这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天

企业的信息安全体系是非常庞大的，任何一个环节都可能会出现安全风险。其中，黑灰产是安全人员最为关注的一个风险来源，也是历年来导致企业和用户损失最大的因素。如果某个平台或者业务被黑灰产盯上，可能是因为这个业务存在安全隐患被黑灰产利用，也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御，就是要了解他们的意图、手段和行为模式，避免被黑灰产攻击或者利用。

国内黑产介绍

常见黑产

1、技术类的黑产：为中下游技术性不强的黑灰产制作并提供各类软、硬件设备和服务，比如木马植入钓鱼网站及各类恶意软件

2、源头性黑灰产：掌握号源信息或身份信息的黑产，常见的有手机号、身份证、工商信息等信息，通过贩卖用户信息获利。

3、平台类黑产：用于非法交易、交流的平台类黑灰产。如恶意网站、恶意论坛和恶意群组，以及类似提供接码、打码的平台，如QQ群组、论坛网站等

4、实施各类违法犯罪的黑灰产：基于中下游链路，黑灰产在实施环节常常表现为恶意行为、诈骗等形式

黑产趋势

早在2017年我国网络安全产业规模就已达到450多亿元。至今黑灰产业已达千亿元规模。通过技术等犯罪行为实施偷盗、诈骗、敲诈的案件数，在以每年30%的增速增长，且呈现越来越专业、国际化的状态。

早期特征：黑客攻击、地下产业、模式单一、组织零散

趋势1：国际化

现在的黑产犯罪团伙往往跨境作案，并和国内多低维持隐蔽的联络，一次逃避警方打击。

趋势2：智能化

黑产从业者的技术升级已实现了AI犯罪。

趋势3：公司化

黑产从业者会注册核发公司，披着科技外衣来获取灰色收入。

趋势4：涉众化

以传销为代表，犯罪和受害者的定位产生了模糊。

趋势5：平台化

黑产从业者越来越多成了上游提供者，降低了犯罪的各环节成本。

趋势6：灰产病毒式扩张

保守估计，其从业人员至少已达上百万。

安全防护体系的建设

事前

情报监控：暗网、贴吧、TG、破解论坛

漏洞扫描

事中

渗透测试

威胁感知：用户行为异常、接口数据异常、恶意流量检测

风控/安全策略

事后

威胁建模、攻击溯源

防护手段

验证码、安全软件开发工具包（SDK）、代理检测、人脸识别、黑产名单、Web应用防护系统（WAF）、入侵检测系统（IDS）、数据防泄漏（DLP）、终端安全防护、行为审计