介绍
BREAK 是英文“Business Risk Enumeration & Avoidance Kownledge”的缩写,是一个开放式“业务风险枚举与规避知识”框架。该框架通过对各种业务风险进行分类、介绍与枚举,为使用者提供了一个完整的业务风险全景图,并对业务规避风险、提升能力提供了规避知识。
背景
随着信息安全能力对业务的覆盖与落地,以及业务对安全需求的加深,如果安全还是单单停留在网络安全范畴,仅仅是提前发现和修复各种漏洞,显然是无法保证业务正常的安全运营的,也无法满足业务安全的更高需求。
为此,我们根据多年以来对业务安全的理解和积累,推出 BREAK – “业务风险枚举与规避知识框架”,旨在为企业蓝军在开展业务安全评估过程中提供指导和依据,同时框架中的业务风险规避知识也为安全能力建设、业务安全运营、风控能力提升提供指引。
方法
框架整体按照:风险维度、风险场景、风险点的划分原则,框架包含若干风险维度,每个风险维度包含若干风险场景,每个风险场景包含若干风险点。
风险维度指代看待风险的不同角度,目前包含:业务维度、内容维度、身份维度和对抗维度。其中业务维度包含:营销风险、交易风险、游戏运营风险;内容维度包含:用户内容风险和违规引流风险;身份维度包含:身份风险和盗号变现风险;对抗维度包含身份对抗风险、设备对抗风险和非法请求风险。
目前框架共收集和整理风险点68个,后续会根据情况和反馈进行动态添加、升级或调整。每个风险点由风险编号、风险标题、风险描述、攻击描述、攻击复杂度、风险影响、规避手段和参加资料组成。风险编号通过 R00xx 的方式来进行唯一编号(效仿Mitre ATT&CK),以便后期交流和情报传递。而攻击描述可以指引企业蓝军更好地进行安全能力评估,规避手段可以帮助企业红军或业务风控来加强安全能力建设,以降低业务风险。
需要注意的是: 业务风险和漏洞不是一回事情。一般来说漏洞是由于业务编码的缺陷导致的,可以通过修改代码去除缺陷来修复漏洞;而业务风险很大程度上并不是由编码缺陷造成的,只是攻击者对正常业务逻辑的一种非预期的利用。也因此,在大部分情况下,并不能完全消除风险,只能将风险降低到一定的可接受范围。所以并不一定可以通过直接修改代码来修复漏洞,通常业务风险需要外挂安全能力、构造风控模型来减缓攻击、降低攻击ROI或缩小攻击面。
风险列表
目前版本的全部风险列表如下(详细资料请参考 BREAK 框架):
| 风险编号 | 风险标题 |
|---|---|
| R0001 | 流程自动化 |
| R0002 | 卡券枚举 |
| R0003 | 秒拍出价 |
| R0004 | 拍卖狙击 |
| R0005 | 营销活动作弊 |
| R0006 | 批量小号作弊 |
| R0007 | 虚假裂变 |
| R0008 | 广告欺诈 |
| R0009 | 广告引流 |
| R0010 | 团伙代充 |
| R0011 | 账号倒卖 |
| R0012 | 游戏外挂/脚本 |
| R0013 | 批量退款 |
| R0014 | 恶意占库存 |
| R0015 | 恶意差评 |
| R0016 | 刷量刷榜 |
| R0017 | 虚假交易 |
| R0018 | 干扰搜索结果 |
| R0019 | 刷单 |
| R0020 | 文本内容风险 |
| R0021 | 图片内容风险 |
| R0022 | 音频(流)内容风险 |
| R0023 | 外部链接风险 |
| R0024 | 视频(流)内容风险 |
| R0025 | 恶意挖墙脚 |
| R0026 | 违规商品 |
| R0027 | 经营数据盗爬 |
| R0028 | 敏感数据泄露 |
| R0029 | 验证码恶意消耗 |
| R0030 | 批量注册 |
| R0031 | 撞库攻击 |
| R0032 | 凭证破解 |
| R0033 | 密码喷射 |
| R0034 | 自动化养号 |
| R0035 | 凭据复用 |
| R0036 | 多因素破解 |
| R0037 | 第三方账号聚合 |
| R0038 | 登录扫码欺诈 |
| R0039 | CC攻击 |
| R0040 | 撞卡攻击 |
| R0041 | 支付卡破解 |
| R0042 | 盗卡盗刷 |
| R0043 | 黑卡支付 |
| R0044 | 仿冒转账 |
| R0045 | 积分盗刷 |
| R0046 | 未成年人识别对抗 |
| R0047 | 人机识别对抗 |
| R0048 | 人脸识别对抗 |
| R0049 | 代登录、代下单 |
| R0050 | 风险设备识别对抗 |
| R0051 | 逆向分析 |
| R0052 | HTTP请求分析 |
| R0053 | 虚拟设备对抗 |
| R0054 | 恶意退货 |
| R0055 | 低价购风险 |
| R0056 | 虚假好评 |
| R0057 | 退货造假 |
| R0058 | 闪退套利 |
| R0059 | 恶意拒收 |
| R0060 | 洗钱/诈骗 |
| R0061 | 手机二次号 |
| R0062 | 信用卡/借款套现 |
| R0063 | 实时评论广告引流 |
| R0064 | 拆单套利 |
| R0065 | 恶意索赔 |
| R0066 | 消息骚扰 |
| R0067 | 恶意客诉 |
| R0068 | 权益滥用 |
规避手段
目前版本的全部规避手段列表如下(详细资料请参考JDArmy BREAK框架):
| 编号 | 标题 |
|---|---|
| A01 | 人机识别挑战 |
| A02 | 接口签名 |
| A03 | 爬虫识别 |
| A04 | 频率限制 |
| A05 | 数量限制 |
| A06 | 恶意内容识别 |
| A07 | 多因素验证 |
| A08 | 增加负载 |
| A09 | 时间限制 |
| A10 | 异常环境识别 |
| A11 | 退出登录态 |
| A12 | 强制改密 |
| A13 | 访问端代码混淆 |
| A14 | 反调试 |
| A15 | 风控策略 |
| A16 | 威胁情报 |
| A17 | 身份授权判断 |
| A18 | 身份认证 |
| A19 | 身份行为审计 |
| A20 | 身份处罚策略 |
| A21 | 终端标记 |
| A22 | 协议加密 |
| A23 | 生物特征识别 |
协作 & 贡献
本框架采用JSON格式进行了系统描述,详见“/src/i18n/zh-CN/BREAK.json”文件,其中:
风险维度放于“riskDimensions”中,并通过其内的“riskScenes”来划分场景;
风险场景放于“riskScenes”中,并通过其内的“risks”来划分风险;
风险放于“risks”中,并通过其内的“avoidances”来承载规避手段;
规避手段放于“avoidances”中。
各协作者可以通过直接修改 BREAK.json 文件来与我们进行该系统框架的协作开发。亦可通过在github上提issue来给我们提供意见或建议。
链接
-
框架地址:https://break.jd.army/
-
Github:https://github.com/JDArmy/BREAK
?点击原文查看知识框架
原文始发于微信公众号(梦之光芒的电子梦):隆重发布:BREAK业务风险枚举与规避知识框架v0.1.0
