这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天
常见的黑产
诈骗,木马,薅羊毛,钓鱼,黄牛,病毒,博彩,引流,盗号,跑分,勒索软件
黑产产业链结构
黑产的发展趋势
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
组织化
- 多数以工作室的形式运作
- 团伙内多人分工明确,合作紧密某些黑产甚至成立了公司
平台化
- 今年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具,攻击成本大大降低,且难以追查
- 各类平台将黑产手中零散的资源进行整合
常见的黑产技术分析
- 1、技术类黑灰产业,包括虚假账号注册等在内的源头性黑灰产业;
- 2、用于非法交易、交流的平台类黑灰产业;
- 3、技术类黑灰产业,如木马植入、钓鱼网站、各类恶意软件等;
- 4、网络黑账号,多以恶意注册、虚假认证、盗号等形式出现。
安全防护体系的建设
事前
- 情报监控
- 暗网
- 贴吧
- TG
- 破解论坛
- SDLC
- 漏洞扫描
事中
- 渗透测试
- 威胁感知
- 用户行为异常
- 接口数据异常
- 恶意流量检测
- 风控/安全策略
事后
- 威胁建模
- 攻击溯源
字节跳动的网络安全防御体系
Elkeid
Elkeid是一个由字节跳动主导开源的主机安全解决方案,致力于提供复杂环境下/传统和云原生视角的主机层防御体系的最佳解决方案,由Elkeid Agent,Elkeid Driver,Elkeid RASP,Elkeid Server,Eilkeid HUB组成。
- Elkeid 不仅具备传统的HIDS(Host Intrusion Detection System)的对于主机层入侵检测和恶意文件识别的能力,且对容器内的恶意行为也可以很好的识别,部署在宿主机即可以满足宿主机与其上容器内的反入侵安全需求,并且Elkeid底层强大的内核态数据采集能力可以满足大部分安全运营人员对于主机层数据的渴望。
- 对于运行的业务Elkeid具备RASP能力可以注入到业务进程内进行反入侵保护,不仅运维人员不需要再安装一个 Agent,业务也无需重启。
