 作为风控三大要素之一,而且是必备要素,甚至是唯一要素,在很多时候,是非常考验风控人员的知识和经验的。IPIP.NET 创始人高春辉在现场从业务风控的角度,给大家分享了 IP 方面的一些必备知识,也从这几年与各大公司合作的角度介绍了与黑产对抗的情况和经验。

640 (4).jpg

图为 IPIP.NET 创始人高春辉

为什么需要 IP 画像数据?地理位置是 IP 数据各个维度中应用最广泛的标签,但是很多时候只有地理位置是不够的,这个 IP 后面是真实用户还是服务器;是公司出口还是家庭使用;这个 IP 最近的行为如何,是不是有恶意行为当过肉鸡?

高春辉表示,维度越多越准确,就越可以更好的帮助大家做业务上的分析与对策。并在现场向大家分享了正确认识 IP 的库的各种情况:比如基于 IP 做地理位置识别的局限性(网络位置、用户位置)。其次要正确获取 IP 地址(REMOTE_ADDR)。如果日志有人用 8.8.8.8 在访问,那么 100% 是假冒的。最后对于基站用途的 IP 不能从 IP 层面做判断。

在现场,就网络业务安全黑产攻防问题,到场的小伙伴们也纷纷发表了自己的观点。黑产的手段越来越成熟,量级也越来越大。对于防守方而言,面对黑灰产快速迭代的技术更新,只有做到对黑灰产最新动态的及时发现和持续跟踪,提升威胁感知能力和安全防御能力,打造以数据驱动安全为核心的安全生态,才能在攻防对抗的过程中掌握更多的主动权。

源链接

Hacking more

...