这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天

概述

企业的信息安全体系是非常庞大的，任何一个环节都可能会出现安全风险。其中，黑灰产是安全人员最为关注的一个风险来源，也是历年来导致企业和用户损失最大的因素。

如果某个平台或者业务被黑灰产盯上，可能是因为这个业务存在安全隐患被黑灰产利用，也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御，就是要了解他们的意图、手段和行为模式，避免被黑灰产攻击或者利用。

本次可能会给大家简单介绍国内黑灰产的情况，挑选了几种比较经典的黑产作弊手段进行详细分析，希望能帮助大家对黑灰产这个群体有一定的了解，提升各位的安全意识，在日后的工作和生活中，多一些安全角度的思考。

国内黑产介绍

• 常见黑产：诈骗、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、病毒、拖库、盗号、勒索软件

• 黑色产业链规模庞大：中国无网络黑产从业人员已超过150玩玩，市场规模答千亿级别——中国法院网2017；2022年12月，haveibeenpwned收录了约120亿条账密数据；某互联网风控公司统计，2018年各类黑产攻击（业务层）总数超300亿次；不完全统计，19年有5000w左右非实名手机卡被频繁用于各种欺诈活动，每天约有350w-400w个代理ip被用于各类欺诈活动。

• 黑色产业链结构

• 发展趋势：规模化、组织化、平台化

常见黑产技术分析

• 某银行业务逻辑漏洞
• 人脸识别对抗
• 地理位置对抗：定位打卡、摇一摇附近的人、出租车抢单、某些线下使用的优惠

安全防护体系的建设

在事前完成防护，可以将风险降到最低；事中防护，将损失降到最低；事后防护则是避免再次发生

事前

• 情报监控：暗网、贴吧、TG、破解论坛，看他们用的技术
• SDLC
• 漏洞扫描

事中

• 渗透测试

• 威胁感知

  • 用户行为异常
  • 接口数据异常
  • 恶意流量检测

• 风控/安全策略

事后

• 威胁建模
• 攻击溯源

思考

• 身边有一些事情可能和黑产有关，但如何辩认这些行为呢？

  首先要明确的是，黑产常常涉及到不当的获取利益，或者通过规避法律法规而违法行为。例如，在金融市场上，黑产常常涉及到窃取信息、操纵市场以获取非法利益；在电信市场上，黑产可能涉及到违反网络安全法、利用漏洞获取不正当利益等行为。此外，还应该注意的是，黑产可能会伪造文件，或者在交易过程中使用伪造身份证件，以获取不正当利益。因此，在发现可疑行为时，应该及时上报有关部门，以抵制黑产活动。

• 你当前所学习和研究的技术，是否存在一些公开的安全问题，比如漏洞或者设计缺陷？如何避免他人利用这些问题来攻击你？

  现实中，很多数据库很容易由于配置错误或部署不当而导致漏洞。从低密码强度到SQL注入攻击再到跨站点脚本漏洞，我们必须解决这些与数据库相关的威胁。针对数据库安全问题，我们需要遵循最小权限原则、定期审查账户访问权限、监控数据库活动和加密敏感数据，以更好地抵御现代复杂威胁。

• 如果无法避免被攻击，如何将损失降低到最小？

  首先，应该尽可能多地采用安全技术，例如安装防火墙、安装反病毒软件、禁用不必要的服务和端口，以及确保及时地进行系统更新。此外，可以制定一套安全策略，以及定期进行安全培训和测试，以确保企业员工知晓最新的安全技术和安全控制措施。同时，还要对网络架构进行审查，确保数据可以得到有效的保护，并且可以提高网络安全性。最后，可以考虑采用备份和恢复技术，以便在受到灾难性攻击后，可以快速恢复系统。