freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

F5陈玉奇:AI如何智斗“羊毛党”
2021-01-08 17:08:23

数字化浪潮中,合规的压力,业务风险加持,投入重,安全建设似乎成了企业沉重的“包袱”,也成为安全厂商进入市场的障碍。

从盈利中心切入安全

其实,换个角度去解读企业安全建设的意义,或许更加豁然开朗。F5亚太区安全架构师陈玉奇提出一个观点:从成本中心走到盈利中心,从应用安全走到业务安全,感知可控,随需而动的应用。

企业安全可以分4大类:一是基础的安全需求;二是合规安全,从商业角度,合规安全有很大的市场,但会陷入价格战的无序竞争环境。三是事件安全,如富士康被勒索等事件的出现,导致企业会意识到非常强烈的安全需求。不过,无论是事件驱动还是合规驱动,对于许多企业来说,安全体系都是成本中心。

对于以盈利是根本商业属性的企业来说,更讲究投入产出比,所以,只有做业务的安全,才能把成本中心的安全体系变成了一个盈利中心。“业务安全需要找到企业的痛点,把他们的安全成本中心和安全不可衡量状态变得可衡量、可量化。”陈玉奇表示。显然,作为企业安全第四种形态,从业务安全出发,客户自身的主观建设驱动性会更强烈。

谁动了企业的“奶酪”

而具体到业务安全的类型可以分为多种,其中,反欺诈是重中之重。今年疫情+新基建设的大背景下,企业的数字化转型轰轰烈烈,许多传统的线下业务都转移到线上。开放的线上环境不仅带来了业务增长的新大陆,也成为了许多“羊毛党”的极乐世界。

据爱分析ifenxi在2019年报道的一组数据显示,与国内传统网络安全市场600多亿元的市场规模相比,黑灰产的规模早已达千亿元人民币,仅从业人员就超过180万,业务安全市场规模是传统网络安全市场的10倍,达数千亿之高。

一个令人忧虑的现实是:企业从广告、促销,用户投入等IT方面下了“血本”,但是收益却并没有想象中乐观。因为一些“看不见的手”已经瓜分了企业的获利。如何抵抗这些黑暗中的网络风险,确保企业业务安全?

设备指纹与闭环AI防欺诈引擎

设备指纹是行业内流行的解决方案之一。设备指纹是可以在用户无感知的情况下,记录设备“身份”的工具。当设备指纹发挥作用时,犯罪分子企图利用新设备登录账户就可以被轻易地发现,从而有效保护账户安全。传统的设备指纹,在生成设备指纹的时候通常会综合考虑手机型号、cookies、屏幕分辨率等因素。但这些信息其实也很容易被黑客拿到进行利用,如撞库等。

“安全是一个互相对抗的过程,一个解决方案不可能可以解决所有的问题。”提及设备指纹方案,陈玉奇认为随着面临的攻击环境更加复杂的情况下,对抗方案也需要基于过去的方法论推陈出新。顺应市场需求,F5提出设备指纹与闭环AI防欺诈引擎的设计思路。改引擎分为两部分:一是机器学习的训练模型,基于过去的一些行为数据和已知的恶意行为,训练出来一个模型快速去识别;二是人的介入,拥有专门的人力监控与修正团队。简而言之,该方案的核心是多维度的数据信息做深度融合,形成更精确的用户画像,以识别是否有欺诈行为。

首先,是在注册登录过程中的融合。F5认为,可基于设备指纹做更深度的分析,如把设备指纹和用户在设备上的访问行为、及网络数据及应用层数据综合,再利用AI进行风险识别。例如,企业的业务面向国内市场,但最近有很多来自国外的访问,这些异常可以通过AI模型与数据库里已知的恶意行为做对比,最后识别出欺诈者或欺诈行为。

不过,陈玉奇表示,在现实业务场景中,很可能出现识别出来的欺诈行为并不能解决客户的问题的现象。“安全是对抗过程,你变攻击者也会变,所以需要通过更多方式去迷惑他。 ”他以一个例子做说明:

如,在电商平台,一个用户会经历注册,登录,选择产品,加入购物车,最后买单,填写各种各样个人信息的流程。我们很可能在欺诈者登录的时候已经发现其风险,但并不能在其登录时就直接“一刀切”,进行阻断,这会让攻击者另辟蹊径。在如此状况下,可以引入一些虚假的信息给欺诈者,让他在整个流程过程中并不知道哪个点会出现问题,增加其欺诈成本。

从注册登录的角度看,综合维度的方式可以识别定义恶意机器人或说自动化的流量,但如果欺诈者本身就是合法的人,就会绕过注册登录的安全审查,无法跟踪其整个操作过程中的行为。此时的安全对抗就不能指望通过简单的方法100%解决问题,需要加入更复杂的维度,如访问历史累计的数据。

目前,一些企业也有部署类似逻辑的风控系统,但许多企业的风控模型训练数据都来自于自身数据。这种情况有一个弊端:攻击者想薅某个特定行业时,会伪造完全符合行业特性模型的数据。针对此问题,陈玉奇提出自己的想法:数据模型的打造还需要注入一些外在的其他维度,如:这个人在这家银行信誉没问题,但很可能在另一个第三方平台上曾有过不良记录值得参考。“当然,这个过程中,还需要共同探讨数据隐私、数据共享的问题,以及在行业属性的定义上做更多工作。”他说。

让攻防成为企业常态能力

众所周知,F5最早是做应用交付业务,保证所有的应用,安全、可靠、高速,这令其拥有深厚的业务理解能力。所以,可见的是设备指纹与闭环AI防欺诈引擎设计思路中不仅体现了前言的技术融合思路,还考虑到当下业务应用的落地实用性。

该方案大胆地加入了AI模型的分析能力,但是也毫不避讳地直面AI应用的短板。攻击者的主体是人,其特征是多变复杂的,这对目前的AI技术来说是一个很大的挑战。所以,F5强调,AI作为工具,以人作核心去应对多元化的攻击。而相应的,用AI做辅助工具,也可以弥补目前安全人才短缺的不足。“用工具去提升人的能力,同时我们希望有更好的工具去把攻防变成企业的常态化。”陈玉奇认为攻防不应该只是数月的演练,而应该成为企业的常态能力。

尽管看起来,F5的解决方案非常新颖,但是融合性的设计思路是否会导致企业部署困难?显然没有。据介绍,F5的产品服务拥有三横三纵的结构,从通用性的到部分定制的到全局定制的,从本地部署的自服务到完全托管均可提供。其中,陈玉奇表示希望在国内更多推动安全管理服务合作伙伴(mssp),帮助更多没有安全基础的企业进行安全建设。当然,这也正顺应了陈玉奇“让攻防成为企业常态能力”的愿景。

本文作者:, 转载请注明来自FreeBuf.COM

# 羊毛党
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑