2020年,威胁猎人发布国内第一个《业务安全蓝军测评标准白皮书》,填补了业务安全行业长期以来缺失风险评估体系的空白。
基于这套标准以及威胁猎人不断改进的业务安全蓝军服务,我们为互联网、金融、出行、电商、快消等行业的多家企业解决其在处理业务安全问题时所面临的攻防信息不对等、安全策略效果难评估等难题。
时隔四年,威胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全蓝军实战经历,对原标准进行了修订和更新,发布《业务安全蓝军测评标准白皮书(2024年版)》(下文称“新标准”)。
相比第一版,新标准在业务安全脆弱性评分(ISVS)计算方式上进行优化,进一步提升了标准的可实施性。目前,该标准已陆续在互联网、金融、出行等行业落地,并获得客户的一致认可。
原标准难以适应所有场景,落地存在挑战
2020年,威胁猎人发布了业内首个《业务安全蓝军测评标准白皮书》,其核心逻辑是如何计算业务安全脆弱性评分(ISVS):
如此设计的初衷是希望建立一套尽可能完善的综合性评估标准,但该设计从理论到落地并不容易,主要有以下难点:
1、并非所有场景都适用ISVS公式中的每个参数。
比如ROI在营销作弊场景下是非常重要的参数,也可以进行比较准确的估算,但在人脸识别的场景下则不太适用,一方面是测评过程中不会涉及到最终变现环节,另一方面变现金额也很难估算(如通过诈骗变现,金额有大有小)从而无法得出比较准确的ROI。
2、实施起来很重,需要投入大量的时间和精力。
原标准中的ISVS计算公式是一个理想状态,如果每个参数都要估算出合适的值,需要投入大量的时间和精力,对测评相关的黑产产业链所有环节都进行实际考察,方方面面都考虑周全。而事实上,一次蓝军测评的周期不会很长,如果生搬硬套的话,只能仓促评估出不一定准的结果,从而导致整个测评失去意义。
新标准进一步关注测评可行性和目标达成,可落地性更强
从威胁猎人过去几年比较成功的蓝军案例来看,企业客户都会带着特定的测评目标,同时重点关注完成目标过程中可能存在的攻击方案以及每个方案的成功率。
比如,广告刷量是否可以协议刷量,如果使用改机+代理IP刷,有多少可以绕过后端检测等。在明确目标的推动下,可以更快速且有效地完成蓝军测评。
因此,结合原标准落地过程中遇到的挑战以及过去几年威胁猎人在各行业多家客户的业务安全蓝军实战经历,我们把测评标准进行重新设计,大致设计思路如下:
1、定义清晰的测评对象和目标;
2、针对测评对象和目标,列出所有的攻击方案;
3、每个攻击方案,设定攻击效率和目标达成率两个评估参数;
4、每个攻击方案根据评估参数计算出一个分数,也就是ISVS;
5、结合所有攻击方案的分数,计算出本次测评的最终分数。
在新的设计思路下,把标准中的业务安全脆弱性评分(ISVS)计算公式调整为:
ISVS = Max ( 攻击效率AE * 目标达成率AR )
1)攻击效率AE(Attack Efficiency)
测评对象或达成目标不同,评估攻击效率取值的方式往往也会不同,通常可以分别从物料获取效率和技术对抗效率这两个角度来考虑。
物料包括攻击过程中需要用到的手机号资源、账号资源、IP资源、设备资源、身份认证资源等,攻击者获取这些物料的成本越低,攻击效率越高,反之越低;
技术则包括攻击过程中为了破解应用保护或绕过风控限制等,所用到的软件逆向技术、改机技术、改定位技术、人脸伪造技术等等,攻击者应用这些技术并攻击成功的门槛越低,攻击效率越高,反之越低。
2)目标达成率AR(Achievement Rate)
目标达成率AR是指该攻击方案的最终测试结果达到预期攻击目标的比率。
如果是定量的攻击目标,比如预期在指定时间段内攻击成功10000次,实际攻击成功8000次,则目标达成率为 ( 8000 / 10000 ) = 0.8;
如果是非定量的攻击目标,比如预期是绕过测评对象的人脸识别,实际结果也是绕过成功,则目标达成率为1,否则目标达成率为0;
如果需要在限定的条件下才能达成目标,比如只有低版本安卓系统才可以攻击成功,则可以结合实际情况进行取值0到1之间。
以上两个指标各自评估出一个[0, 1]区间的得分,相乘便得到ISVS评分,取值区间也是[0, 1]。
由于在测评过程中可能会采用多个攻击方案进行测评,需要综合多个攻击方案的ISVS评分,取最大值(基于木桶短板原则)。
ISVS分数越高,则说明测评对象面临该攻击方案时越脆弱,若黑灰产使用该方案对业务发起攻击,造成的危害越大。
下图是XX产品面对五种攻击方案时ISVS取值的散点图分布:
XX产品-业务安全蓝军测评结果
以某金融应用人脸识别绕过蓝军测评项目为例:
1、定义测评对象和攻击目标:
测评对象:某金融应用
预计攻击目标:成功绕过应用的人脸识别,完成非本人的账号登录
2、制定攻击方案:
基于黑灰产研究所掌握的情报信息,从攻击者视角来看,绕过人脸识别有两个关键步骤,分别是生成虚假的人脸视频和控制手机摄像头播放人脸视频。
生成人脸视频有两种方式,分别是:
1)人脸活化:借助CrazyTalk等软件,基于受害者的照片生成眨眼、点头、摇头等动作的视频;
2)人脸替换:借助DeepFaceLab等软件,将提前录制好的视频中的人脸,替换成受害者的人脸。
控制手机摄像头播放人脸视频有三种方式,分别是:
1)拍摄电脑屏幕:在电脑上播放人脸视频,手机摄像头直接拍摄电脑屏幕;
2)手机摄像头劫持:购买黑灰产定制的过人脸手机,劫持摄像头的视频流;
3)云手机虚拟摄像头:利用云手机的虚拟摄像头功能,可以播放指定的视频。
一共组合出 2*3 = 6 种攻击方案(见下方表格)。
3、执行攻击并评估ISVS
结合方案一到方案六的ISVS评分,测评对象的综合ISVS评分为0.5,同时可以给出评语:
测评对象对于防御人脸识别绕过存在一定的安全盲区,虽然通过人脸活化技术制作的视频无法绕过检测,但通过人脸替换技术制作的视频,配合特定手机劫持摄像头以及云手机虚拟摄像头,均可以成功绕过检测。一旦被黑灰产恶意利用,可能会给用户带来巨大的资产损失,因此需要尽早进行针对性防范。
“与基础安全的严防死打不同,业务安全的目标不是杜绝攻击,而是攻击可控,以确保业务的正常开展和业务规模的健康增长。因此,业务安全问题需要建立一套评估体系,能够体系化地描述遭受攻击带来的危害程度及安全策略实施后的效果等。”
这是威胁猎人在2020年发布第一个业务安全蓝军测评标准的初衷,也是时隔四年后再次优化修订和发布的初心。
作为深耕业务安全领域多年的安全厂商,威胁猎人一直站在黑灰产的对立面,承担起抹平认知差的角色。
不管是持续优化修订的业务安全蓝军测评标准,还是不断改进的业务安全蓝军服务,我们期望通过自身在黑灰产攻防一线沉淀的经验,帮助企业完成从对抗者到防御者的角色转变,让攻防对抗达到“敌方未攻我先控”的局面,这是业务安全蓝军的价值所在,也是威胁猎人的价值所在。
下载PDF完整版
2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”(详见:)
热门跟贴