移动互联网时代，网络影响力及媒体价值不断突显的同时，流量红利日益消退，获客成本上升，广告作为连接消费者与品牌的桥梁，其投放效果受到广告主的重点关注，尤其是缺乏效果监测的“品牌广告”。与效果广告不同，品牌广告是通过主动向潜在用户展示，进行品牌曝光和新客获取，很难通过转化率等数据评估其实际的广告效果，导致品牌广告成为广告暗刷的重灾区，部分逐渐演变为数字营销过程中“看不见的广告”。广告暗刷是一种非常典型的广告作弊行为，例如在设备屏幕上并没有播放广告的情况下，暗地里偷偷触发广告进行追踪上报以伪造广告播放假象。威胁猎人基于对暗刷流量监测及分析，发现品牌广告暗刷的情况十分普遍，下文我们将为大家详细解读品牌广告欺诈整体态势。品牌广告欺诈态势

“只要征信记录清白，年薪百万不是梦，轻松帮你实现财富自由。”当你看到这样的广告，可能以为是电话诈骗，实则是不法中介打着“帮人背债，酬劳百万”的幌子，招募金融欺诈中的“职业背债人”。职业背债人往往是那些征信记录清白、急需大量资金却没有还款能力的人，这些人通过对个人资产情况等进行虚假包装，从银行套取高额贷款，就可以分到几十甚至上百万高额利润。所付出的代价是彻底抛弃自己的征信，甚至被列为法院的失信被执行人，从此成为金融欺诈中的亡命徒。在巨大利益诱惑下，越来越多的人加入金融欺诈背债大军，中国执行信息公开网数据显示，截至2024年4月23日，我国失信被执行者达833万人，这833万人中，不乏“职业背债人”的身影。威胁猎人针对金融欺诈中的“白户背债人组合贷款背债”、“债务重组背债”

2023年，黑灰产从业人员人数超过580万，威胁猎人捕获到的国内作恶手机号数量高达625万，日活跃风险IP数量602万，洗钱银行卡数量87万。从百万级黑灰产业链规模、大幅提升的攻击资源量级可见，2023年是黑产攻防对抗空前激烈的一年。推陈出新的攻击资源和技术成为黑产攻击的“保护色”。因难以监测黑产攻击行为和溯源潜在风险，不少企业遭受严重损失，成为业务安全建设中亟需攻破的难点。威胁猎人发布《2023年互联网黑灰产研究年度报告》，针对2023年黑灰产业链进行了深入研究，从2023年互联网黑灰产发展现状、黑灰产攻击资源、黑灰产攻击场景等维度进行全面梳理分析，力求通过客观呈现黑灰产情报数据，帮助更多企业深入直观了解黑灰产业，有效防控各类攻击风险。相关名词定义1、风险IP：业内也称黑IP，指存在攻击风险（包括代理、秒拨等恶意行为）的IP；2、风险手机号：存在被滥用盗用等风险的手机号，如被黑产用于接收短信，实施批量恶意攻击的手机号，通常从接码平台或发卡平台捕获；3、风险邮箱：指被黑产用于恶意注册生成的临时邮箱，用以骗取用户重要信息、传播恶意程序等；4、黑手机卡：指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的电话卡；5、猫池卡：指通过“猫池”这一网络通信硬件，实现同时支持多个号码通话、群发短信等功能的黑手机卡；6、拦截卡：指通过病毒木马控制真实用户手机短信/验证码收发权限的手机卡，通常捕获自拦截卡平台；7、洗钱银行卡：指被黑产用于非法资金清洗（将违法所得收入合法化）的银行卡，例如赌博及诈骗团伙通过银行卡消费、转账等方式转移洗钱资金；8、洗钱数字钱包：指被黑产用于非法资金清洗的加密数字货币，例如通过数字人民币消费、转账等方式转移资金，利用数字货币的隐蔽性来逃避监管审查；9、洗钱对公账户：指被黑产用于非法资金清洗的银行对公账户，因对公账户具有收款额度大、转账次数多等特点，使得“对公账户”常常作为黑钱转账的集中点及发散点；10、改机：指的是通过修改手机设备信息，如手机型号、串码、IMEI、GPS定位等，达成绕过厂商设备检测的目的；11、改定位：指利用相关工具修改手机定位信息，例如通过修改地理位置信息参加地域性活动并进行营销作弊；12、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”

近年来黑灰产业链不断成熟壮大，其攻击技术、资源快速更新，企业与黑产的对抗愈发激烈。“面临哪些黑产攻击”、“黑产会使用哪些技术/资源进行攻击”、“面临哪些风险”等问题仍然困扰着企业内部安全运营人员。依托于黑产情报的长期监测、挖掘以及黑产攻防研究，威胁猎人针对企业潜在风险，从2023年第三季度黑灰产攻击资源、业务欺诈场景、数据泄露场景等维度进行全面梳理及分析，期望帮助更多企业深入了解黑灰产业，有效防控各类攻击风险，避免损失。

前言威胁猎人正式发布《2023年Q1数据资产泄露分析报告》，报告显示：“Q1发生近1000起数据泄露事件，涉及1204家企业、38个行业，黑产的数据交易主要集中在更加隐蔽和便利的匿名社交平台。值得一提的是通过短信通道泄露的情况，虽然占比不高但影响极大，仅一起事件就涉及1000+家企业。”整体来看，Q1的数据泄露态势不容乐观。近年来，国家数据安全和个人信息保护相关法律法规相继出台和逐渐细化，2022年国家级攻防演练中更是新增了对于数据泄漏的攻防点，说明：数据安全保护，逐步从监管法规，落实到具体的攻防实战中来。今年三月《国务院政府工作报告》再次强调数据安全的重要性，对企业而言，发生数据泄露不仅会受到监管和法律的惩罚，还有可能遭受财产和名誉损失。Q1金融企业的用户遭遇钓鱼仿冒类电信诈骗案件上升，其中一个很重要的原因是诈骗分子基于泄漏的用户信息数据，通过钓鱼仿冒网站来实施精准诈骗，因此，及时监测数据泄露风险，做好数据安全建设，是企业发展路上的重要课题。威胁猎人发布《2023年Q1数据资产泄露分析报告》，希望借此报告为企业数据安全建设、防数据泄露提供启发和建议。报告内含详细的态势分析、值得关注案例和攻防建议，支持文末点击“阅读原文”下载完整报告PDF。2023年Q1数据泄露风险概况捕获近1000起数据泄露事件，涉及1204家企业2023年Q1，威胁猎人情报平台监测和验证到的有效数据泄露事件高达987起。疫情结束后黑产更加活跃，相较2022年Q1，本季度的数据泄露事件数上升了42%，涉及企业多达1204家。一月份是春节档期，绝大多数的黑产在休假，因此事件数相对较少，到了二三月，黑产逐渐“上岗”，风险事件数量也在逐月增加。威胁猎人对事件发布者进一步研究发现，其中有两个黑产在Q1发布了244个数据泄露事件，从过往发布信息来看，主要针对物流行业，推测应该与全国多家快递公司的快递员合作。匿名社交软件Telegram是主要数据交易平台，多为二手转卖数据从威胁猎人监控渠道上来看，2023年Q1的数据泄露渠道主要集中在Telegram、Github、暗网、网盘4个渠道。其中，匿名社交软件Telegram因信息传输的私密性和便利性，成为数据交易和传播非法信息的理想平台，占比高达82%。经威胁猎人溯源，拥有一手数据的人为保护自身安全，会找代理来推广和交易数据，因此传播数据大多为二手转卖数据。数据泄露遍布各行各业，涉及物流、金融、电商行业等从行业分布来看，2023年Q1的数据泄露事件遍布各行各业，涉及38个行业，包含物流、金融、电商、航空、招聘、教育、旅游等行业。人为拍摄与合作方泄露是主要泄露原因，涉及销售、快递等环节从泄露原因来看，本季度人为拍摄信息导致数据泄露的占比最多，高达42%，进一步研究发现：主要集中在物流行业，涉及销售、仓储、快递等环节的面单信息泄露；合作方泄露位居第二，占比34%，攻击者往往会攻击供应链上的中小企业，这类企业的安全成本投入低甚至没有，易被攻破，与之合作企业的数据安全很难得到保障。值得关注的是内部安全缺陷泄露和短信泄露，虽然占比不高，分别为10%和7%，但影响范围大，尤其是短信泄露。威胁猎人在2023年3月15号，捕获了一起短信泄露事件：涉及1000+家企业，其中一家企业被泄漏的短信数量高达1亿+条，被黑产在Telegram上售卖。安全建议1）采购正规短信通道；2）给不同通道的短信带上差异化标识，发生数据泄漏事件时，可快速定位问题短信通道。金融借贷行业数据泄露风险洞察威胁猎人2022年度《数据资产泄露报告》显示：借贷行业的数据泄露事件数占据金融行业总数据泄露事件数的38%，位居第一。到2023年Q1，这一数值已经飙升到了51%，威胁猎人情报平台共监测到相关事件91起，远多于其他金融细分行业。威胁猎人研究员进一步分析原因，发现金融借贷行业通过第三方软件服务（如SDK）和短信通道泄露的占比最多。通过这两个原因泄露的数据基本只有手机号，难以获取姓名等详细信息，但有心黑产可通过社工库、历史泄露信息等渠道，查询到姓名、地址、身份证等具体用户信息，加上被泄露数据的实时性较高，在黑产领域有巨大市场。针对金融借贷行业泄露的数据，黑产多用于诈骗：1）以低利息、下款快等诱惑，引导用户前往其他平台借贷，以“个人信息输入错误为由冻结贷款，需缴纳保证金才能解冻”的方式进行诈骗；2）伪装成平台客服，以“账户违规、注销等借口”要求用户缴纳费用进行诈骗。黑产获取的用户个人信息数据越多，让用户确信是客服的可能性越高，实施诈骗的成功率也越高。近期，威胁猎人情报平台在Telegram上捕获一起黑产出售某网贷平台用户信息的安全事件，每天1-2千条，涉及字段包含姓名、手机号、下款时间和额度等，极有可能被黑产用于诈骗。经该网贷平台内部排查，定位到数据泄漏原因是Spring

威胁猎人《2022年数据资产泄露分析报告》全新发布。为便于大家快速了解2022年国内数据泄露的态势全景，我们整理了如下长图，想了解更多内容（含丰富案例）可在文末扫码下载完整报告PDF。2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”（详见：成立6周年，威胁猎人焕新回归）。

2月12日晚，在即时通讯软件Telegram上，某机器人爆出超45亿国内个人信息遭到泄露，数据包括真实姓名、电话、地址等信息，并公开了免费查询渠道。该机器人管理员提供的navicat截图显示，数据量为4541420022条（45亿），数据库大小为435.35GB，数据量极为庞大。其实，早在2023年2月7日，威胁猎人情报平台在聊天工具Telegram的频道“社工库-⚡️163⚡️”中，捕获到“45亿姓名地址库”的最新信息：威胁猎人迅速关注到该事件并保持持续关注，经研究发现该频道于2021年4月28日创建，创建以来，长期未发布信息，直到2月7日凌晨开始发布信息。目前，此频道现已更名为“社工库2023频道⚡️星链⚡️”。「事件跟进时间线」2021年4月28日，黑产创建Telegram频道“社工库-⚡️163⚡️”，并被威胁猎人情报平台纳入监测；2023年2月7日01时10分，该频道发布第一条消息：“133”，疑似黑产开始进行测试；2023年2月7日03时14分，该频道更名为“社工库2023频道⚡️星链⚡️”，并发布第二条信息：“更新45亿姓名地址库

当前品牌更名为“威胁猎人”公司主体依旧不变:

CCSIP反欺诈和威胁情报领域推荐厂商、2022

近日，全球知名权威咨询机构IDC发布《IDC

近日，国内知名安全研究机构数说安全研究院发布《2022年中国网络安全十大创新方向》报告，针对网络安全十大创新方向，分别从技术解读、核心能力、关键挑战、应用场景和典型厂商角度进行分析，旨在推动行业技术创新、产品创新与应用创新。永安在线凭借在API安全领域的优秀表现，实力入选「API安全防护」创新方向的代表厂商。数字化时代，通过API实现业务逻辑和大量数据交互已成为企业快速创新和发展的重要方式之一，API的数量急剧增长，与之相关的安全风险也在同步增加。作为深耕业务安全多年的安全厂商，永安在线很早就关注API安全问题，并基于在业务威胁情报领域的积累，发布了首个以情报能力为基础的标准化API安全产品--

近日，永安在线完成新一轮4000万元融资(B+轮），由国科投资独家投资，指数资本担任独家财务顾问。本轮融资将用于持续加大企业核心人才建设，在情报技术和API安全产品上不断创新，完善产品功能，持续提升产品的标准化交付能力。永安在线成立于2017年，以威胁情报和攻防技术为核心，专注为企业提供API安全和业务反欺诈方案，帮助提升企业风控攻防效率和数据安全防护能力。2021年，永安在线正式发布业内首个以情报为核心技术的API安全产品——「API安全管控平台」，并陆续在证券、互金、互联网等行业落地，安全效果获得客户的一致认可。本轮融资也是永安在线继今年2月融资后的新一轮融资，是业界对永安在线在API安全领域能力以及API安全市场前景的充分肯定。独树一帜，永安在线以情报构建更有效的API安全防护能力数字化时代，通过API进行数据交换和实现业务逻辑是企业快速创新和发展的重要方式，企业APP、Web和应用程序核心功能、云体系与微服务架构等均离不开API的支持。然而，现阶段API架构的安全建设相对滞后，企业面对大量的API资产无所适从，传统安全方案难以应对API逻辑攻击难题。API的增速与其安全发展的不平衡，使其成为企业数据安全最大的风险敞口。作为深耕业务安全多年的安全厂商，永安在线很早就关注API安全问题。永安在线创始人兼CEO毕裕表示，业务层面的安全，其底层逻辑就是API的安全；基于底层情报能力的积累，才能精准感知并阻断、溯源API面临的风险。看一个真实的案例：下图为某企业一周的正常流量和风险流量请求分布：曲线1

近日，全球权威研究机构IDC发布《IDC

2022年6月22日9:32，永安在线安全研究员小张如往常一样，进行蜜罐流量审计，一条API攻击情报引起了他的注意：攻击者利用秒拨代理IP对某个API发起了3562次攻击爬取大量催收信息被攻击API所属公司正是前两天接入测试的某互联网金融公司（简称A公司）,A公司主要提供互联网金融借贷相关服务。就在两天前，即2022年6月20日，小张通过情报系统监测到该公司的用户数据在暗网被交易。随后联系了该公司，验证数据为真，并协助定位到是某个API存在漏洞被攻击导致数据泄漏。当类似的事件可能再次发生，小张提高了警惕，立马联系了客户。（未完待续……）前文提到，A公司是一家典型的互联网金融公司，主要提供互联网金融贷款相关服务。作为金融行业的一员，该公司深刻意识到数据泄漏带来的危害：泄漏用户数据违反了数据安全法律法规会遭受相应处分，或来自行业监管单位的惩罚；用户因数据泄漏被诈骗向公安机关投诉企业，或因为没钱还贷给企业造成坏账问题；……不管是法律处分或监管惩罚，还是被用户投诉，都会给企业带来经济和品牌名誉受损。公司也做了一些相应的数据安全防护措施，如部署了WAF、IPS，但都无法解决上面遇到的数据泄漏和API接口被攻击的问题。在数据安全建设上，A公司面临哪些难题呢？永安在线安全专家通过与A公司安全负责人进一步了解发现，该公司在数据安全管理方面主要存在以下难题：1）大量API暴露在互联网，缺乏有效的安全管控手段公司业务主要面向互联网，会开放大量的业务API接口给到用户和合作伙伴，大量API暴露在互联网形成巨大的攻击面。通过人工方式对流动数据、暴露的API接口等进行安全检查工作量大，且覆盖不全，无法随着业务的迭代进行更新检查，导致企业对API开放数量、API的活跃状况、僵尸API、涉敏API、API是否有缺陷等信息不够了解。2）API接口是否被攻击或被爬取数据难以及时感知API被攻击或数据泄露事件发生，公司总是后知后觉，常常处于救火状态。这是因为API直接关联业务逻辑，黑产利用大量秒拨代理IP伪装成正常的请求流量，对API的敏感数据进行低频爬取。这种攻击方式可直接绕过现有WAF、IPS等设备的安全策略，难以及时感知并阻断风险。3）系统账号权限管理混乱，数据泄露难取证难溯源公司内部有多个涉及用户敏感信息的运营系统，内部员工、合作伙伴以及贷后外包等均通过运营系统处理日常工作，可能某些人员违规操作泄露了用户数据，但因缺乏有效的面向应用系统的账号管理和行为审计，导致数据泄露无法取证和溯源。永安在线API安全管控方案助力互金行业数据安全防护为解决以上难题，永安在线经过业务深入理解和多次调研讨论，为A公司打造了一套基于情报的API安全管控方案，帮助A公司实现全面自动化梳理API和流动数据资产、持续检测API安全缺陷、精准感知和及时告警黑产攻击、异常数据访问监测和审计溯源，考虑到客户是混合云结构，部署方案采用通过TAP交换机旁路镜像流量和公有云主机上云主机镜像流量的方式来构建分布式的旁路流量分析平台。1）全面、动态梳理API和数据资产，呈现完整API清单和敏感数据地图通过旁路镜像流量分析以及5层解析、过滤、规约过程，自动化梳理面向用户、内部员工、合作伙伴、贷后外包、开源组件和中间件等多种应用场景的API，建立完整API资产清单，帮助A公司全面了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况。「安全效果」API资产梳理：识别了API资产共7818个，722个涉敏API、350个僵尸API、765个缺陷API等。其中检测发现返回明文三要素的API有8个，返回明文四要素的API有5个，明文返回个人三要素和四要素数据，存在极高的数据泄漏风险。数据资产监测：监测到16类涉及个人信息的流动数据（包含密码、邮箱、手机号、银行卡、加密三要素等），进一步分析发现是因为开发不规范导致银行卡类敏感数据存在明文形式向外流动。账号资产梳理：梳理了内部员工账号1062个，贷后外包人员账号3734个，并监测到1起外包人员违规获取敏感数据的风险。2）持续检测未授权、越权访问等高风险缺陷，先于攻击者发现攻击面在API和数据资产可见的基础上，通过API漏洞检测引擎对API在涉及和开发方面的缺陷进行持续、全面评估，检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。「安全效果」API安全缺陷检测：共检测到765个API存在27类缺陷，其中167个API存在高风险缺陷，如未授权、越权访问、参数可遍历、关键数据未脱敏、敏感数据伪脱敏、登录接口错误提示友好等；此外还发现了相关组件的漏洞，如spring

随着数字化转型和“开放银行”的发展，银行应用程序接口（API）的安全边界已经从封闭的局域网络扩展到开放的互联网。对于金融行业来说，API是连接不同来源数据和承载业务逻辑的重要通道，通过开放API实现金融业务线上办理和查询、移动支付、业务融合等已成为许多银行转型数字化、生态化和形成竞争力的关键措施。但是，随着业务开放给银行及其用户带来更多效益和便利的同时，背后的API安全及数据安全问题也日益凸显。近日，永安在线鬼谷实验室结合捕获到的API攻击情报，对48家银行信用卡业务接口（API）进行了安全评估，发现有38家银行的信用卡业务的API存在安全缺陷，且至少有8家银行的API已经遭受黑产攻击并被爬取数据。下文将以银行信用卡业务API安全为例，剖析当下银行API存在的安全挑战，并提供有效的解决方案。备注：本文不会公开披露任何一家银行的评估细节，如果您是某家银行的安全从业人员，想获取更多的信息，可以通过公众号后台留言或者发送邮件的方式与我们联系。（邮箱：marketing@yazx.com）银行信用卡业务API安全现状1.

伴随着金融+互联网的兴起，金融行业很早就开始了数字化转型的布局，通过APP、公众号、小程序等方式将业务迁移到互联网上；然而在为用户提供灵活与便捷服务的同时，金融行业也面临着来自黑产不断演变迭代的各类攻击威胁，如过人脸、营销作弊、众包洗钱、钓鱼仿冒等都令金融机构承受着巨大的业务及商誉风险。据中国工商银行安全攻防实验室发布的《数字金融反欺诈技术应用分析报告（2021年）》报告数据显示，2019年至2022年我国因网络欺诈造成的总损失逐年增加，到2022年造成的总损失高达7100亿元，占GDP

在信息化时代，大部分平台都需要通过账号密码进行验证和登录，账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻，如果这些信息被泄露或者是被不法分子利用，将会造成数据泄露、资金盗取、网络诈骗等风险。从大量攻击事件分析来看，黑产的作恶手段主要是通过对API接口发起攻击，如扫号攻击、撞库攻击、盗号登录等，最终达到窃取敏感信息、盗取资金、网络诈骗、薅羊毛等目的。下文将重点聊一聊其中的一种攻击手法——扫号攻击，它不仅会造成用户隐私泄露，还是黑产提高其攻击效率的前置手段。什么是扫号攻击？扫号攻击，指的是黑产通过注册、登录或其他业务接口的返回值，如“账号已存在”或“账号不存在”，“您是老用户”或‘您是新用户’等来判断某个账号（用户名、邮箱、手机号等）是否在该平台注册过。如果接口缺乏安全防护，黑产极易对接口发起大规模的扫号攻击，通过暴力枚举的方式，大量获取平台注册用户的账号。如果平台被扫号攻击，不仅会造成用户个人隐私信息泄露，还会给用户带来资金盗用，恶意欺诈的风险，同时也会提高黑产攻击效率，从而变相提升了防护难度。用户信息泄露。暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号，其中不少就是由于扫号攻击导致的信息泄露；随着手机号的泄露，平台用户也会遭遇到同行或中介的电话骚扰，甚至是电话诈骗，从而降低用户对平台安全性的信赖，造成用户大量流失；提高黑产攻击效率，从而变相提升了防护难度。以撞库攻击为例，黑产为了避免被发现，往往会采用低频撞库的攻击方式。为了让攻击不因低频而变得低效，有经验的黑产则会先通过扫号进行过滤，然后集中针对注册的账号发起撞库攻击。近几年，头部互联网厂商由于API接口存在问题而遭受扫号攻击的事件接二连三。从永安在线Karma情报平台近期捕获的攻击数据来看，目前全网仍存在大量的扫号攻击。而存在这种情况的原因，主要有两方面：一是仍有不少企业的注册/登录接口的错误提示不合理；二是大量关联了注册信息的接口（如密码找回接口、验证码发送接口、活动接口等）暴露在互联网而被黑客利用。扫号攻击现状分析通过对永安在线Karma情报平台捕获到的攻击事件进行分析，发现扫号攻击遍布金融、游戏、电商、社交等领域，其中金融和游戏行业成为扫号攻击的重灾区。此外，黑产发起扫号攻击的接口类型日益多样化，包括注册/登录、账号查询接口、密码找回接口等。1.

由于数字化转型加速，越来越多的企业将应用和数据迁移至线上或云端，并暴露核心业务能力和流程相关的API为外部合作伙伴提供服务。脱离了传统的内网或网络区域划分，线上或云上应用的开发和集成、云端管理API，被潜在的商业合作伙伴及攻击者使用，无形中使得API安全风险增大。API在数字化转型中扮演的角色将愈发重要，通过API来进行数据交换和实现业务逻辑成为最常见的方式。现阶段API应用的增速与API安全发展的不平衡，使得API成为了企业安全建设中最薄弱的环节之一，也因此成为攻击者的重点攻击对象。近些年因API安全问题导致的数据泄漏事件却频频发生，可以看到API安全是一个常见但似乎又不为人熟知的挑战。据Gartner提供的数据显示，到2025年，由于API的爆炸式增长超过了API管理工具的能力，将有50%的企业出现API安全防护缺位。近期Approov和Osterman出品的《2022

电子邮箱目前是有效电子身份标识之一，同时也成为了黑产用来作恶的工具，黑产利用虚假邮箱进行注册并进行恶意套利薅羊毛、恶意引流、恶意刷量等行为。永安在线邮箱风险画像产品全新升级，首次引入“深度识别引擎”，帮助企业精准识别邮箱风险，解决因虚假账号带来的资金损失及负面影响。随着全球化时代的到来，越来越多的国内互联网企业选择出海开展海外业务，拓展海外市场。为了适应海外用户以邮箱为主的账号体系，在业务中开放了邮箱注册账号入口，但随之而来的是业务上面临黑产使用风险邮箱恶意注册的难题。由于电子邮箱无需实名认证，注册简单的特性，导致黑产获取到邮箱账号的成本极低，而企业面对未知邮箱账号的注册，往往缺少对邮箱用户的标签画像，这便让黑产有了可乘之机，黑产会使用临时邮箱批量注册账号用于作恶。某公开的临时邮箱门户网站基于此，永安在线推出国内唯一基于情报能力构建的邮箱风险画像产品，通过对黑灰产团伙的纵深监控，精准识别覆盖国内外的临时邮箱和黑产持有的各类正常邮箱账号，帮助企业构建邮箱风险识别防线。随着风险邮箱数量增多且作恶手段多样化，企业风控策略上对风险邮箱的识别精准度和覆盖率也在不断提升。在黑产发展趋势和安全需求驱动下，永安在线基于对黑产邮箱MX记录、备案信息等内容的深入研究，对邮箱风险画像产品进行了全新升级，首次引入“深度识别引擎”，全面提升风险邮箱识别精准度和覆盖率。引入“深度识别引擎”后，风险识别率高达99.36%此次升级的邮箱风险画像产品版本引入了“深度识别引擎”，该引擎内置三大邮箱风险检测能力，通过对邮箱MX记录、邮箱域名注册和备案信息、邮箱子域名和别名信息进行检测，能够迅速关联出更多相关邮箱，从而扩大风险邮箱识别覆盖范围，全面提升风险邮箱识别精准度，风险识别率整体稳定保持在98%以上，最高识别率可达99.36%，为企业提供高精准度，高覆盖率的邮箱风险画像，帮助企业实现快速有效防控。1.

攻击的一种安全策略。API网关、WAAP以及专业的API安全产品通过对API参数和有效负载的内容检查、流量管理以及异常流量检测、分析相结合来提供

网络攻击持续高发，API攻击量月均超25万从Karma情报平台捕获到的数据来看，2022年Q2遭受攻击的API数量月均超过了25万，相比Q1大幅增加，其中，5月份的攻击数量更是达到了29.4万。2.

在如今“流量为王”的时代，刷量早已成为互联网行业心照不宣的“潜规则”。由于各大内容生产平台以阅读量、粉丝数、点赞数等数据作为影响力的评判标准，刷量服务随之衍生并形成规模化黑色产业。在流量思维的主导下，数据造假风气盛行，滋生了大规模的刷量产业以牟取高额利益。近年来，监管部门也愈加关注刷量黑灰产业链，并对刷量行为施以重拳监管。2019年国家网信办发布的《网络信息内容生态治理规定》就明确提到，网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为，破坏网络生态秩序。我国法律对刷量产业链的严厉打击，也导致刷量黑产开始“另谋出路”，不断衍化出新的刷量手段。另一方面，网络平台自身对抗刷量黑产的能力也在不断加强，导致传统的刷量手段如协议刷量、真人众包刷量逐渐被淘汰。因此，在法律的严厉打击、内容生产平台风控能力不断加强以及刷量需求增长的背景之下，刷量产业链对抗网络平台的技术也在迅速发展升级，新的刷量交易平台开始出现，刷量产业链也随之不断进化，逐步走向高级化、专业化、隐蔽化的趋势发展。新型隐蔽的刷量手段：“高级账号”刷量随着策略持续升级，内容生产平台打击刷量的技术手段不断增强，新的刷量模式也随之出现。永安在线研究团队通过长期对刷量产业链的深入研究发现，在目前各大内容生产平台上开始出现了一种新型刷量手段——“高级账号”刷量。“高级账号”也就是粉丝数量较多的账号，称为“百粉号”、“千粉号”、“万粉号”，如果获得的赞也多，就叫“百粉百赞”、“千粉千赞”、“千粉万赞”。在高级账号刷量的产业链中，上游是高级账号持有者，即拥有“高粉丝数”的真实有效用户，他们使用自己的账号为刷量平台提供刷量能力；下游则是刷量需求者，中游则是刷量需求者和高级号持有者提供对接渠道的平台。刷量需求方可以在刷量平台上发布刷量需求，符合条件（百粉、千粉等门槛）的做单者可以从刷量平台捕获到实时的需求。这种刷量模式高度整合了高质量用户的账号资源，让各自以不同的方式付出及受益。某刷量平台的界面展示相较于以往传统的刷量手法，“高级账号”刷量的高明之处在于，一方面，刷量平台方无需再购买和维护大量的账号，而是直接以佣金分成的方式吸引用户、获取账号，并且这些账号都是拥有一定粉丝数量的高质量账号；另一方面，用户无需再劳心劳力地抢单接单，亲自执行刷单任务，只需给刷量平台授权账号使用权即可赚取佣金。因此，区别于传统的刷量手段，“高级账号”刷量具有高效率、自动化的特点，同时隐蔽性更强、危害性更大，内容生产平台一般的对抗技术手段很难对其有所察觉。“高级账号”刷量危害大，需引起各方重视永安在线研究团队通过对“高级账号”刷量产业链的长期研究发现，该攻击手法的特征如下：价格高：根据该刷量平台的价格表，最低的百粉百赞需2.6元，千粉万赞号需7元，有其他渠道的代理价20元，价格远高于协议刷量攻击和真人众包刷量攻击；账号好：据了解，该刷量平台有数十个万粉万赞号和大量千粉号，参与做单的最低门槛为百粉号；自动化：该刷量平台拥有自动化手段，如模拟器和脚本工具，并且将脚本工具对外售卖；效率高：该刷量平台的所有者既拥有大量高级账号，又能使用自动化工具，还可以将这套方案出售给其他高级账号持有者，因此效率比真人众包刷量攻击更高；危害大：该刷量平台提供的刷量服务不易被监控；由于账号好，平台的刷量可显著影响排名；“高级账号”刷量手段由于其隐蔽性强、不易被监测并且使用自动化攻击，攻击覆盖范围广且效率高，因此，具有非常大的危害性。对于内容生产平台来说，“高级账号”刷量长期泛滥将会出现大量劣质内容通过刷量的方式被推荐，而优质的内容却被淹没，直接导致内容生产平台秩序的混乱、用户体验下降、用户资源的流失和竞争优势的削弱。同时，虚假的用户评论、劣质内容的优先推荐等情况频发也会让用户产生不良体验。长期以往，内容生产平台的信誉受损，用户的信任度降低，逐渐产生信任危机，也会影响内容生产平台的健康持续发展。另一方面，内容生产平台刷量现象对广告主广告投放积极性也会产生一定程度的负面影响，且影响程度随着行业刷量行为普遍化而加深。为了营造良性的社交媒体生态，摆脱内容生产平台公信力危机，平台必须加快打击“高级账号”刷量的步伐。而对托管账号的普通用户来说，眼前的微薄收益远远不足以弥补潜在危害，一旦托管账号者的个人信息泄露，用户的个人权益也会严重受损。对于整个互联网行业来说，“高级账号”刷量现象会破坏舆论环境，扰乱行业生态。庞大的刷量产业造成的虚假流量已经侵入到互联网行业的深层，并危害整个互联网行业。据相关数据统计，我国目前各类刷量平台已超过1000家，国内刷量产业的人员规模累计达到900多万人。刷量黑灰产制造流量获取利益，流量需求方凭借流量吸引资本或舆论的关注，资本、舆论依靠流量赚取更大的利益。同时，虚假流量会阻碍创新价值的实现，降低诚实劳动者的信心，扭曲决策过程，干扰投资者对网络产品价值及市场前景的判断，影响网络用户的真实选择，扰乱公平有序的网络营商环境。

企业API安全管理迫在眉睫。API攻击过去12个月增加了7倍，影响了95％的组织，Salt

近几年，在“智慧城市“的驱动下，方便停车场管理和市民停车的“智慧停车”平台蓬勃发展。停车场接入“智慧停车”系统后，车主用手机扫一扫、输入车牌号即可线上查询和缴费，简单方便快捷的同时，随之而来的业务安全问题也逐渐暴露。去年就有新闻报道安徽、江苏、陕西、云南等地的多个“智慧停车”平台可绑定他人车牌号，在无需验证授权的情况下，他人能精准查询到相关车辆出入停车场、缴费情况等信息，广大车主表达对自己隐私的担忧。而更让人恐慌的是，黑产已盯上了这类“智慧停车”平台，通过频繁、批量地对平台的API查询接口发起攻击，来获取车辆每个时段的停车信息，从而摸清任意车辆的行驶轨迹，甚至“顺藤摸瓜”获取更多隐私数据。这一点已得到永安在线情报人员的验证。1、"智慧停车"数据泄露事件分析，API安全不容忽视永安在线情报研究人员从蜜罐监测到的流量中，发现有频繁针对多个“智慧停车”系统的攻击行为，这些“智慧停车”平台基本覆盖了市民能接触到的大多数停车场。通过分析发现，这些智慧缴费查询API接口均存在未授权访问漏洞，攻击者很有可能是利用该漏洞爬取了大量用户停车信息。为进一步验证，永安在线情报研究员对其中一个被攻击的系统进行了分析：黑产团伙通过IP代理平台获取大量IP，频繁对智慧停车系统的查询API接口进行攻击，在输入车牌号信息后，如车辆无入场，则反馈“车辆未入场”；如车辆有入场，则会返回该车辆相关停车信息，包括停车时间、地点、资费情况等。此外，从攻击代码来看，黑产团伙还可以拿到车辆入场时拍的照片以及入场时间，如代码图所示：也就是说，黑产团伙利用该API缺陷任意输入一个车牌号，在不需要车主授权的情况下，就可以查询到车辆在该系统里的某个停车场、入场时间、入场照片等信息。黑产可通过相关渠道进行信息售卖或者提供定位服务来获利，比如最近在TG群里，就有人提供各种查询服务，其中就有定位车辆、车位人的服务。（黑产获取到车辆信息）此外，黑产还会根据这些信息顺藤摸瓜获取到车主的家庭住址、手机号、工作单位等更多隐私信息，这些隐私信息在地下黑市明码标价出售，车主的信息有可能被用于各种用途，轻则账号被盗，重则伪造身份进行借贷，给市民财产安全造成威胁，后果不堪设想。2、智慧停车平台要高度重视用户隐私，构建好API安全防护体系在这类事件中，不少企业认为只涉及到泄露用户的某个停车信息，构不成法律责任。实则不然，黑产团伙通过大规模攻击不同的智慧停车平台，获取到庞大的用户数据，这些海量数据汇集在一起就有可能掌握到用户的行驶轨迹以及其他的隐私信息。《数据安全法》中明确强调了企业在保护数据安全中应承担的责任，如拒不遵守法律或酿成重大数据泄露事故，企业将轻则约谈、整改，或有一千万元的罚款，重则暂停业务、停业整顿，或者是吊销相关业务许可证、营业执照。一旦构成犯罪，还会被追究刑事责任。因此，对于企业而言，一旦出现数据泄露情况，不仅面临经济损失和名誉损失，还会面临违法风险甚至更严厉的处罚。在此情境下，企业需要加强自身的安全建设，尤其是针对API安全建设。API作为连接服务和传输数据的重要通道，它的广泛应用及针对性安全策略的缺失也为企业带来越发严重的数据安全问题，甚至已成为数据泄露的最大敞口，而智慧停车平台因API

经过数年的酝酿，《数据出境安全评估办法》（以下简称《办法》）终于在2022年7月7日审议通过，并于9月1日起开始实施。该《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。《办法》还规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。《办法》第八条数据安全注意事项里还指出出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。同时也明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。由此可见，企业在进行数据出境传输的过程中面临着巨大的合规压力，尤其是在业务上涉及个人信息或者个人敏感信息的企业，涉及互联网、金融、电信、医疗、政府等领域。若一旦管理不当，很可能导致企业面临高额的罚款，甚至阻碍其业务在某一个法域继续运营。然而，出境数据流动的合规具有一定的难度和复杂性，大部分企业的数据安全合规体系建设还处于起步状态，对违规所带来的风险也缺乏相应的评估机制，且凭借自身的技术力量很难对数据安全风险进行全面、迅速、有效的防护。

今天，业内首个以API为中心的业务风险情报平台（开放版）正式发布！该平台集“API风险雷达”和“情报查询”两大核心功能，能帮助企业实时监测和预警API风险、快速验证业务风险数据，为企业信息安全管理提供情报数据支撑。（API风险雷达监测到某电商平台API被攻击）超轻量级，注册即可感知风险https://apis.yazx.com/备注：请通过PC端注册和登录近年来，随着企业“互联网化、数字化”进程的不断深入，越来越多的业务搬到线上，线上应用之间的连接和数据传输依赖API。从银行、零售、运输到政务平台、智慧城市系统等均需要通过API交换数据来创造价值，API已成为业务移动端、Web应用程序、云服务系统等的关键部分，在企业对内、对外应用系统中随处可见API的身影。Akamai的统计报告指出“API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次”。然而，现阶段API应用的增速与API安全发展存在严重的不平衡，很多企业在安全建设中往往专注于基础安全建设，而忽视了API应用安全。但API作为数据传输和应用连接的重要通道，承载着业务逻辑和高价值数据，已逐渐成为攻击者的首选目标。Gartner报告提到，到2022年，API滥用将成为导致企业Web应用程序数据泄露最常见的攻击媒介，甚至在2024年API安全问题引起的数据泄露风险将翻倍。为此，永安在线推出首个以API为中心的业务风险情报平台（开放版），基于永安在线完善的业务风险监控体系和多年沉淀的情报数据能力，为企业提供API风险监测和预警、业务风险数据验证等能力，从情报维度帮助企业及时发现和掌握业务API风险，摸清风险攻击路径，为企业信息安全管理策略提供情报数据支撑。首个以API风险为中心的轻量级业务风险情报平台1.

数字时代的今天，数据已经和土地、劳动力、资本、技术并列为五大生产要素之一，数据资产价值越高，围绕数据资产的攻击就会越来越激烈。近年来，国内外大规模数据泄露事件频发，尤其是国际国内安全形势的变化，使国家、企业和个人层面做好数据安全的必要性更加突出。数据安全问题既是技术问题，也是管理问题。1、从国家层面，近年来我国关于数据安全和个人信息保护的法律法规密集出台，国家对数据安全的重视程度和监管力度越来越高。2022年国家级的攻防演练中新增了对于数据泄漏的攻防点，说明数据的安全保护逐步从监管法规落实到具体的攻防实战中来。2、对企业而言，围绕数据的全生命周期从数据采集、存储、访问、使用、销毁来构建数据安全管理体系成为重点的安全建设工作。现阶段，大多数企业在数据采集、存储、静态数据访问方面已有较全面的安全建设，但针对数据流动访问的安全建设意识才逐渐萌芽和发展。数字时代，企业通过API流通交换数据来创造价值，流动中的数据安全保护是政企单位当前急需解决的数据安全难题。

近日，由中国信息通信研究院（以下简称“中国信通院）、中国通信标准化协会主办的“业务与应用安全发展论坛”在北京正式召开。在此次大会中，永安在线凭借在业务安全领域的技术积累和实践经验，经过严格选拔，成功入选“业务安全推进计划”首批成员单位，并同时入选“业务安全产业全景图”多项细分领域。“业务安全推进计划”（Business

摘要近年来，在面对数据安全威胁日益严峻的态势，我国逐步颁布了系列数据安全相关的法律法规，着力解决数据安全领域的突出问题。而API作为连接数据与应用的重要通道，成为了数据安全建设中不容忽视的环节。本文将以我国颁布的系列数据安全和信息保护法为切入点，重点阐述数据泄露与API之间的关系以及如何建立全面的API安全防护策略。在数字时代的今天，数据已成为新兴的生产要素，是国家基础性和战略性资源。随着数据价值的愈加凸显，数据安全风险也与日俱增，数据安全已经成为数字经济时代当前最为紧迫的任务之一。

摘要近年来，人脸认证技术加速应用在社会的方方面面，新技术的应用给企业和个人带来便捷的同时，也对信息安全提出挑战。目前黑产市场上，有两种常用绕过人脸识别的方法：一种是使用特定ROM包刷机，另一种是使用云手机平台的远程虚拟摄像机。黑产通过网络渠道获取到真人录制的人脸视频，结合以上两种方法绕过人脸活体检测等校验机制。根据永安在线情报研究员分析发现，目前这两种方法可以绕过某保险机构和某银行的人脸识别，一旦被黑产盯上可能会造成严重的经济损失和声誉风险。面对如此猖獗绕过人脸认证的黑产技术，企业有必要采用相对应的防御措施，防止应用破解、数据抓包篡改以及业务漏洞等。人脸认证作为一种易用性强的生物特征验证技术，目前被广泛应用在政务、安防、金融、生活消费等行业。企查查数据显示，2022年，我国提供人脸识别服务的企业已经突破1万家。人脸认证广泛应用的背后，则是规模庞大、乱象丛生的人脸认证市场，有水面之上光鲜的一面，就有隐藏在水面之下的灰黑产业链。从人脸认证的黑产链来看，黑产团伙通过网络渠道获取到个人的真实信息，并结合技术手段绕过人脸活体检测等校验机制，从而实现如虚假开卡、虚假开户、虚假签到、账号及信息窃取等业务违规目的。以“过人脸”等关键词在网上检索，仅5个月内，高达6199名黑产在各个渠道发布了累计144万余条信息，涉及8个行业，其中移动支付行业、社交行业、短视频行业沦落为灾区。

近日，深圳市工业和信息化局公布2021年度深圳市“专精特新”企业名单，永安在线凭借在网络安全领域的专业技术沉淀和创新能力，成功通过评审，获得“专精特新”企业称号。所谓“专精特新”是国家为鼓励企业实现专业化运营、精细化产出、特色化工艺和新颖化产品四项发展而专门设立的荣誉奖项。该奖项从企业经营能力、研发投入、创新能力、市场占用率、知识产权等多维度对企业进行全方位评估和专业审查，旨在培育出一批专注于细分市场、创新能力强、市场占有率高、掌握关键核心技术、质量效益优的企业。此次入选是社会及行业对永安在线在网络安全细分领域——API安全和威胁情报领域技术沉淀及创新能力的深度认可。永安在线自2017年成立以来，以黑灰产情报能力和攻防技术为核心，专注为企业提供业务反欺诈和API数据安全解决方案。成长路上，永安在线始终坚持“持续创新、正直、求真”的理念，以客户为中心，聚焦企业在数据安全和攻防能力建设的实际痛点和需求，不断迭代和优化产品能力，力求为客户提供极致的安全体验。发展至今，永安在线在专业技术和创新能力上获得了诸多专业机构和单位认可：·

IP是互联网最基础的身份标识，也是黑灰产业发展不可或缺的底层资源支撑，支持着恶意注册、刷量、薅羊毛、撞库、爬虫等恶意行动的顺利进行。2019年，永安在线对外发布IP风险画像产品，帮助各行各业客户及时、精准地发现业务流量中的IP风险。随着日益变化的网络环境和愈发多样的市场需求，永安在线IP风险画像不断优化自身产品功能和交付能力，致力于从IP维度为更广泛的客户提供简单、便捷、有效的业务安全解决方案。今天，永安在线IP风险画像经过两年多的技术和经验沉淀，带着IPv6风险识别技术等核心能力正式发布2.0版本，从产品能力和使用体验上都进行了全新升级。

上周，我们用IP风险画像产品给某互联网客户做风险IP测试，在误判率

网络安全建设效果检验，还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗，更贴近事实，成为检验关键信息基础设施系统网络安全防护能力的常态化方式。尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁，但随着组织数字化进程的加快以及业务的迅速发展，总有一些跟不上变化的风险点拖了后腿。今天就一起盘一盘那些在实战攻防能力建设过程中容易被忽略的风险点并提供相应的防护策略。

近日，某互联网公司在使用永安在线API安全管控平台时捕获到一起数据泄露风险事件，攻击者使用大量动态代理秒拨IP对该公司某用户信息查询API进行低频的敏感数据爬取攻击。永安在线API安全团队及时响应此次风险事件，定位到了有缺陷的API，并提炼了此次风险事件的攻击特征，帮助该公司及时调整安全应对策略，避免了大规模的用户信息泄露。事件分析据了解，该公司的网站面向公众提供考生信息查询的API，用户输入姓名与身份证号，便可获取到包括个人照片、分数、准考证号、证书编号、所属学校等考生相关的敏感信息。考生信息对于诈骗团伙用于电信诈骗、招生机构进行精准营销推广有着极高价值：2016年，某学生被诈骗案，诈骗者掌握该考生信息，以助学金发放为理由，向该学生实施诈骗，使其不幸离世；2019年，某省普通话成绩查询网站由于配置不当将考生信息暴露在网站中，导致405名考生信息泄露；永安在线数据资产泄露风险监测平台在暗网和QQ群经常能监测到考生信息的数据在贩卖……考虑到数据敏感性，从数据安全考虑，该网站信息查询API使用图片验证码进行人机校验，并采用了基于IP的限频策略，但这远远不够。攻击者在高价值数据的诱惑下，借助打码平台和大量的动态代理秒拨IP绕过该网站的安全防护策略，对信息查询API发起了低频的爬取攻击，以获取考生信息。下面从多个角度来还原此次攻击情况：1.

允许弱密码虽然很多安全开发规范都有提到设置密码时，需要满足一定的强度，但从Q1的审计结果来看，仍有不少的API接口，尤其是一些管理后台登录的API接口，存在着弱密码缺陷。在OWASP

近日，某互联网公司在使用永安在线API安全管控平台时捕获到一起账号撞库风险事件，攻击者使用大量动态代理秒拨IP对公司的某平台登录接口进行低频的撞库攻击。永安在线API安全团队及时响应此次风险事件，定位到了有缺陷的API，并提炼了此次风险事件的攻击特征，帮助该公司及时调整安全应对策略，避免了大规模的用户信息泄露。事件分析据了解，该公司的平台除了可以使用微信扫码、手机号验证码登录之外，仍保留基于账号和密码的登录方式。通过测试分析发现，该平台登录API已使用行为验证码进行人机校验，且支持基于IP的限频策略，但该登录API存在账号和密码明文传输的涉及缺陷，也正是这一缺陷以及平台账号的高价值诱导攻击者发起了此次攻击。下面从多个角度来还原攻击情况：1.

安全管控平台已陆续在金融行业多家企业试点，并获得客户的一致认可。未来，永安在线将继续发挥黑灰产情报能力和攻防技术优势，持续以技术创新为驱动，不断提升产品研发、服务能力及管理水平，全面保障企业每一个

一、先来看两个真实的事件：1、2022年1月，永安在线工具情报平台发现了一款工具正在对某南方省会城市网上交管业务系统进行攻击，这个工具利用了该政务系统注册环节，某个API的实现逻辑问题，可以通过身份证号查询到任意人的手机号2、2022年2月，永安在线工具情报平台发现一款工具正在对湖南某政务系统进行攻击，同样，也是可以通过身份证号获取任意人的电话号码二、这两个事件为什么会发生？这两个事件虽然是不同的业务系统，但问题发生的原因是相同的，原因我们可以分两个维度来看：1、首先最直接的原因是业务场景的实现需求，这两个发生风险的API所实现的业务场景需求是相同的。1）用户输入自己的身份证号2）系统通过有安全缺陷的API来查询对应的用户真实手机号3）系统直接给该手机号发送短信验证码4）如果操作者是真的该身份证号拥有者，则输入验证码完成身份验证可以说这个体验是相当顺滑的，但是问题出现在业务流程的实现过程中，稍不留意就会给攻击者留下巨大的“后门”，在这里的第二步所用到的API就变成了攻击者获取公民个人信息的弱点。2、其次，当前的政务数字化正处在第三阶段，在这个阶段，潜在的安全风险环境发生了质的变化。整个政务的数字化可以分三个阶段：1）最早的阶段是数据的数字化，是把纸质的数据变成电子的内容，这个阶段下要考虑的是数据本身的存储和权限管理2）然后是政务内部的协同数字化，政务组织内部的多个团队之间的协同和跨政务体系的协同，提升百姓百事效率，比如说以前要去两个地方办理的手续现在只需要一个地方了，这个就是由多个部门数字化后协同效率打开带来的优化，这个时候安全要开始重视应用安全和权限管理，这些协同是在互联网的协同，但这时候的风险环境并没有发生质的变化。3）而当前，为了进一步提升办事效率，当前的政务数字化的重点是在业务流程的线上化，这时候带来两个巨大的变化，一个是这时候会直接改造个人办事流程，流程的数字化会增加大量API，且这些API所包含的数据和逻辑更加复杂。其次，这些API都是公网的API，风险面的暴露是无限的。这时候数字政务所面对的风险环境就发生了质的变化。这是为什么这两个事件会发生的深层次原因。三、那当前数字政务应该如何避免这类问题的发生？1、首先，在开发环节就应该要规范API，包含的数据字段，以及不同数据字段敏感度级别的不同授权管控。在开发环节做好开发流程管理后，在测试环节和生产环境下，也需要反复的对API做验证，确保所有API是按照该防范标准所运行。像英国的42crunch的API安全方案，就是从Devops环节为开始，在生产环境不断的动态验证API是否按照设计规范运行。在开发时维护好API

即便是研发人员的经验非常丰富，抑或即便是有相关制度在制约，但如果重视程度不够或制度执行不到位，那么也无法保证安全，仍有可能会因为各种因素（包括前文所述案例中的人为因素）导致API接口成为安全缺口。

近日，永安在线完成数千万元新一轮融资，本轮融资由金沙江创投独家投资，指数资本担任独家财务顾问。融资资金计划用于加大企业人才梯队建设的投入，加大API安全产品研发投入，并持续深耕业务安全相关产品及应用，丰富产品体系，扩展行业市场覆盖范围。此轮融资也是永安在线继去年11月A+轮之后的又一轮融资，充分说明永安在线在API安全领域的能力及市场前景获得行业的充分认可。永安在线正式成立于2017年1月，过去曾用名「威胁猎人」，团队核心成员均来自于腾讯安全团队，在腾讯积累了十几年的安全攻防经验。同时，公司在业内较创新地提出了业务情报。在业务情报领域，永安在线已签约腾讯、字节、百度、泰康保险、华泰证券等上百家头部客户，连续多年续签率超过90%。凭借在这一领域多年的积累，以及每日数亿的情报运营能力及实时更新能力，让永安在线成为能够在API架构上提供标准化解决方案的企业。

2021年12月14日，由ISC平台牵头，联合赛迪顾问、数世咨询、数说安全、安在、看雪等网络安全分析机构、垂直媒体联合发起的ISC

2021年12月3日，首届API安全管理论坛在深圳举办。在此次论坛上，永安在线介绍了API安全管理的挑战和治理理念，并发布了以永安在线核心技术优势——行业领先的【情报】打造的产品：API安全管控平台。数字化进程不断加快，API在应用环境中变得越来越普遍。有调查显示，API请求已占所有应用请求的83%。而API作为连接服务和传输数据的重要通道，它的广泛应用及针对性安全策略的缺失也为企业带来越发严重的数据安全问题，甚至已成为数据泄露的最大敞口。随着企业在整个研发过程中越来越强调敏捷开发和（CI/CD）集成部署，导致整个业务研发节奏加快，很多企业对API的管控处于失控状态，出现了接口未知、攻击未知、阻断未知的管理挑战。永安在线API安全管控平台对此，永安在线推出了新一代API安全管控平台，通过旁路镜像的方式提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面能力。帮助企业构建可预防、可解释、可溯源的API安全管理体系，让企业能够有效实现对API资产的全面盘点、防止敏感数据暴露、预防发现阻断API遭受攻击、提升风险事件的响应速度以及数据合规自查。以精准情报建立API安全基线提高攻防对抗主动权永安在线API安全管控平台通过情报为业务建立API安全基线。误判率低，可用性高，可及时全面感知企业外部API风险。同时，基于精准预警输出的攻击者IOC情报，可以联动WAF或风控系统等快速处置攻击风险，帮助企业实现更好的进行API风险识别及阻断。永安在线是国内首家基于精准情报建立API安全基线的API安全服务商。对比许多安全厂商基于规则或AI算法进行API风险识别的技术路径，它的优势在于通过精准情报能力可以准确描绘出业务风险全景图，站在外部的视角从海量业务流量中过滤出可疑流量，避免了市面上利用规则和频次的方式所无法识别的隐藏在合法业务请求中的风险，风险感知的准确率达95%；另一方面情报还能对识别出的风险能给出具体的攻击团伙以及攻击者的攻击方法，这样不仅保障了识别风险的准确度，也让风控变得具备可解释性，也为下一步的打击追责提供有利支撑。一个实际案例下图为某企业一周的正常流量和风险流量请求分布。可以看出每天的总访问量走势大致相同，虽在不同时间点内会有波动变化，但每天的总体变化趋势相似，时间区间内的流量稳定，在传统的流量统计模型中基本不可能感知到里面已经蕴藏着黑产攻击。在引入高风险IP这一情报属性并建立高风险IP流量占比指标后。依托于对高风险IP流量占比的异动幅度检测，就能明显的看出在几个时刻在总访问量下降到波谷时，高风险IP占到总流量的比重却达到高点，说明此时点大部分流量是高风险IP在流入。由此就可以清晰的判断出该企业已经存在被黑产攻击的风险，这在传统的基于经验规则的风险审计中很难发现，因为从行为特征看根本无异常，这就体现了情报对新攻击模式下对风险识别的天然优势。帮助企业全面梳理API资产快速定位攻击点和薄弱点基于永安在线独有的API提取引擎，API安全管控平台能够自动化实时发现企业内部、外部和第三方API，包括未知（影子）API和失活（僵尸）API。1、完整的实时更新的API清单；2、未知API和失活API的识别；3、可视化的API详情展示。敏感数据的流动管理实现数据合规自查产品依据《金融数据安全数据安全分级指南》将敏感数据类型分为C1至C4安全等级，支持40多种敏感数据的查询，能够看到企业自身敏感数据的流动情况。1、有哪些敏感数据，敏感数据存在于哪些API之中；2、实时的流动情况（出站及入站）如何；3、是否有涉敏的API存在安全缺陷以及实时风险情况。支持20多种API安全缺陷自动化检测产品能自动化识别API是否存在标准中的安全缺陷问题，以及提供查看和管理安全缺陷的功能。目前已覆盖20多种API安全风险缺陷检测，并且识别能力每周更新。此外，产品能够在1天内部署完毕，企业无需进行配置、不需要业务做任何结构的改动，即可轻松完成API资产管理及风险识别和溯源等，成本低、运维易。随着今年《数据安全法》《个人信息保护法》等的相继颁布，各界对于数据安全的关注进入了新的高点。API一直以来都扮演着连接用户前台与后台服务的关键桥梁作用，切实保障这些桥梁足够安全、足够可靠，毋庸置疑是确保数据安全的重中之重，企业应当提起更高的重视，构建起一套切实有效的API安全管控体系，护卫数据安全、保障业务健康发展。如需体验永安在线API安全管控平台可添加以下微信与我们联系关于永安在线永安在线（Ever.Security）以黑灰产情报能力建设和攻防技术为核心，为企业提供业务反欺诈和API数据安全解决方案。通过业务风险监控体系、风险情报数据能力和丰富的黑产攻防经验，帮助企业解决账号安全、营销反欺诈、流量欺诈、接口安全等问题，为企业风控提升攻防效率，保障企业在线业务健康发展。目前已合作腾讯、阿里巴巴、字节跳动、华为、百度、京东、招商银行、华泰证券、滴滴、拼多多、爱奇艺等300多家企业客户。

11月26日，永安在线（Ever.Security）宣布完成5500万元

近日，国内数字化领域第三方调研机构数世咨询正式发布2021年度《中国数字安全能力图谱》之应用场景安全篇。作为国内以黑灰产情报能力和攻防技术见长的创新型安全企业，永安在线入选“在线业务安全”领域创新者，成为以提供反欺诈情报能力入选的唯一企业，彰显出永安在线在业务安全领域的创新精神以及反欺诈情报能力获得业界普遍认可。以精准情报识别黑产，洞察黑产欺诈行为以攻促防，在网络安全攻防中始终强调感知能力的建设，只有看得见敌人，看得清敌人的动作才能组织起有效防御。永安在线成立至今持续专注于黑灰产情报能力建设，为各大互联网、银行、证券、保险提供反欺诈能力及服务。帮助企业及时的进行业务风险监控、预警、分析、溯源。目前已为阿里、百度、字节跳动、京东、拼多多、滴滴出行、快手、中信银行、安信证券、华为、VIVO、OPPO等企业提供业务安全反欺诈情报服务。目前，永安在线已经覆盖了业务安全完整生命周期，实现对业务的全程保护。从长期的持续监测感知未知风险，到业务异常初期发现流量变动追溯异常原因，再到寻根溯源，明确攻击路径，进而跟进策略效果，建立防守，最终回归持续性的监控，整个业务风险处理周期已实现闭环。情报能力释放更深价值，提供API安全管理更优方案在移动互联网高速发展的今天，各行各业纷纷加快数字化转型的步伐，企业所面临的攻防难点也进入到全新的层次。据Gartner预测，“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介”。永安在线作为创新永不止步的安全企业，也在长期关注着API安全问题。并且基于多年来在在黑灰产情报能力的建设，从情报挖掘出来的众多风险事件中发现，情报在API的安全防护上，有着天然的优势，能够实现API未知风险的前置感知和处理。因此，永安在线以精准的外部情报为基础，结合机器学习，构建出高准确度的风险检测模型，从而形成拥有API资产管理、API风险感知及溯源三大能力，具备误判率低、可用性高两大优点的API安全管控平台。通过将管控能力和攻防能力相融合，帮助企业建立起全局视角，集中分析API、准确识别API安全风险，达到内外兼修、攻防兼备的效果，全面保障企业每一个API的安全运行。目前，永安在线API安全管控平台已广泛应用于数据安全治理、护网行动支撑、新上线API安全测试、数据泄露事件追溯等场景。帮助在企业服务、金融、教育、电商等领域的众多企业实现API全生命周期的安全防护，深度保障API安全运行，助力企业业务获得平稳、高效增长。关于永安在线永安在线（Ever.Security）以黑灰产情报能力建设和攻防技术为核心，为企业提供业务反欺诈和API数据安全解决方案。通过业务风险监控体系、风险情报数据能力和丰富的黑产攻防经验，帮助企业解决账号安全、营销反欺诈、流量欺诈、接口安全等问题，为企业风控提升攻防效率，保障企业在线业务健康发展。目前已合作腾讯、阿里巴巴、字节跳动、华为、百度、京东、招商银行、华泰证券、滴滴、拼多多、爱奇艺等300多家企业客户。

FreeBuf共同发布，并受法律保护。未经允许不得擅自转载、摘编或利用其它方式使用本报告文字或观点，如需转载请联系永安在线。违反上述声明者，将追究其相关法律责任。导

Panorama）2020中国网络安全产业全景图》（以下简称CCSIP全景图）正式发布，永安在线同时入选“业务反欺诈”“威胁情报”两个细分品类。CCSIP

多个国家的技术和行业发展机遇和趋势，提供全球化、区域性和本地化的专业意见。在

Threat<u>Hunter</u>