黑灰产监控与防御

这是我参与「第五届青训营」伴学笔记创作活动的第10天。

企业的信息安全体系十分庞大，任何一个环节都有可能出现安全风险。其中，黑灰产是安全人员最为关注的一个风险来源。也是近年来导致企业与用户损失的最大因素。

如果某个平台或者业务被黑灰产盯上，可能是因为这个业务存在安全隐患被黑灰产利用，也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御，就是要了解他们的意图、手段和行为模式，避免被黑灰产攻击或者利用。

诈骗、木马、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、病毒、拖库、盗号、勒索软件等。

黑灰产的规模从业人员已超150万，市场规模超千亿级别。

由卡商提供手机卡至接码平台，接码平台与卡商对接，由开发者与听码人员服务于接码平台。

开发者设计自动化工具与接码平台对接。自动化工具会整合代理池IP，打码平台等。自动化工具直接对应黑产，黑产会对目标平台发起攻击。

规模化：借助脚本、软件来实现攻击的批量化；上游资源丰富，大大降低攻击成本；同时攻击成功率也会比较高。

组织化：多数以工作室的形式运作；团伙内多人分工明确，合作紧密，有些黑产甚至成立了公司。

平台化：今年以来出现了很多平台级爬虫、群控、钓鱼、木马、网络攻击、DdoS攻击工具，攻击成本大大降低，并且难以追查。各类平台将黑产手中零散的资源进行整合。

人脸识别对抗

地理位置对抗

事先：

情报监控：暗网；贴吧；TG；破解论坛；SDLC；漏洞扫描

事中：

渗透测试；威胁感知；风控/安全策略

事后：

威胁建模；攻击溯源