业务安全蓝军测评标准白皮书(2024年版)
1 2目录一、业务安全蓝军测评标准..............................................................................................................61.1业务安全脆弱性评分(ISVS).............................................................................................61.2ISVS评分的参考意义.......................................................................................................8二、业务安全蓝军测评案例...................................................................................................132.1虚假安装蓝军测评案例..................................................................................................132.2人脸识别绕过蓝军测评案例..........................................................................................15三、业务安全蓝军测评类型...................................................................................................203.1基础测评...........................................................................................................................203.2周期测评...........................................................................................................................213.3行业横评...........................................................................................................................21四、业务安全蓝军测评场景...................................................................................................234.1营销活动作弊场景...........................................................................................................234.2业务刷量场景...................................................................................................................244.3广告刷量场景...................................................................................................................244.4人脸识别绕过场景...........................................................................................................25附:攻击效率指标取值高低参考..................................................................................................271.物料获取效率.....................................................................................................................272.技术对抗效率.....................................................................................................................29 3前言互联网黑灰产成长至今,已形成了团伙化、自动化、生态化、上下游严密配合的产业链网。据统计,互联网黑灰产对互联网企业及线下实体行业每年造成近千亿元的损失。网络黑灰产的从业群体伪装成正常的业务请求不断蚕食鲸吞着企业业务的利益,如掠夺新人红包的羊毛党、利用企业平台流量批量进行恶意营销诈骗的引流产业、破坏企业推荐计费规则的刷量作弊产业等。随着互联网黑产攻击模式的成熟,运作模式的可复制性越来越高,业务安全问题日渐突显。当前,企业在处理业务安全问题时往往面临着以下挑战:攻防信息不对等:企业对黑灰产攻击手段及变化缺乏深入了解,造成攻击发现处理滞后、周期长的局面。策略效果评估难:策略下发后,难以全面评估策略效果、及时发现黑产新的绕过手段等。评估体系缺失:不同于互联网基础安全,业务安全问题没有明确的边界。在基础安全中,多数攻击的危害程度已有像OWASPTop10这样的评估标准,而业务安全由于场景复杂,同时需要综合考虑用户体验及用户活跃,一直缺乏一套行之有效的评估体系。与基础安全的严防死打不同,业务安全的目标通常不是杜绝攻击,而是将攻击限制在可控的范围内,从而确保业务的正常开展和业务规模的健康增长。以营销活动场景对抗羊毛党举例,实体商品清库存的互联网促销活动、餐饮行业需要到店消费优惠折扣券等情况,对羊毛党的容忍度较高,业务安全的治理目标是将羊毛党控制在50% 4以下,而针对特定客群的拉新活动,则希望补贴尽可能落在真人用户上,对羊毛党容忍度较低——真人将有一定转化率成为长期用户,羊毛党的转化率几乎为0,羊毛党占比过高将损失掉很多机会成本,那么业务安全的治理目标是将其控制在10%以下。可以看到,即使都是营销活动场景,活动类型和规则不同,评估的目标也会不同。因此,企业的业务安全问题需要一套评估体系,能够数字化体系化地描述遭受攻击带来的危害程度及安全策略实施后的效果等。基于以上需求与目标,威胁猎人在2020年发布了国内首个《业务安全蓝军测评标准白皮书》,填补了业务安全行业长期以来缺失攻击危害及安全策略效果评估体系的空白。时隔四年,威胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全蓝军实战经历,对第一版标准进行了修订和更新,发布了《业务安全蓝军测评标准白皮书(2024年版)》。 5业务安全蓝军测评标准01 6一、业务安全蓝军测评标准1.1业务安全脆弱性评分(ISVS)业务安全脆弱性评分(InteractionSecurityVulnerabilityScore)是从攻击者视角出发,将企业的某个业务对象设定为攻击目标,使用黑灰产的攻击方式对该对象发起模拟攻击测试,还原攻击过程,并结合最终的攻击结果评估黑灰产攻击给该业务对象带来的危害。ISVS计算方式:ISVS=Max(攻击效率AE*目标达成率AR)攻击效率AE(AttackEfficiency)测评对象或达成目标不同,评估攻击效率取值的方式往往也会不同,通常可以分别从物料获取效率和技术对抗效率这两个角度来考虑。物料包括攻击过程中需要用到的手机号资源、账号资源、IP资源、设备资源、身份认证资源等,攻击者获取这些物料的成本越低,攻击效率越高,反之越低;技术则包括攻击过程中为了破解应用保护或绕过风控限制等,所用到的软件逆向技术、改机技术、改定位技术、人脸伪造技术等等,攻击者应用这些技术并攻击成功的门槛越低,攻击效率越高,反之越低。注:关于攻击效率指标取值高低参考,详见附件。 7目标达成率AR(AchievementRate)目标达成率AR是指该攻击方案的最终测试结果达到预期攻击目标的比率。达到或超过预期攻击目标,取值为1。如果是定量的攻击目标,比如预期在指定时间段内攻击成功10000次,实际攻击成功8000次,则目标达成率为(8000/10000)=0.8;如果是非定量的攻击目标,比如预期是绕过测评对象的人脸识别,实际结果也是绕过成功,则目标达成率为1,否则目标达成率为0;如果需要在限定的条件下才能达成目标,比如只有低版本安卓系统才可以攻击成功,则可以结合实际情况进行取值0到1之间。以上两个指标各自评估出一个[0,1]区间的得分,相乘便得到ISVS评分,取值区间也是[0,1]。由于在测评过程中可能会采用多个攻击方案进行测评,需要综合多个攻击方案的ISVS评分,取最大值(基于木桶短板原则)。ISVS分数越高,则说明测评对象面临该攻击方案时越脆弱,若黑灰产使用该方案对业务发起攻击,造成的危害越大。下图是XX产品面对五种攻击方案时ISVS取值的散点图分布: 8XX产品-业务安全蓝军测评结果1.2ISVS评分的参考意义企业在进行业务安全脆弱性评分(ISVS)时不是单纯追求低分,而是从攻击者视角,客观反映出当前业务安全的水位,及时暴露短板,并以此推动整改和治理。1.2.1基线对比前文提到业务安全的目标不是杜绝攻击,而是将攻击限制在可控的范围内。如果有明确的定义,比如使用黑产广泛掌握的攻击方式(攻击效率AE取值1)发起1000次攻击,攻击成功次数低于200属于可控,超出500属于失控,则可以建立两个ISVS评分基准值:可控 9基线0.2和失控基线0.5。评分在区间[0,0.2)说明将攻击限制在可控的范围内,评分在区间(0.5,1]说明已经失控,急需加强安全建设。以散点图形式对可控区间和失控区间进行直观展示:XX产品-业务安全蓝军测评基线1.2.2纵向对比测评对象和预期目标不变的情况下,ISVS评分也会随着业务安全水位的变化和黑灰产攻击方式的升级迭代而变化,因此业务蓝军测评需要周期性地进行,通过ISVS评分的纵向对比来反映安全建设工作的实际成效,以及是否出现了新的短板。以散点图形式不同阶段ISVS评分进行直观展示: 10XX产品-业务安全蓝军纵向测评1.2.3横向对比跟行业内的同类业务进行对比测评,并通过ISVS评分来反映测评对象在行业内的安全水位。如果相比行业内的同类业务,ISVS评分偏高,则需要尽快加强安全建设,因为相对薄弱的业务必然会成为黑灰产的重点攻击对象。以散点图来展示测评对象在行业内的安全水位情况: 11XX行业-业务安全蓝军横向测评 12业务安全蓝军测评案例02 13二、业务安全蓝军测评案例2.1虚假安装蓝军测评案例虚假安装主要出现在业务营销推广当中,某些推广渠道会跟黑灰产勾结,伪造虚假的应用安装量,从而骗取企业的推广费用。2.1.1定义测评对象和攻击目标测评对象:某社交应用预期攻击目标:攻击1周,每个攻击方案平均每天成功完成2000次虚假安装2.1.2制定攻击方案基于黑灰产研究所掌握的情报信息,从攻击者视角来看,虚假安装目前主要有两类攻击路径:1)在真实手机或模拟器上通过脚本模拟点击的方式进行应用的安装和启动,并通过群控批量控制多台设备,通过改机技术篡改设备的IMEI、安卓ID、Mac地址等参
