前言
互联网黑灰产成长至今,已形成了团伙化、自动化、生态化、上下游严密配合的产业链网。据统计,互联网黑灰产对互联网企业及线下实体行业每年造成近千亿元的损失。网络黑灰产的从业群体伪装成正常的业务请求不断蚕食鲸吞着企业业务的利益,如掠夺新人红包的羊毛党、利用企业平台流量批量进行恶意营销诈骗的引流产业、破坏企业推荐计费规则的刷量作弊产业等。随着互联网黑产攻击模式的成熟,运作模式的可复制性越来越高,业务安全问题日渐突显。
当前,企业在处理业务安全问题时往往面临着以下挑战:
攻防信息不对等:企业对黑灰产攻击手段及变化缺乏深入了解,造成攻击发现处理滞后、周期长的局面。
策略效果评估难:策略下发后,难以全面评估策略效果、及时发现黑产新的绕过手段等。评估体系缺失:不同于互联网基础安全,业务安全问题没有明确的边界。在基础安全中,多数攻击的危害程度已有像OWASP Top10这样的评估标准,而业务安全由于场景复杂,同时需要综合考虑用户体验及用户活跃,一直缺乏一套行之有效的评估体系。
与基础安全的严防死打不同,业务安全的目标通常不是杜绝攻击,而是将攻击限制在可控的范围内,从而确保业务的正常开展和业务规模的健康增长。
以营销活动场景对抗羊毛党举例,实体商品清库存的互联网促销活动、餐饮行业需要到店消费优惠折扣券等情况,对羊毛党的容忍度较高,业务安全的治理目标是将羊毛党控制在50%以下,而针对特定客群的拉新活动,则希望补贴尽可能落在真人用户上,对羊毛党容忍度较低——真人将有一定转化率成为长期用户,羊毛党的转化率几乎为0,羊毛党占比过高将损失掉很多机会成本,那么业务安全的治理目标是将其控制在10%以下。可以看到,即使都是营销活动场景,活动类型和规则不同,评估的目标也会不同。
因此,企业的业务安全问题需要一套评估体系,能够数字化体系化地描述遭受攻击带来的危害程度及安全策略实施后的效果等。
基于以上需求与目标,威胁猎人在2020年发布了国内首个《业务安全蓝军测评标准白皮书》,填补了业务安全行业长期以来缺失攻击危害及安全策略效果评估体系的空白。时隔四年,威
胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全
蓝军实战经历,对第一版标准进行了修订和更新,发布了《业务安全蓝军测评标准白皮书
(2024年版)》。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
