業(yè)務(wù)安全藍(lán)軍測評標(biāo)準(zhǔn)白皮書（2024年版）

T E A ”T" 一、業(yè)務(wù)安全藍(lán)軍測評標(biāo)準(zhǔn) 6業(yè)務(wù)安全脆弱性評分(ISVS) 6ISVS評分的參考意義 8二、業(yè)務(wù)安全藍(lán)軍測評案例 13虛假安裝藍(lán)軍測評案例 13人臉識別繞過藍(lán)軍測評案例 15三、業(yè)務(wù)安全藍(lán)軍測評類型 20基礎(chǔ)測評 20周期測評 21行業(yè)橫評 21四、業(yè)務(wù)安全藍(lán)軍測評場景 23營銷活動作弊場景 23業(yè)務(wù)刷量場景 24廣告刷量場景 24人臉識別繞過場景 25附：攻擊效率指標(biāo)取值高低參考 27物料獲取效率 27技術(shù)對抗效率 29前言互聯(lián)網(wǎng)黑灰產(chǎn)成長至今，已形成了團(tuán)伙化、自動化、生態(tài)化、上下游嚴(yán)密配合的產(chǎn)業(yè)鏈網(wǎng)。當(dāng)前，企業(yè)在處理業(yè)務(wù)安全問題時往往面臨著以下挑戰(zhàn)：策略效果評估難：策略下發(fā)后，難以全面評估策略效果、及時發(fā)現(xiàn)黑產(chǎn)新的繞過手段等。OWASPTop1050%10%以下?？梢钥吹?，即使都是營銷活動場景，活動類型和規(guī)則不同，評估的目標(biāo)也會不同。2020脅獵人結(jié)合第一版標(biāo)準(zhǔn)落地過程中遇到的挑戰(zhàn)以及過去幾年在各行業(yè)多家客戶的業(yè)務(wù)安全藍(lán)軍實(shí)戰(zhàn)經(jīng)歷，對第一版標(biāo)準(zhǔn)進(jìn)行了修訂和更新，發(fā)布了《業(yè)務(wù)安全藍(lán)軍測評標(biāo)準(zhǔn)白皮書（2024年版）》。一、業(yè)務(wù)安全藍(lán)軍測評標(biāo)準(zhǔn)ISVS)（InteractionSecurityVulnerability是從攻擊者視角出發(fā)，ISVS計算方式：ISVS計算方式：ISVS=Max(攻擊效率AE*目標(biāo)達(dá)成率AR)AE(AttackEfficiency)注：關(guān)于攻擊效率指標(biāo)取值高低參考，詳見附件。AR(AchievementRate)AR1。100008000次，則目標(biāo)達(dá)成率為(8000/100000.8；如果是非定量的攻擊目標(biāo)，比如預(yù)期是繞過1，0；01以上兩個指標(biāo)各自評估出一個[01]ISVS[01]。ISVS下圖是XX產(chǎn)品面對五種攻擊方案時ISVS取值的散點(diǎn)圖分布：XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍測評結(jié)果ISVS評分的參考意義企業(yè)在進(jìn)行業(yè)務(wù)安全脆弱性評分(ISVS)時不是單純追求低分，而是從攻擊者視角，客觀反映出當(dāng)前業(yè)務(wù)安全的水位，及時暴露短板，并以此推動整改和治理。AE1）1000200500ISVS0.20.5[00.21]說明已經(jīng)失控，急需加強(qiáng)安全建設(shè)。以散點(diǎn)圖形式對可控區(qū)間和失控區(qū)間進(jìn)行直觀展示：XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍測評基線測評對象和預(yù)期目標(biāo)不變的情況下，ISVSISVS以散點(diǎn)圖形式不同階段ISVS評分進(jìn)行直觀展示：XX產(chǎn)品-業(yè)務(wù)安全藍(lán)軍縱向測評ISVS以散點(diǎn)圖來展示測評對象在行業(yè)內(nèi)的安全水位情況：XX行業(yè)-業(yè)務(wù)安全藍(lán)軍橫向測評二、業(yè)務(wù)安全藍(lán)軍測評案例測評對象：某社交應(yīng)用預(yù)期攻擊目標(biāo)：攻擊1周，每個攻擊方案平均每天成功完成2000次虛假安裝IMEIIDMac根據(jù)以上兩種攻擊路徑，制定出四種攻擊方案，如下：方案一：通過模擬器來偽造多臺手機(jī)設(shè)備；方案二：使用真實(shí)手機(jī)，并通過軟件改機(jī)的方式來偽造新設(shè)備；方案三：使用真實(shí)手機(jī)，并通過定制ROM改機(jī)的方式來偽造新設(shè)備；方案四：破解應(yīng)用接口協(xié)議，直接偽造安裝和啟動的接口請求。執(zhí)行攻擊并評估ISVS攻擊方案方案說明AEARISVS方案一該應(yīng)用具備較強(qiáng)的模擬器檢測能力，測試多款模擬器都無法正常啟動該應(yīng)用，即使根據(jù)黑灰產(chǎn)所掌握的方法刻意抹去模擬器特征也不能成功，因此攻擊效率AE取值為0，ISVS評分也為0。0/0方案二該應(yīng)用具備較強(qiáng)的前端對抗能力，測試多款改機(jī)軟件，均被應(yīng)用檢測出注入/HookAE0，ISVS評分也為0。0/0方案三ROMROM的設(shè)備，因此攻擊效率AE取值為0.5，最終平均1200率AR為00)=.IVS評分為.*.6=0.3。方案四雖然協(xié)議攻擊是黑產(chǎn)常見的攻擊方式，但是該應(yīng)用對接口協(xié)議做了加密，網(wǎng)絡(luò)抓包只能看到加密后的內(nèi)容無法直接進(jìn)行協(xié)議偽造；同時該應(yīng)用做了代碼保護(hù)，無法直接反編譯加密算法也無法直接調(diào)用加密函數(shù)。最終在高級逆向分析工程師投入一個月左右的時間才完成了協(xié)議算法的破解，這對于黑灰產(chǎn)來說技術(shù)對抗效率是比較低的，攻AE0.12000AR1，ISVS評分為0.1*1=0.1。0.110.1ISVSISVS0.3，同時可以給出評語：ROM方式會被黑產(chǎn)越來越多地使用，需要盡早進(jìn)行針對性防范。測評對象：某金融應(yīng)用預(yù)計攻擊目標(biāo)：成功繞過應(yīng)用的人臉識別，完成非本人的賬號登錄生成人臉視頻有兩種方式，分別是：CrazyTalkDeepFaceLab控制手機(jī)攝像頭播放人臉視頻有三種方式，分別是：拍攝電腦屏幕：在電腦上播放人臉視頻，手機(jī)攝像頭直接拍攝電腦屏幕；手機(jī)攝像頭劫持：購買黑灰產(chǎn)定制的過人臉手機(jī)，劫持?jǐn)z像頭的視頻流；云手機(jī)虛擬攝像頭：利用云手機(jī)的虛擬攝像頭功能，可以播放指定的視頻。因此一共組合出2*3=6種攻擊方案，如下：方案一：人臉活化+拍攝電腦屏幕；方案二：人臉活化+手機(jī)攝像頭劫持；方案三：人臉活化+云手機(jī)虛擬攝像頭；方案四：人臉替換+拍攝電腦屏幕；方案五：人臉替換+手機(jī)攝像頭劫持；方案六：人臉替換+云手機(jī)虛擬攝像頭。執(zhí)行攻擊并評估ISVS攻擊方案方案說明AEARISVS方案一使用人臉活化方式制作出來的視頻，無法通過檢測，因此方案一的目標(biāo)達(dá)成率AR取值為0，ISVS評分也為0。/00方案二同方案一/00方案三同方案一/00方案四攝像頭對著電腦屏幕拍攝，無法通過檢測，因此方案四的目標(biāo)達(dá)成率AR取值為0，ISVS評分也為0。/00方案五劫持?jǐn)z像頭并播放人臉替換后的視頻，可以通過檢測AR1。0.510.5但這種攻擊方案需要購買專門的過人臉手機(jī)，且不保AE取值為.IVS評分為(.5*1)=0.5。方案六云手機(jī)虛擬攝像頭播放人臉替換后的視頻，可以通過AR1。雖然云手機(jī)使用門檻不高，但該攻擊方式在測AR為0.2，ISVS評分為(0.2*1)=0.2。0.210.2ISVSISVS0.5，同時可以給出評語：像頭，均可以成功繞過檢測。一旦被黑灰產(chǎn)惡意利用，可能會給用戶帶來巨大的資產(chǎn)損失，因此需要盡早進(jìn)行針對性防范。三、業(yè)務(wù)安全藍(lán)軍測評類型當(dāng)前，業(yè)務(wù)安全藍(lán)軍測評主要有以下幾種類型：四、業(yè)務(wù)安全藍(lán)軍測評場景1、特定優(yōu)惠券批量獲取類活動測試項(xiàng)目：某平臺5/10/15元新人券獲取變現(xiàn)；預(yù)期攻擊目標(biāo)：1100測試項(xiàng)目：某平臺的老帶新拼團(tuán)活動；預(yù)期攻擊目標(biāo)：1小時內(nèi)完成30組拼團(tuán)，進(jìn)入發(fā)貨流程視為發(fā)起羊毛攻擊成功，考慮實(shí)體商品變現(xiàn)渠道前提下。3、助力邀請拉新提現(xiàn)類活動測試項(xiàng)目：某平臺邀請好友得現(xiàn)金活動；預(yù)期攻擊目標(biāo)：老號拉新模式拿到最高獎勵，且可以批量執(zhí)行，提現(xiàn)成功記為攻擊成功。此外還有幾點(diǎn)需要注意下：1、營銷活動可能出現(xiàn)在應(yīng)用中，也可能出現(xiàn)在小程序中或者H5頁面中，對于不同的端，黑灰產(chǎn)的攻擊效率也會不同；2、黑灰產(chǎn)攻擊營銷活動最終要通過某種渠道進(jìn)行變現(xiàn)，因此測評時可以根據(jù)客戶需求，將最終成功變現(xiàn)的數(shù)量作為攻擊目標(biāo)。1、刷訪問/點(diǎn)擊/播放量測試項(xiàng)目：某視頻網(wǎng)站指定視頻；預(yù)期攻擊目標(biāo)：110000測試項(xiàng)目：某社交平臺指定帖子；預(yù)期攻擊目標(biāo)：1天內(nèi)完成500次回帖，且不能被后端風(fēng)控識別為虛假刷量。1、限制大規(guī)模刷量通過測評來評估黑灰產(chǎn)是否可以通過群控、偽造協(xié)議等方式大規(guī)模制造虛假的廣告曝光量、點(diǎn)擊量等。2、對比渠道質(zhì)量ChatGPTAI五、業(yè)務(wù)安全藍(lán)軍測評流程1、溝通測試需求：雙方就測評對象和預(yù)期攻擊目標(biāo)等進(jìn)行溝通說明；2、藍(lán)軍測評小組輸出推薦測試項(xiàng)文檔：測評小組根據(jù)客戶需求輸出推薦的測試項(xiàng)及測試評估標(biāo)準(zhǔn)等；3、討論確定測試對象和預(yù)期攻擊目標(biāo)；4、簽訂合同及授權(quán)協(xié)議；5、實(shí)施測試；6、驗(yàn)收測試結(jié)果。附：攻擊效率指標(biāo)取值高低參考手機(jī)號獲取方式攻擊效率短信驗(yàn)證碼存在暴破或回顯等漏洞，導(dǎo)致可以隨便填寫手機(jī)號高通過黑灰產(chǎn)接碼平臺獲取的手機(jī)號可以進(jìn)行注冊、登錄和業(yè)務(wù)操作高通過黑灰產(chǎn)私密對接獲取的手機(jī)號可以進(jìn)行注冊、登錄和業(yè)務(wù)操作中只能使用真人在用的手機(jī)號進(jìn)行注冊、登錄和業(yè)務(wù)操作低低低使用查殺分離的方式，只有在黑手機(jī)號注冊的賬號進(jìn)行惡意業(yè)務(wù)操作的時候才進(jìn)行限制賬號獲取方式攻擊效率新注冊的賬號沒有任何限制，可執(zhí)行敏感業(yè)務(wù)操作如批量發(fā)帖、回帖等高新注冊的賬號無法執(zhí)行敏感業(yè)務(wù)操作，需要積累到一定的活躍度中可以使用機(jī)器養(yǎng)號的方式積累賬號的活躍度高無法使用機(jī)器養(yǎng)號，只能人工養(yǎng)號或購買真人賬號低賬號更換設(shè)備或地域進(jìn)行登錄時，無需進(jìn)行任何驗(yàn)證高賬號更換設(shè)備或地域進(jìn)行登錄時，需要進(jìn)行短信等驗(yàn)證中可以通過PS偽造營業(yè)執(zhí)照并成功注冊企業(yè)賬號高IP獲取方式攻擊效率無IP訪問頻率、常見登錄地域IP等風(fēng)控限制策略高使用代理IP、秒撥IP等方式可以繞過風(fēng)控中使用代理IP、秒撥IP等方式可以繞過風(fēng)控，但部分攻擊被識別或攔截中使用代理IP、秒撥IP等方式難以繞過風(fēng)控低設(shè)備獲取方式攻擊效率可以使用常見的模擬器來偽造出多臺設(shè)備高可以使用多開分身等工具來偽造出多臺設(shè)備高可以使用軟件改機(jī)的方式來偽造出多臺設(shè)備高可以使用定制ROM改機(jī)的方式來偽造出臺設(shè)備中可以使用硬件改機(jī)的方式來偽造出多臺設(shè)備低協(xié)議破解和偽造破解和偽造方式攻擊效率通過抓包工具截獲的可以直接進(jìn)行重放攻擊高通過常見的反編譯工具可以直接還原出協(xié)議請求的相關(guān)代碼高協(xié)議請求相關(guān)的代碼做了加固，破解難度低高協(xié)議請求相關(guān)的代碼做了加固，破解難度高；但可以直接調(diào)用相關(guān)函數(shù)中協(xié)議請求相關(guān)的代碼做了加固，破解難度高；且無法直接調(diào)用相關(guān)函數(shù)低前端對抗對抗方式攻擊效率可使用XPosed/LSPosed等常見框架注入應(yīng)用進(jìn)程進(jìn)行攻擊高可使用黑灰產(chǎn)魔改后的框架注入應(yīng)用進(jìn)程進(jìn)行攻擊中可使用注入系統(tǒng)進(jìn)程或服務(wù)的方式進(jìn)行攻擊中以上所有對抗方式都無法正常進(jìn)行攻擊低人機(jī)識別對抗對抗方式