- 企业服务
- 网络安全
近年来,拼多多薅羊毛事件、滴滴虚假注册事件等屡见不鲜,越来越多的公司逐渐意识到传统网络安全已经不再适用,业务安全才是真正的有备无患。
在互联网时代,黑灰产主要是通过控制终端设备作为肉鸡来进行Ddos、刷广告、安装流氓软件等方式变现。随着移动设备的爆发式增长,黑灰产的盈利模式已逐渐转变为通过注册恶意账号进行流量窃取、引流、薅羊毛等方式变现。企业需求已经从传统安全变成业务安全,而如何进行有效的业务安全防控成为亟待解决的问题。
情报驱动安全
威胁猎人是一家以情报能力驱动业务安全的公司。
威胁猎人基于蜜罐技术和情报挖掘能力构建了黑灰产监测平台,主要监测黑灰产交流渠道、攻击工具、攻击流量、使用资源(例如恶意IP,恶意手机号,账号等),并将数据进行沉淀形成业务情报平台。并按照不同产品形式为客户提供风险标签数据产、专家情报、监测预警、风险评估服务。
情报平台主要积累了具有攻击性的IP地址、手机号、工具等情报。情报来源包括三类,开源情报、监测网络平台上沉淀的闭源情报与工具情报。重点解决互联网反欺诈安全问题,例如恶意注册、薅羊毛、流量欺诈、爬虫、恶意引流等。
基于情报平台,威胁猎人提供三种形式的服务,分别是:以量化评估方式提供的风险评估服务。以API接口调用形式提供的数据资源服务,以报告形式提供的专家情报与监测预警服务。这三款产品均以本地化部署与SaaS订阅两种模式对外服务。
与传统的防火墙、木马漏洞风险评估不同,威胁猎人提供的风险评估服务主要是针对新型黑客攻击模式下,将黑灰产进行攻击时所需的设备、资源等成本与所能获取的收入进行量化,从而判定企业业务的安全性。
专家情报服务是通过对数据平台中的数据进行分析推理,为客户提供最新的业务安全情报,内容涵盖黑灰产的最新动态、新兴黑灰产事件、黑灰产产业链全景分析等。
风控决策引擎是为企业提供风控系统,目前以开源方式对外提供,目的在于获取中小型客户与产品打磨。
目前,威胁猎人产品主要应用在互联网、金融、政府等行业,典型客户有BAT、华为、今日头条、中信银行、深圳公安等。
团队出身腾讯,以业务安全情报切入市场
威胁猎人创始人兼CEO毕裕是前猎豹移动高级安全技术经理,腾讯高级安全技术工程师,曾因为腾讯账号安全的贡献获得腾讯年度奖,长期关注黑灰产发展及相关研究。公司CTO邓欣为前腾讯安全技术专家,全球顶级黑客大赛Pwn2Own冠军。专注于研究当前最前沿的网络安全攻防技术。此外,威胁猎人多数成员均为腾讯安全业务团队出身。
与提供风控系统的安全公司不同,威胁猎人选择以业务安全情报切入,原因有二。
其一在于风控系统定制化及服务成本过重。由于风控系统需要运营人员非常了解业务逻辑和场景,仅仅购买风控系统并不能够解决企业实际问题,这就导致供应商的服务成本过重,服务体系难以标准化,从而降低了自身商业模式的扩展能力及收益。
其二在于业务安全情报是个新型且长期的市场。对于大部分互联网企业来说,黑灰产对于他们属于知识盲区,这也就导致他们成为了黑灰产的“盛宴”。近期的拼多多薅羊毛事件、滴滴虚假注册事件等敲醒安全警钟,因此市场上业务安全情报需求旺盛。
一步一脚印逐步扎根业务安全领域
在具体提供业务安全情报上,由于黑灰产的攻击方式不断迭代优化,因此长期深入跟踪黑灰产的产业链、攻击模式以及使用的资源将是重中之重。
目前,威胁猎人获取的安全情报不需要与企业系统对接,这种方式的好处在于不需要企业提供任何内部信息,但缺点也很明显。通过外部监控的方式能够监察到的数据与工具是有限的,通过不断构建新型蜜罐也只能解决企业50%左右问题,剩余的50%需要与企业内部数据相配合才能解决。
因此,为了提供更高的服务价值,威胁猎人将分为三个阶段,逐渐扎根于业务安全领域。
第一阶段威胁猎人通过构建蜜罐体系,设置“跳板”陷阱等方式,捕获进行攻击的IP地址与手机号等,进而确定黑灰产攻击的时间、方式、目标以及相关资源,并将数据进行沉淀、分析,从而解决外部攻击数据问题。
第二阶段威胁猎人将与头部安全企业进行合作。例如,威胁猎人将与猎豹移动共同探讨业务网络安全的数据情报,深入挖掘黑灰产当前产业现状,加深场景理解,互相学习、相互促进。
第三阶段威胁猎人将和甲方企业寻找更有效的合作方式。只有和甲方企业内部数据有所交流才能够为企业提供全方位服务。而如何与对数据视如珍宝的互联网公司形成有效的合作方式将会是一个逐步沟通、信任、协商的过程。
爱分析认为,业务安全属于新兴市场,行业处于早期发展阶段,每年都会陆续有厂商进入,当下处于场景化、碎片化状态。
威胁猎人团队出身于腾讯,在业务安全领域行业从事已久,技术能力较强。公司目前客户以大型客户为主,典型用户有BATJ、拼多多、中信银行等,示范效应显著,且客户付费能力强,可挖掘空间大。若后续能够探索出高效的合作方式,将能够为公司业绩带来快速增长
近日,爱分析专访威胁猎人创始人兼CEO毕裕,就网络安全发展趋势与威胁猎人业务发展进行了深入交流,现摘取部分内容如下。
产品以提供业务情报为主
爱分析:威胁猎人成立的契机是什么?
毕裕:我在腾讯工作过4年,当时在一个情报团队,负责黑灰产打击。由于腾讯在社交、游戏等领域有很多业务,所以他是黑灰产的一个巨大目标。所以早期我们有这么一个机会和黑灰产做对抗。
我们团队大多数出身于腾讯,管理团队以前也是一个团队的,现在出来作为第三方为其他公司提供网络安全情报服务。我们所在的行业需要拥有长期的技术积累,才能够为用户创造价值,得到客户的认可。
爱分析:威胁猎人的数据来源有哪些?
毕裕:互联网业务安全行业对于企业来说最重要的是安全情报。这个情报的时效性很高,我们的数据来源有三个,闭源情报、工具情报、开源情报。
我们自己做了一个蜜罐体系,从技术层角度来看,就是我们给黑灰产设置了很多陷阱,他们在做攻击的时候会跳入到我们的陷阱里,这个陷阱叫做“跳板”。因为很多黑灰产在做规模化攻击时,会触碰大量“跳板”。所以他们在攻击的时候,我们会成为一个中间人。我们可以实时知道正在进行攻击的人是谁,攻击哪个目标,攻击方式是什么。
举个例子,黑灰产要在某个企业上注册十万个账号,在等到促销时做批量的薅羊毛。在恶意注册时,他们不能只通过一个IP进行注册,需要利用很多IP,这实际上就是不同的“跳板”。在一次攻击时,往往会选择1万个不同的跳板,但这1万个不同的跳板中只要有一个是我设置的虚拟跳板,我就能把整个攻击场景还原出来。从而分析得到他们进行攻击的情报,也即闭源情报。
第二个是工具情报。在业务风控的攻防上,甲方的防护端叫做风控引擎,黑灰产攻击端最后落地的是一个工具或者脚本,这是完成自动化和规模化攻击的一个手段。我们有能力能够将这些工具捕获到。
假如黑灰产在做攻击时所用的工具被捕获到了。由于这些工具是硬编码,承载了攻击逻辑。我们会根据这些工具将黑灰产的攻击逻辑进行解析,了解攻击方利用了甲方哪些方面的缺陷,又使用了多少资源进行攻击,这都是非常重要的工具情报。
第三个是开源情报,开源情报是指我们能够监控到的黑灰产的论坛、QQ群、TEL等开放的沟通渠道,里面会有一些黑灰产发布或传播的一些信息。比如他们发现可以薅羊毛的目标,或者是哪个平台上有业务漏洞之类的。
爱分析:威胁猎人产品的时效性是怎么保证的?
毕裕:解决时效性问题本质上是依赖于我们公司内部的的运营系统。这个运营系统可以实时做监控,同时能够实时的把监控信息同步给客户。
爱分析:威胁猎人的风控引擎为什么以开源方式提供?
毕裕:整个风控领域主要分为两大块。一个是金融风控,例如征信、反欺诈、联防联控等。另一个是互联网业务安全,而我们是互联网业务安全服务商。
作为乙方,我们能够提供的产品包括情报、数据、风控系统。
购买风控系统是一个决策过程比较长的产品,因为还要包括本地化部署阶段,定制化服务等,所以较难形成标准化产品。
另外,对于整个业务风控来说,他主要服务于一些初期阶段的公司,这些公司在基础设施建设方面需要这类产品。但是风控基础设施存在着三大成本问题,商务成本、部署成本和应用成本。这三个成本使得风控对于中小企业来讲是奢侈品,不是必需品。因此我们期望通过开源的风控设施,降低企业成本,让企业能够快速的度过早期的基础建设阶段,进入到攻防效率提升阶段。
爱分析:是不是只有互联网行业的头部公司才有业务安全情报需求?
毕裕:所有公司有需求。情报分两个部分,第一部分是事件预警或风险量化,第二部分为数据产品。
在数据产品方面,很多欺诈环节是以恶意注册作为起点。他需要填写大量信息,例如手机号、IP、邮箱。例如一个手机注册上百上千的账号,完成利用率最大化。我们通过前面的情报能力,会把黑产正在用的手机号收集到。在情报端收集完之后,实时把黑产的这些资源录入到数据库里,并把数据库同步给客户。这些数据对于一些场景比较聚焦的客户,效果是极其明显的。
比如,对于营销的客户,根据手机号这一个数据,就可以帮他们解决大部分问题。因此,我们的第二部分数据产品情报对于很多公司都适用。
行业对于黑灰产攻击方式存在盲点
爱分析:目前行业是否对黑灰产攻击方式存在盲点?无法解决的问题是主要原因是什么?
毕裕:目前,行业对黑灰产确实存在盲点。从评估的结果来说,盲区分为两个维度。其一是已有渠道的盲区,这个盲区是我们做的蜜罐数量和类型不够导致的,这一部分并不是最主要的。
另一部分盲区是根本没有意识到的。举个例子,我们在进行手机号监控时,会发现一些东南亚、缅甸的号码。他进行攻击的方式不再是以前的认知方式,使得整个布控体系失效,这才是主要的。
从这个角度来看,一方面说明做业务风控存在巨大压力的问题,另一方面这对于我们来说是价值的体现。因为在强攻方和攻击方式快速迭代的情况下,做情报会有巨大价值。
爱分析:对于认知之外的盲区,威胁猎人打算如何去探寻?
毕裕:对于现在阶段认知之外的盲区是必须先去理解才能构建业务情报。这个认知过程是需要有经验的人去敏锐的跟踪。
黑灰产的产业链分工非常细致,包括卡源卡商、黑卡运营商、猫池厂家、手机接码听码等,产业链较长,他们之间能够相互配合完成高效的协作进行攻击。
这个协作一定是有机制存在的,当我们捕捉到他们协作的其中一个环节时,比如说接码平台等,我们就可以把这些平台监控起来,从而获取产业链之间的协作信息。一旦我们理解他们的运行机制,建立业务情报效果就会立竿见影。
爱分析:威胁猎人现在的客户群体主要是什么?
毕裕:主要有三类群体。第一类是互联网企业,他们对新型产品的接受度高,对于产品的不完美容忍度高;第二类是金融,银行也拥有一些互联网业务;第三类是公安,他们对于互联网新型犯罪是缺乏手段的,无法及时跟进犯罪场景。
爱分析:从技术角度来看,互联网企业自身也有很强的技术,他们是否是在不同的环节用不同的厂商,然后自己做整合?
毕裕:是的。在业务安全领域,很多公司早期有个幻想,想做到企业全托管,但是这是不太可能的。所以很有可能往后发展成为,乙方提供风控系统,甲方自己去运营,但这也存在很多问题。
再往下阶段,大家会在这个过程中摸索出一个合作方案,通过不断磨合最后一起解决黑灰产问题。在我们看来,乙方的角色一定是辅助,在找到一个不可替代的角色之后,就能够体现价值度。
行业处以起步阶段,产品快速落地能力成主要竞争点
爱分析:威胁猎人的竞争壁垒有多高?
毕裕:行业最开始只有认知壁垒,没有技术壁垒。蜜罐体系不是新型技术,而是一套发展十几年的成熟技术。
我们的核心竞争点在于产品落地能力。我们在腾讯工作已久,知道甲方的核心痛点是什么,出来作为第三方之后,甚至知道下一阶段核心痛点是什么。
另外,能够把数据收集起来并满足合规性问题,解决成本、场景覆盖等问题,就能够再形成一个很好的数据沉淀壁垒。
爱分析:威胁猎人积累的IP数据、手机号数据和传统安全厂商积累的数据有什么区别?
毕裕:数据元素是一样的,但是属性是不一样的,导致价值体现场景不一样。
比如手机号,传统厂商做的是诈骗识别,而我们是帮助客户判定这手机号使用者并不是自然人,而是黑产的资源。IP地址也是一样,传统厂商判定的是这个IP是肉鸡,以前发送过垃圾邮件、做过木马病毒的通信服务器。而我们判定的是这个IP在几分钟前做过恶意注册等。关注的风险平面上不一样,所以在客户的需求满足上是不同的点。
此外,产品本身定位也不一样。传统安全厂商做的是内网管控,这是一个相对封闭的环境,即使准确率不高,只要别漏过就可以。但是业务层面做的是风险管控,误报率为千分之一都无法忍受。大型互联网企业每天响应近亿级IP,若误报率为千分之一,则每天有上万用户投诉。所以客户对产品要求完全不一样,导致产品形态上有一定差别。
爱分析:用户最终的目的是解决风控问题,那么威胁猎人只提供情报服务价值度会不会不高?
毕裕:不会。甲方的业务风控建设过程是有规律的,他们往往遇到问题才会去建设,而且只是为了解决眼前问题。所以很多公司对后续的风控系统需求不会特别强烈。
此外,我们的情报产品可以帮他们解决掉这一问题。例如,从手机号这一数据上判定哪些是恶意注册,就能解决他们大部分问题。
未来,威胁猎人将不断提高产品价值度
爱分析:威胁猎人未来两年的规划是什么?
毕裕:我们核心目标是提高我们的服务价值,就是能够为企业解决更多的问题,这是一个长期的工作。
爱分析:威胁猎人现在会考虑服务偏传统的企业吗?
毕裕:目前还没有往这方面发展。因为我们觉得当前阶段首要任务是把产品的价值空间做大,支撑我们产品体系,这样才能够覆盖传统行业。
爱分析:对于头部互联网公司和中小型互联网公司的核心痛点各是什么?
毕裕:对于头部企业来说,他们最大的痛点在于安全管理。传统安全管理相对来说是一个闭环,当服务器从1千台增长至1万台,需要把业务漏洞进行修复。但到了业务层之外,就很难全面管理。他们缺的是完整的管理体系。
而对于中小企业来说,他们对黑灰产的认知差很大,缺乏一个能够短平快解决业务问题的手段。在被黑灰产攻击之后他们经常束手无策。虽然有的企业对薅羊毛有感知,但是依然不懂怎么去防治也不懂防治成本是多少。
爱分析:金融行业主要是做什么场景?
毕裕:主要是股份制银行的信用卡发卡中心。
爱分析:原来传统安全的公司也会进入这个领域吗?
毕裕:会的,有些公司正在做。巨头的优势在于自身业务体系很大,拥有海量的业务数据,可以基于自身业务数据快速形成产品对外销售。但是从长远角度来看,自身的优势在天花板之上会存在一个瓶颈。
爱分析:威胁猎人如何解决数据可信度的问题?
毕裕:甲乙双方在协作时,会有一个数据可信度的问题,这个问题非常关键。我们在数据层面非常重视一件事情那就是可解释性。我们也无法保证自己提供的数据100%是黑灰产使用的资源,但是一定会将每条数据进行非常清晰的解释。客户自身也不会追求100%准确,但是他们关心的是在有误报、投诉之后,无法对消费者解释。