業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)標(biāo)準(zhǔn)白皮書(shū)2024

112目錄 61.1業(yè)務(wù)安全脆弱性評(píng)分(ISVS) 61.2ISVS評(píng)分的參考意義 8 132.1虛假安裝藍(lán)軍測(cè)評(píng)案例 132.2人臉識(shí)別繞過(guò)藍(lán)軍測(cè)評(píng)案例 15 203.1基礎(chǔ)測(cè)評(píng) 203.2周期測(cè)評(píng) 213.3行業(yè)橫評(píng) 21 234.1營(yíng)銷活動(dòng)作弊場(chǎng)景 234.2業(yè)務(wù)刷量場(chǎng)景 244.3廣告刷量場(chǎng)景 244.4人臉識(shí)別繞過(guò)場(chǎng)景 25附：攻擊效率指標(biāo)取值高低參考 271.物料獲取效率 272.技術(shù)對(duì)抗效率 293前言互聯(lián)網(wǎng)黑灰產(chǎn)成長(zhǎng)至今，已形成了團(tuán)伙化、自動(dòng)化、生態(tài)化、上下游嚴(yán)密配合的產(chǎn)業(yè)鏈網(wǎng)。據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)黑灰產(chǎn)對(duì)互聯(lián)網(wǎng)企業(yè)及線下實(shí)體行業(yè)每年造成近千億元的損失。網(wǎng)絡(luò)黑灰產(chǎn)的從業(yè)群體偽裝成正常的業(yè)務(wù)請(qǐng)求不斷蠶食鯨吞著企業(yè)業(yè)務(wù)的利益，如掠奪新人紅包的羊毛黨、利用企業(yè)平臺(tái)流量批量進(jìn)行惡意營(yíng)銷詐騙的引流產(chǎn)業(yè)、破壞企業(yè)推薦計(jì)費(fèi)規(guī)則的刷量作弊產(chǎn)業(yè)等。隨著互聯(lián)網(wǎng)黑產(chǎn)攻擊模式的成熟，運(yùn)作模式的可復(fù)制性越來(lái)越高，業(yè)務(wù)安全問(wèn)題日漸突顯。當(dāng)前，企業(yè)在處理業(yè)務(wù)安全問(wèn)題時(shí)往往面臨著以下挑戰(zhàn)：攻防信息不對(duì)等：企業(yè)對(duì)黑灰產(chǎn)攻擊手段及變化缺乏深入了解，造成攻擊發(fā)現(xiàn)處理滯后、周期長(zhǎng)的局面。策略效果評(píng)估難：策略下發(fā)后，難以全面評(píng)估策略效果、及時(shí)發(fā)現(xiàn)黑產(chǎn)新的繞過(guò)手段等。評(píng)估體系缺失：不同于互聯(lián)網(wǎng)基礎(chǔ)安全，業(yè)務(wù)安全問(wèn)題沒(méi)有明確的邊界。在基礎(chǔ)安全中，多數(shù)攻擊的危害程度已有像OWASPTop10這樣的評(píng)估標(biāo)準(zhǔn)，而業(yè)務(wù)安全由于場(chǎng)景復(fù)雜，同時(shí)需要綜合考慮用戶體驗(yàn)及用戶活躍，一直缺乏一套行之有效的評(píng)估體系。與基礎(chǔ)安全的嚴(yán)防死打不同，業(yè)務(wù)安全的目標(biāo)通常不是杜絕攻擊，而是將攻擊限制在可控的范圍內(nèi)，從而確保業(yè)務(wù)的正常開(kāi)展和業(yè)務(wù)規(guī)模的健康增長(zhǎng)。以營(yíng)銷活動(dòng)場(chǎng)景對(duì)抗羊毛黨舉例，實(shí)體商品清庫(kù)存的互聯(lián)網(wǎng)促銷活動(dòng)、餐飲行業(yè)需要到店消費(fèi)優(yōu)惠折扣券等情況，對(duì)羊毛黨的容忍度較高，業(yè)務(wù)安全的治理目標(biāo)是將羊毛黨控制在50%4以下，而針對(duì)特定客群的拉新活動(dòng)，則希望補(bǔ)貼盡可能落在真人用戶上，對(duì)羊毛黨容忍度較低——真人將有一定轉(zhuǎn)化率成為長(zhǎng)期用戶，羊毛黨的轉(zhuǎn)化率幾乎為0，羊毛黨占比過(guò)高將損失掉很多機(jī)會(huì)成本，那么業(yè)務(wù)安全的治理目標(biāo)是將其控制在10%以下。可以看到，即使都是營(yíng)銷活動(dòng)場(chǎng)景，活動(dòng)類型和規(guī)則不同，評(píng)估的目標(biāo)也會(huì)不同。因此，企業(yè)的業(yè)務(wù)安全問(wèn)題需要一套評(píng)估體系，能夠數(shù)字化體系化地描述遭受攻擊帶來(lái)的危害程度及安全策略實(shí)施后的效果等?；谝陨闲枨笈c目標(biāo)，威脅獵人在2020年發(fā)布了國(guó)內(nèi)首個(gè)《業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)標(biāo)準(zhǔn)白皮書(shū)》，填補(bǔ)了業(yè)務(wù)安全行業(yè)長(zhǎng)期以來(lái)缺失攻擊危害及安全策略效果評(píng)估體系的空白。時(shí)隔四年，威脅獵人結(jié)合第一版標(biāo)準(zhǔn)落地過(guò)程中遇到的挑戰(zhàn)以及過(guò)去幾年在各行業(yè)多家客戶的業(yè)務(wù)安全藍(lán)軍實(shí)戰(zhàn)經(jīng)歷，對(duì)第一版標(biāo)準(zhǔn)進(jìn)行了修訂和更新，發(fā)布了《業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)標(biāo)準(zhǔn)白皮書(shū)（2024年版）》。010156一、業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)標(biāo)準(zhǔn)業(yè)務(wù)安全脆弱性評(píng)分（InteractionSecurityVulnerabilityScore）是從攻擊者視角出發(fā)，將企業(yè)的某個(gè)業(yè)務(wù)對(duì)象設(shè)定為攻擊目標(biāo)，使用黑灰產(chǎn)的攻擊方式對(duì)該對(duì)象發(fā)起模擬攻擊測(cè)試，還原攻擊過(guò)程，并結(jié)合最終的攻擊結(jié)果評(píng)估黑灰產(chǎn)攻擊給該業(yè)務(wù)對(duì)象帶來(lái)的危害。ISVSISVS計(jì)算方式：ISVS=Max(攻擊效率AE*目標(biāo)達(dá)成率AR)測(cè)評(píng)對(duì)象或達(dá)成目標(biāo)不同，評(píng)估攻擊效率取值的方式往往也會(huì)不同，通?？梢苑謩e從物料獲取效率和技術(shù)對(duì)抗效率這兩個(gè)角度來(lái)考慮。物料包括攻擊過(guò)程中需要用到的手機(jī)號(hào)資源、賬號(hào)資源、IP資源、設(shè)備資源、身份認(rèn)證資源等，攻擊者獲取這些物料的成本越低，攻擊效率越高，反之越低；技術(shù)則包括攻擊過(guò)程中為了破解應(yīng)用保護(hù)或繞過(guò)風(fēng)控限制等，所用到的軟件逆向技術(shù)、改機(jī)技術(shù)、改定位技術(shù)、人臉偽造技術(shù)等等，攻擊者應(yīng)用這些技術(shù)并攻擊成功的門檻越低，攻擊效率越高，反之越低。注：關(guān)于攻擊效率指標(biāo)取值高低參考，詳見(jiàn)附件。7目標(biāo)達(dá)成率AR是指該攻擊方案的最終測(cè)試結(jié)果達(dá)到預(yù)期攻擊目標(biāo)的比率。達(dá)到或超過(guò)預(yù)期攻擊目標(biāo)，取值為1。如果是定量的攻擊目標(biāo)，比如預(yù)期在指定時(shí)間段內(nèi)攻擊成功10000次，實(shí)際攻擊成功8000次，則目標(biāo)達(dá)成率為(8000/10000)=0.8；如果是非定量的攻擊目標(biāo)，比如預(yù)期是繞過(guò)測(cè)評(píng)對(duì)象的人臉識(shí)別，實(shí)際結(jié)果也是繞過(guò)成功，則目標(biāo)達(dá)成率為1，否則目標(biāo)達(dá)成率為0；如果需要在限定的條件下才能達(dá)成目標(biāo)，比如只有低版本安卓系統(tǒng)才可以攻擊成功，則可以結(jié)合實(shí)際情況進(jìn)行取值0到1之間。以上兩個(gè)指標(biāo)各自評(píng)估出一個(gè)[0,1]區(qū)間的得分，相乘便得到ISVS評(píng)分，取值區(qū)間也是[0,1]。由于在測(cè)評(píng)過(guò)程中可能會(huì)采用多個(gè)攻擊方案進(jìn)行測(cè)評(píng)，需要綜合多個(gè)攻擊方案的ISVS評(píng)分，取最大值（基于木桶短板原則）。ISVS分?jǐn)?shù)越高，則說(shuō)明測(cè)評(píng)對(duì)象面臨該攻擊方案時(shí)越脆弱，若黑灰產(chǎn)使用該方案對(duì)業(yè)務(wù)發(fā)起攻擊，造成的危害越大。下圖是XX產(chǎn)品面對(duì)五種攻擊方案時(shí)ISVS取值的散點(diǎn)圖分布：8XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)結(jié)果企業(yè)在進(jìn)行業(yè)務(wù)安全脆弱性評(píng)分(ISVS)時(shí)不是單純追求低分，而是從攻擊者視角，客觀反映出當(dāng)前業(yè)務(wù)安全的水位，及時(shí)暴露短板，并以此推動(dòng)整改和治理。前文提到業(yè)務(wù)安全的目標(biāo)不是杜絕攻擊，而是將攻擊限制在可控的范圍內(nèi)。如果有明確的定義，比如使用黑產(chǎn)廣泛掌握的攻擊方式（攻擊效率AE取值1）發(fā)起1000次攻擊，攻擊成功次數(shù)低于200屬于可控，超出500屬于失控，則可以建立兩個(gè)ISVS評(píng)分基準(zhǔn)值：可控9基線0.2和失控基線0.5。評(píng)分在區(qū)間[0,0.2)說(shuō)明將攻擊限制在可控的范圍內(nèi)，評(píng)分在區(qū)間(0.5,1]說(shuō)明已經(jīng)失控，急需加強(qiáng)安全建設(shè)。以散點(diǎn)圖形式對(duì)可控區(qū)間和失控區(qū)間進(jìn)行直觀展示：XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)基線測(cè)評(píng)對(duì)象和預(yù)期目標(biāo)不變的情況下，ISVS評(píng)分也會(huì)隨著業(yè)務(wù)安全水位的變化和黑灰產(chǎn)攻擊方式的升級(jí)迭代而變化，因此業(yè)務(wù)藍(lán)軍測(cè)評(píng)需要周期性地進(jìn)行，通過(guò)ISVS評(píng)分的縱向?qū)Ρ葋?lái)反映安全建設(shè)工作的實(shí)際成效，以及是否出現(xiàn)了新的短板。以散點(diǎn)圖形式不同階段ISVS評(píng)分進(jìn)行直觀展示：XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍縱向測(cè)評(píng)跟行業(yè)內(nèi)的同類業(yè)務(wù)進(jìn)行對(duì)比測(cè)評(píng)，并通過(guò)ISVS評(píng)分來(lái)反映測(cè)評(píng)對(duì)象在行業(yè)內(nèi)的安全水位。如果相比行業(yè)內(nèi)的同類業(yè)務(wù)，ISVS評(píng)分偏高，則需要盡快加強(qiáng)安全建設(shè)，因?yàn)橄鄬?duì)薄弱的業(yè)務(wù)必然會(huì)成為黑灰產(chǎn)的重點(diǎn)攻擊對(duì)象。以散點(diǎn)圖來(lái)展示測(cè)評(píng)對(duì)象在行業(yè)內(nèi)的安全水位情況：XX行業(yè)-業(yè)務(wù)安全藍(lán)軍橫向測(cè)評(píng)0202二、業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)案例虛假安裝主要出現(xiàn)在業(yè)務(wù)營(yíng)銷推廣當(dāng)中，某些推廣渠道會(huì)跟黑灰產(chǎn)勾結(jié)，偽造虛假的應(yīng)用安裝量，從而騙取企業(yè)的推廣費(fèi)用。測(cè)評(píng)對(duì)象：某社交應(yīng)用預(yù)期攻擊目標(biāo)：攻擊1周，每個(gè)攻擊方案平均每天成功完成2000次虛假安裝基于黑灰產(chǎn)研究所掌握的情報(bào)信息，從攻擊者視角來(lái)看，虛假安裝目前主要有兩類攻擊路徑：1）在真實(shí)手機(jī)或模擬器上通過(guò)腳本模擬點(diǎn)擊的方式進(jìn)行應(yīng)用的安裝和啟動(dòng)，并通過(guò)群控批量控制多臺(tái)設(shè)備，通過(guò)改機(jī)技術(shù)篡改設(shè)備的IMEI、安卓ID、Mac地址等參數(shù)來(lái)偽造新設(shè)備。2）破解應(yīng)用的接口協(xié)議，編寫自動(dòng)化程序偽造應(yīng)用安裝和啟動(dòng)的接口請(qǐng)求，在請(qǐng)求參數(shù)中填入虛假的設(shè)備信息，在沒(méi)有實(shí)際安裝應(yīng)用的情況下直接欺騙業(yè)務(wù)后臺(tái)。根據(jù)以上兩種攻擊路徑，制定出四種攻擊方案，如下：方案一：通過(guò)模擬器來(lái)偽造多臺(tái)手機(jī)設(shè)備；方案二：使用真實(shí)手機(jī)，并通過(guò)軟件改機(jī)的方式來(lái)偽造新設(shè)備；方案三：使用真實(shí)手機(jī)，并通過(guò)定制ROM改機(jī)的方式來(lái)偽造新設(shè)備；方案四：破解應(yīng)用接口協(xié)議，直接偽造安裝和啟動(dòng)的接口請(qǐng)求。攻擊方案方案說(shuō)明AEARISVS方案一該應(yīng)用具備較強(qiáng)的模擬器檢測(cè)能力，測(cè)試多款模擬器都無(wú)法正常啟動(dòng)該應(yīng)用，即使根據(jù)黑灰產(chǎn)所掌握的方法刻意抹去模擬器特征也不能成功，因此攻擊效率AE取值為0，ISVS評(píng)分也為0。0/0方案二該應(yīng)用具備較強(qiáng)的前端對(duì)抗能力，測(cè)試多款改機(jī)軟件，均被應(yīng)用檢測(cè)出注入/Hook等痕跡導(dǎo)致無(wú)法正常啟動(dòng)該應(yīng)用，因此攻擊效率AE取值為0，ISVS評(píng)分也為0。0/0方案三定制ROM改機(jī)通過(guò)篡改系統(tǒng)底層源碼來(lái)篡改設(shè)備信息，導(dǎo)致應(yīng)用無(wú)法對(duì)其進(jìn)行有效的對(duì)抗，測(cè)試可以安裝并啟動(dòng)應(yīng)用，同時(shí)每次改機(jī)后都會(huì)認(rèn)為是一臺(tái)新設(shè)備的安裝。但定制ROM改機(jī)在測(cè)評(píng)期間并沒(méi)有被黑產(chǎn)廣泛使用，且需要購(gòu)買專門的設(shè)備，因此攻擊效率AE取值為0.5，最終平均0.50.60.3每天完成的虛假安裝次數(shù)為1200次，目標(biāo)達(dá)成率AR為(1200/2000)=0.6，ISVS評(píng)分為0.5*0.6方案四雖然協(xié)議攻擊是黑產(chǎn)常見(jiàn)的攻擊方式，但是該應(yīng)用對(duì)接口協(xié)議做了加密，網(wǎng)絡(luò)抓包只能看到加密后的內(nèi)容無(wú)法直接進(jìn)行協(xié)議偽造；同時(shí)該應(yīng)用做了代碼保護(hù)，無(wú)法直接反編譯加密算法也無(wú)法直接調(diào)用加密函數(shù)。最終在高級(jí)逆向分析工程師投入一個(gè)月左右的時(shí)間才完成了協(xié)議算法的破解，這對(duì)于黑灰產(chǎn)來(lái)說(shuō)技術(shù)對(duì)抗效率是比較低的，攻擊效率AE取值為0.1。破解之后平均每天可以完成超過(guò)2000次的虛假安裝，目標(biāo)達(dá)成率AR為1，ISVS評(píng)分為0.1*1=0.1。0.110.1結(jié)合方案一到方案四的ISVS評(píng)分，測(cè)評(píng)對(duì)象的綜合ISVS評(píng)分為0.3，同時(shí)可以給出評(píng)語(yǔ)：測(cè)評(píng)對(duì)象在防御虛假安裝上具備較強(qiáng)的安全能力，黑灰產(chǎn)無(wú)法通過(guò)模擬器或軟件改機(jī)偽造新設(shè)備來(lái)制造虛假安裝，而偽造協(xié)議的攻擊方式對(duì)于黑灰產(chǎn)有著很高的技術(shù)門檻，可以采用定期更換算法的方式來(lái)進(jìn)一步限制這類攻擊。對(duì)于定制ROM改機(jī)不具備檢測(cè)能力，考慮到該方式會(huì)被黑產(chǎn)越來(lái)越多地使用，需要盡早進(jìn)行針對(duì)性防范。人臉識(shí)別繞過(guò)主要出現(xiàn)在一些關(guān)鍵的身份認(rèn)證場(chǎng)景當(dāng)中，比如網(wǎng)絡(luò)犯罪分子在掌握了受害者的賬號(hào)密碼之后，還需要繞過(guò)人臉識(shí)別，才能成功進(jìn)行異地登錄、轉(zhuǎn)賬等敏感操作。測(cè)評(píng)對(duì)象：某金融應(yīng)用預(yù)計(jì)攻擊目標(biāo)：成功繞過(guò)應(yīng)用的人臉識(shí)別，完成非本人的賬號(hào)登錄基于黑灰產(chǎn)研究所掌握的情報(bào)信息，從攻擊者視角來(lái)看，繞過(guò)人臉識(shí)別有兩個(gè)關(guān)鍵步驟，分別是生成虛假的人臉視頻和控制手機(jī)攝像頭播放人臉視頻。生成人臉視頻有兩種方式，分別是：1）人臉活化：借助CrazyTalk等軟件，基于受害者的照片生成眨眼、點(diǎn)頭、搖頭等動(dòng)作的視頻；2）人臉替換：借助DeepFaceLab等軟件，將提前錄制好的視頻中的人臉，替換成受害者的人臉。控制手機(jī)攝像頭播放人臉視頻有三種方式，分別是：1）拍攝電腦屏幕：在電腦上播放人臉視頻，手機(jī)攝像頭直接拍攝電腦屏幕；2）手機(jī)攝像頭劫持：購(gòu)買黑灰產(chǎn)定制的過(guò)人臉手機(jī)，劫持?jǐn)z像頭的視頻流；3）云手機(jī)虛擬攝像頭：利用云手機(jī)的虛擬攝像頭功能，可以播放指定的視頻。因此一共組合出2*3=6種攻擊方案，如下：方案一：人臉活化+拍攝電腦屏幕；方案二：人臉活化+手機(jī)攝像頭劫持；方案三：人臉活化+云手機(jī)虛擬攝像頭；方案四：人臉替換+拍攝電腦屏幕；方案五：人臉替換+手機(jī)攝像頭劫持；方案六：人臉替換+云手機(jī)虛擬攝像頭。攻擊方案方案說(shuō)明AEARISVS方案一使用人臉活化方式制作出來(lái)的視頻，無(wú)法通過(guò)檢測(cè)，因此方案一的目標(biāo)達(dá)成率AR取值為0，ISVS評(píng)分也為0。/00方案二同方案一/00方案三同方案一/00方案四攝像頭對(duì)著電腦屏幕拍攝，無(wú)法通過(guò)檢測(cè)，因此方案四的目標(biāo)達(dá)成率AR取值為0，ISVS評(píng)分也為0。/00方案五劫持?jǐn)z像頭并播放人臉替換后的視頻，可以通過(guò)檢測(cè)并登錄成功，因此方案五的目標(biāo)達(dá)成率AR取值為1。0.510.5但這種攻擊方案需要購(gòu)買專門的過(guò)人臉手機(jī)，且不保方案六云手機(jī)虛擬攝像頭播放人臉替換后的視頻，可以通過(guò)檢測(cè)并登錄成功，因此方案六的目標(biāo)達(dá)成率AR取值為1。雖然云手機(jī)使用門檻不高，但該攻擊方式在測(cè)評(píng)期間并沒(méi)有被黑灰產(chǎn)掌握，綜合攻擊效率AR取值0.210.2結(jié)合方案一到方案六的ISVS評(píng)分，測(cè)評(píng)對(duì)象的綜合ISVS評(píng)分為0.5，同時(shí)可以給出評(píng)語(yǔ)：測(cè)評(píng)對(duì)象對(duì)于防御人臉識(shí)別繞過(guò)存在一定的安全盲區(qū)，雖然通過(guò)人臉活化技術(shù)制作的視頻無(wú)法繞過(guò)檢測(cè)，但通過(guò)人臉替換技術(shù)制作的視頻，配合特定手機(jī)劫持?jǐn)z像頭以及云手機(jī)虛擬攝像頭，均可以成功繞過(guò)檢測(cè)。一旦被黑灰產(chǎn)惡意利用，可能會(huì)給用戶帶來(lái)巨大的資產(chǎn)損失，因此需要盡早進(jìn)行針對(duì)性防范。0303三、業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)類型前文提到互聯(lián)網(wǎng)黑灰產(chǎn)成長(zhǎng)至今已形成了團(tuán)伙化、自動(dòng)化、生態(tài)化、上下游嚴(yán)密配合的產(chǎn)業(yè)鏈網(wǎng)，隨著網(wǎng)絡(luò)黑產(chǎn)攻擊模式的成熟，運(yùn)作模式的可復(fù)制性越來(lái)越高，業(yè)務(wù)安全問(wèn)題日漸突顯。當(dāng)下，企業(yè)在處理業(yè)務(wù)安全問(wèn)題時(shí)面臨著攻防信息不對(duì)等、策略效果難評(píng)估等挑戰(zhàn)，業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)服務(wù)應(yīng)運(yùn)而生。業(yè)務(wù)安全藍(lán)軍測(cè)試人員將模擬真實(shí)黑產(chǎn)，使用真實(shí)環(huán)境中的黑產(chǎn)資源、攻擊工具和方法，在可控范圍內(nèi)進(jìn)行非破壞性的還原攻擊測(cè)試，復(fù)現(xiàn)攻擊細(xì)節(jié)，幫助企業(yè)了解以下內(nèi)容：.產(chǎn)業(yè)鏈現(xiàn)狀：得到當(dāng)前產(chǎn)業(yè)鏈攻擊的投入成本、產(chǎn)出利益、產(chǎn)業(yè)鏈的攻擊規(guī)模及攻擊企業(yè)自身的黑產(chǎn)的攻擊規(guī)模等。輔助企業(yè)從成本等多維度優(yōu)化對(duì)攻擊行為的處理方式，提高防守效率，加高攻擊者門檻等。.攻擊手段細(xì)節(jié)：得到當(dāng)前黑產(chǎn)的一手?jǐn)?shù)據(jù)及攻擊手段細(xì)節(jié)，輔助企業(yè)合理及時(shí)調(diào)整風(fēng)控策略及規(guī)則。當(dāng)前，業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)主要有以下幾種類型：基礎(chǔ)測(cè)評(píng)適用于業(yè)務(wù)安全建設(shè)早中期，這個(gè)階段企業(yè)往往對(duì)黑灰產(chǎn)缺乏了解，不清楚業(yè)務(wù)是否有遭受黑灰產(chǎn)攻擊以及是否攻擊成功，也不清楚黑灰產(chǎn)攻擊造成的危害，因此需要通過(guò)專業(yè)的業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)來(lái)建立對(duì)黑灰產(chǎn)認(rèn)知，并針對(duì)性進(jìn)行安全建設(shè)。為了幫助客戶進(jìn)一步了解黑灰產(chǎn)，除了輸出業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)報(bào)告之外，還可以根據(jù)客戶需求，輸出相關(guān)的黑灰產(chǎn)產(chǎn)業(yè)鏈研究報(bào)告。周期測(cè)評(píng)適用于長(zhǎng)期開(kāi)展的業(yè)務(wù)功能或營(yíng)銷活動(dòng)，同時(shí)業(yè)務(wù)安全建設(shè)到中期之后，由于業(yè)務(wù)發(fā)展的變化和黑灰產(chǎn)的變化，需要通過(guò)周期性的測(cè)評(píng)來(lái)反映當(dāng)前的業(yè)務(wù)安全水位，是否有提升或下降，評(píng)估各項(xiàng)安全策略的具體效果的同時(shí)，及時(shí)發(fā)現(xiàn)新出現(xiàn)的業(yè)務(wù)安全盲區(qū)。指定相同場(chǎng)景下的相同測(cè)試項(xiàng)或相似測(cè)試項(xiàng)，選定同行業(yè)不同公司，對(duì)相同測(cè)試項(xiàng)同時(shí)進(jìn)行測(cè)評(píng)，并對(duì)其進(jìn)行橫向?qū)Ρ?。此類測(cè)評(píng)會(huì)存在一定限制，對(duì)于需要取得授權(quán)才能進(jìn)行的測(cè)試項(xiàng)，在未獲得授權(quán)時(shí)不能進(jìn)行測(cè)評(píng)。0404四、業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)場(chǎng)景補(bǔ)貼、新人紅包、助力提現(xiàn)等活動(dòng)是企業(yè)常見(jiàn)的營(yíng)銷手段，也是黑灰產(chǎn)普遍會(huì)關(guān)注的利益點(diǎn)。不同的活動(dòng)和目標(biāo)面對(duì)的羊毛黨攻擊風(fēng)險(xiǎn)及容忍度不同，測(cè)評(píng)的預(yù)期目標(biāo)也會(huì)有所不同，以下是一些典型的測(cè)評(píng)項(xiàng)目舉例：1、特定優(yōu)惠券批量獲取類活動(dòng)測(cè)試項(xiàng)目：某平臺(tái)5/10/15元新人券獲取變現(xiàn)；預(yù)期攻擊目標(biāo)：1小時(shí)內(nèi)完成100次賬號(hào)注冊(cè)，賬號(hào)要求可成功獲取并使用優(yōu)惠券。2、拼團(tuán)類活動(dòng)測(cè)試項(xiàng)目：某平臺(tái)的老帶新拼團(tuán)活動(dòng)；預(yù)期攻擊目標(biāo)：1小時(shí)內(nèi)完成30組拼團(tuán)，進(jìn)入發(fā)貨流程視為發(fā)起羊毛攻擊成功，考慮實(shí)體商品變現(xiàn)渠道前提下。3、助力邀請(qǐng)拉新提現(xiàn)類活動(dòng)測(cè)試項(xiàng)目：某平臺(tái)邀請(qǐng)好友得現(xiàn)金活動(dòng)；預(yù)期攻擊目標(biāo)：老號(hào)拉新模式拿到最高獎(jiǎng)勵(lì)，且可以批量執(zhí)行，提現(xiàn)成功記為攻擊成功。此外還有幾點(diǎn)需要注意下：1、營(yíng)銷活動(dòng)可能出現(xiàn)在應(yīng)用中，也可能出現(xiàn)在小程序中或者H5頁(yè)面中，對(duì)于不同的端，黑灰產(chǎn)的攻擊效率也會(huì)不同；2、黑灰產(chǎn)攻擊營(yíng)銷活動(dòng)最終要通過(guò)某種渠道進(jìn)行變現(xiàn)，因此測(cè)評(píng)時(shí)可以根據(jù)客戶需求，將最終成功變現(xiàn)的數(shù)量作為攻擊目標(biāo)。業(yè)務(wù)刷量主要出現(xiàn)在社交、內(nèi)容、電商等平臺(tái)，通過(guò)刷指定對(duì)象的訪問(wèn)量、點(diǎn)擊量、播放量、點(diǎn)贊量、評(píng)論量等，一方面可以騙取平臺(tái)的激勵(lì)，另一方面可以提升排名獲得更多曝光量或資源傾斜，對(duì)平臺(tái)生態(tài)造成破壞。以下是一些典型的測(cè)評(píng)項(xiàng)目舉例：1、刷訪問(wèn)/點(diǎn)擊/播放量測(cè)試項(xiàng)目：某視頻網(wǎng)站指定視頻；預(yù)期攻擊目標(biāo)：1天內(nèi)完成10000次視頻播放，且不能被后端風(fēng)控識(shí)別為虛假刷量。2、刷點(diǎn)贊/回復(fù)/評(píng)論量測(cè)試項(xiàng)目：某社交平臺(tái)指定帖子；預(yù)期攻擊目標(biāo)：1天內(nèi)完成500次回帖，且不能被后端風(fēng)控識(shí)別為虛假刷量。廣告刷量是廣告行業(yè)一直就有的潛規(guī)則，按照不同的結(jié)算方式，通過(guò)刷廣告的曝光量、點(diǎn)擊量、下載量、安裝量等，騙取廣告主的廣告費(fèi)用。而對(duì)于廣告主而言，往往也并不要求做到100%的真量，因此測(cè)評(píng)項(xiàng)目主要圍繞以下兩個(gè)需求來(lái)設(shè)計(jì)：1、限制大規(guī)模刷量通過(guò)測(cè)評(píng)來(lái)評(píng)估黑灰產(chǎn)是否可以通過(guò)群控、偽造協(xié)議等方式大規(guī)模制造虛假的廣告曝光量、點(diǎn)擊量等。2、對(duì)比渠道質(zhì)量通過(guò)測(cè)評(píng)獲取的數(shù)據(jù)，計(jì)算廣告主投放的各個(gè)渠道中假量的占比，作為渠道質(zhì)量對(duì)比的重要依據(jù)。人臉識(shí)別作為最為重要的身份認(rèn)證手段，確保執(zhí)行登錄、轉(zhuǎn)賬、支付等敏感業(yè)務(wù)動(dòng)作時(shí)是本人在操作。一旦人臉識(shí)別被繞過(guò)，意味著最可靠的防御機(jī)制被突破，難以再對(duì)后續(xù)危害進(jìn)行有效的阻斷。因此對(duì)于金融、支付等跟用戶資產(chǎn)強(qiáng)關(guān)聯(lián)的應(yīng)用，針對(duì)人臉識(shí)別繞過(guò)場(chǎng)景的藍(lán)軍測(cè)評(píng)，是非常必要的。隨著ChatGPT等AI技術(shù)的發(fā)展，制作的人臉視頻會(huì)越來(lái)越逼真，這將是一個(gè)長(zhǎng)期攻防對(duì)抗的過(guò)程，因此測(cè)評(píng)需要周期性地進(jìn)行。0505五、業(yè)務(wù)安全藍(lán)軍測(cè)評(píng)流程1、溝通測(cè)試需求：雙方就測(cè)評(píng)對(duì)象和預(yù)期攻擊目標(biāo)等進(jìn)行溝通說(shuō)明；2、藍(lán)軍測(cè)評(píng)小組輸出推薦測(cè)試項(xiàng)文檔：測(cè)評(píng)小組根據(jù)客戶需求輸出推薦的測(cè)試項(xiàng)及測(cè)試評(píng)估標(biāo)準(zhǔn)等；3、討論確定測(cè)試對(duì)象和預(yù)期攻擊目標(biāo)；4、簽訂合同及授權(quán)協(xié)議；5、實(shí)施測(cè)試；6、驗(yàn)收測(cè)試結(jié)果。1）手機(jī)號(hào)獲取方式攻擊效率短信驗(yàn)證碼存在暴破或回顯等漏洞，導(dǎo)致可以隨便填寫手機(jī)號(hào)高通過(guò)黑灰產(chǎn)接碼平臺(tái)獲取的手機(jī)號(hào)可以進(jìn)行注冊(cè)、登錄和業(yè)務(wù)操作高通過(guò)黑灰產(chǎn)私密對(duì)接獲取的手機(jī)號(hào)可以進(jìn)行注冊(cè)、登錄和業(yè)務(wù)操作中只能使用真人在用的手機(jī)號(hào)進(jìn)行注冊(cè)、登錄和業(yè)務(wù)操作低使用查殺分離的方式，只有在黑手機(jī)號(hào)注冊(cè)的賬號(hào)進(jìn)行惡意業(yè)務(wù)操作的時(shí)候才進(jìn)行限制低2）賬號(hào)獲取方式攻擊效率新注冊(cè)的賬號(hào)沒(méi)有任何限制，可執(zhí)行敏感業(yè)務(wù)操作如批量發(fā)帖、回帖等高新注冊(cè)的賬號(hào)無(wú)法執(zhí)行敏感業(yè)務(wù)操作，需要積累到一定的活躍度中可以使用機(jī)器養(yǎng)號(hào)的方式積累賬號(hào)的活躍度高無(wú)法使用機(jī)器養(yǎng)號(hào)，只能人工養(yǎng)號(hào)或購(gòu)買真人賬號(hào)低賬號(hào)更換設(shè)備或地域進(jìn)行登錄