CS5:业务反欺诈大会上的五个解决方案
欺诈作为攻击的一种形式,无论对于企业还是个人,都有着直接的经济打击。黑产对于欺诈这种模式已经产业化,生成了非常详细的分工以及流程。安全牛在3月22日召开了“CS5:反欺诈大会”,邀请了业内五位厂商向参会者描述了如今欺诈的现状,以及各家具有较高水平或独特特点的解决方案。
欺诈现状:
国内的黑产行业逐渐形成了自己的产业链,从黑客挖掘漏洞,提供相关技术工具,到下游具体利用工具实施欺诈行为并兑现,各个企业面临的是一个专业的黑产团队。黑客的欺诈攻击几乎已经覆盖了各个业务场景。而如今大量的身份泄露以及安全信道缺失(黑客通过各种技术实现突破验证)使得欺诈行为大量发生。而这些攻击场景中,很多问题不仅仅出现在技术层面或者人员的安全意识缺乏,也会发生在业务的商业逻辑漏洞之中。因此,企业应对欺诈面临更多的挑战。
黑产用户的目的是以最小的成本获取最大的利益,因此,黑产用户会重复利用资源,以相似的模式,进行较为密集的访问。
黑产的攻击方式包括但不限于恶意注册、扫号撞库、薅羊毛以及盗号等手段,同时运用大量的工具达成高效率和规模化以及多源低频多特征来迷惑传统风控手段。而与之相对的,传统的风控关注点在于账号、IP、设备信誉以及固定规则——从而需要频繁地更新数据库和规则来应对攻击。而黑产则可以通过丰富IP、使用肉鸡、设备root以及修改攻击逻辑等手段让传统的的风控系统疲于应对。
那么,在这次大会中,五家厂商分别带来了哪些应对策略和技术思路?
一、通付盾:“端管云”构建反欺诈防线
通付盾认为,反欺诈不应该仅仅是单点防御,而应该构建一个全面的反欺诈系统防线。因此,通付盾提出了“端”、“管”、“云”三方面构成一道反欺诈防线。
通付盾解决方案总监 宋超
“端”是指终端防御。
通付盾认为,防欺诈的安全需要从终端安全保护做起,而终端的移动App保护应该从开发到运营监测,贯穿整个开发周期。
对于终端保护,通付盾采用了两种方式 :双擎检测以及VMP加固。双擎检测是从静态的代码审计以及动态的沙盒检测双重测试来确保App端安全。同时,使用VMP加固,进一步加强终端App的安全性。
“管”是加强身份认证安全来构建反欺诈可信通道。
传统的身份认证手段有着静态不变、被动发现、安全问题易扩散以及用户体验差的特点。而通付盾基于SM2、SM3、SM4加密算法的智能身份认证凭证则能做到多维度多特征的智能判断、动态调整、主动发现风险、不易扩散信息以及正常用户弱感知的特点。
“云”则是通过大数据风险决策构建反欺诈大脑。
通过设备指纹、规则引擎、深度学习、风险数据、关系图谱等核心技术,做到预置行业风险模型,精准分析设备与业务数据,实时反馈业务风险,从而及时阻断欺诈行为。
基于“端管云”的防线,通付盾能从业务的开发周期到运营,从用户端到企业端,做到全方面的保护。
二、瑞数信息:动态技术实现业务风险防护
瑞数信息认为,应对业务欺诈的威胁,企业应做到“风控前置”以及“有效采集”。因此,瑞数信息的动态技术系统通过做到主动防御来预测即将到来的攻击从而提前做好防护。
瑞数信息CSO 马蔚彦
瑞数信息采用四种动态技术应对欺诈:终端采用动态验证以及动态混淆,部署于终端与Web服务器之间的动态服务与业务感知系统采用动态封装以及动态令牌。
终端的动态验证确保运行环境,从而甄别是“人”还是“机器人”以对抗浏览器模拟化以及自动化攻击。而动态混淆则将敏感数据混淆变化,防止中间人攻击。
服务器之间的动态服务与业务感知系统采用动态封装隐藏攻击入口,防止一般扫描以及爬虫。动态令牌则防止重访攻击和越权,确保业务逻辑正常进行。
动态技术对业务反欺诈的价值,在于“风控前置”以及数据的“有效采集”。
通过将风险控制前置,企业将不依赖传统风控规则的实时人机识别和拦截,不依赖定制的业务逻辑欺诈识别以及漏洞与无漏洞的业务异常行为的实时识别和阻拦。企业在安全防护方面将更灵活,不拘泥于固定的规则来面对越来越多样的攻击以及保护自身更丰富的商业逻辑。
通过对数据的有效采集,企业可以依赖JS的强抗逆向能力来确保数据的采集,给安全威胁数据与人机识别数据提供重要的补充,并且提供最佳决策判断。从海量数据中有效采集关键数据能帮助企业及时做好到来的攻击。
瑞数信息的动态技术在实际应用中是有成功案例的。某互联网公司部署瑞数信息的动态安全系统后,发现85%为机器人攻击流量,仅有15%为真实流量。该公司在瑞数信息的帮助下采取了相应措施两个月后,真实用户呈现了数倍的增长。
三、观安:大数据行为分析确保业务安全
观安通过大数据进行行为分析,从而从业务流程的角度进行模型分析。
观安信息研究院院长 夏玉明
观安将各个业务场景的数据聚合成风控模型的数据,产生业务风控模型,通过在事前部署安全防御措施,识别出存在风险的异常业务行为并加以控制。风控平台以大数据分析建立规则,以此为核心,进行事前提升防御能力、事中提升攻击成本降低损失以及事后快速响应减少风险事件大的可能。
观安通过建立不同的数据模型,包括设备画像、人员画像、异常设备识别、异常交易识别以及异常用户识别,运用不同的算法,如向量机、神经网络、聚类分析和回归分析,对海量的应用访问数据进行分析和检测。通过大数据分析,观安不仅能够提高数据的处理能力以及网站风险监测能力,更能实现数据挖掘,从而提前发现各种业务风险,预先提取攻击情报。
观安的大数据行为分析模型
某电商在部署了观安大数据风控系统后,成功回避了一次撞库攻击,风控系统有效拦截了87%的攻击。并且在X月25日-28日期间成功拦截了一次薅羊毛攻击,四天中,拦截了99%以上的短信炸弹攻击行为,共拦截大约90万短信请求,日均为客户挽回2000元左右的损失。
四、华青融天:机器数据+机器学习解决银行支付业务反欺诈
华青融天认为,传统的基于规则的的风险控制系统有着准确率低、实施门槛高、覆盖率低以及适用性差的特点。而通过机器数据,以及机器学习则可有效突破这个问题。
华青融天下一代安全运营平台产品经理&技术总监 易歆
华青融天将数据分为两类:静态的日志数据以及动态的流量数据(客户交易产生的数据)。单纯的静态数据不足以分析支付业务中存在的欺诈行为,因此,需要与动态的流量数据结合进行分析。通过分析实时的动态数据,系统可以感知到到“行为”,从而分析正在发生的规律和异常行为,最终进行“评价”分析结果及影响。
华青融天通过海量的数据分析,产生各类图表帮助客户分析了解各类数据。同时模型可持久转化为规则库,在无需行业知识或经验,无需规则知识库储备的情况下,依然能过灵活抽取有价值的规则,总结建立起安全知识分析库。
华青融天同时提出了安全解决方案帮助银行以及其他金融机构做到安全态势感知以及安全运营。华青融天帮助业内某股份制银行于15年建立起银行业内首家SRC,一直运营至今,帮助该行实现了平台搭建、日志采集、可视化开发、流程建设以及事件运营驱动。
五、极验:图卷积技术发现异常团伙
极验通过抓取黑产团伙反复利用资源以及模式相同的特点从而运用数据分析找出黑产团伙。
武汉极意网络科技CTO 黄胜蓝
极验的技术有三大特点:图计算建立关系网络、生物行为分析以及图卷积神经网络。
由于黑产需要以最低的成本获取最大的利益,黑产会反复利用相同资源以单一的模式进行批量行为。因此,极验通过图计算标记复用的资源和标识属性挖掘并建立数据关联网络。该方式可以解决数据稀疏问题,找到更多隐藏属性,直接通过复杂的关系找到一些复用型的异常数据。
同时,极验对生物行为数据进行采集分析,发现异常的访问模式,并将行为数据作为节点加入图关联分析网络中,使得图结构的数据更为丰富,相似性、聚集性的表达更为明显和精确。
最后,极验运用图卷积网络(GCN)技术进行模型升级,使之具有智能和自我进化的能力,从而极大地扩展了数据挖掘和安全分析的广度。最终做到对异常团伙的发现。
极验的产品在实际应用中也得到了证明。极验在某直播平台中选取了10个直播间进行部署,在其中一周中发现3个直播间涉及大量人气造假,UV虚假量为470万(总量为1100万),涉及恶意注册账户11万。
总结:
针对日益泛滥的欺诈攻击,五家厂商给出的解决方案中都有两大共同点:主动防御以及智能防御。由于攻击手段的多样性以及变化性,传统的防御手段已经无法跟上黑产的攻击性。作为防御方,防御机制的部署也急需紧跟攻击者的步伐,做到提前预判攻击进行防御以及不断地自我进化。
预告:安全牛“CS5:业务反欺诈解决方案大会”上海站将在今年4月底举行