这是我参与「第五届青训营 」笔记创作活动的第9天
灰黑产监控与防御概述
企业的信息安全体系是非常庞大的,任何一个环节都可能会出现安全风险。其中,黑灰产是安全人员最为关注的一个风险来源,也是历年来导致企业和用户损失最大的因素。
常见的黑产
- 诈骗
- 薅羊毛
- 黄牛
- 博彩
- 木马
- 病毒
- 钓鱼
- 拖库
- 盗号
- 勒索软件
- 跑分
- 引流
灰黑产业结构示意图
黑产的发展趋势
- 规模化
- 借助脚本、软件实现批量化攻击
- 整合上游各类资源,大大降低了攻击成本,同时使得攻击成功率高
- 组织化
- 多数发展成工作室性质
- 团队分工明确,合作紧密,甚至成立了公司
- 平台化
- 平台级别的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具
- 整合零散资源
一些黑产技术
- 业务逻辑漏洞的暴露
- 对于人脸识别的生成对抗(精细化定制各类人脸模型)
- 虚拟定位的分布
- 地理位置的对抗
安全防护体系的建设
- 事前
- 情报监控,了解黑产情报发展
- 暗网
- 贴吧
- TG
- 各类破解和漏洞论坛平台
- SDLC
- 漏洞扫描
- 情报监控,了解黑产情报发展
- 事中
- 渗透测试
- 威胁感知
- 用户行为异常感知
- 接口数据异常的感知
- 恶意流量的检测
- 风控/安全策略
- 事后
- 威胁建模 避免再次发生威胁以及建立起应对威胁的流程
- 攻击溯源 掌握和发掘攻击者的入侵方向,进行行为特征的整理
防护体系建设依托的工具与方法
- 验证码、安全SDK、代理检测、人脸识别、黑产名单
- WAF、IDS、DLP、终端安全防护、行为审计
