黑产狂欢季，谁来拯救电商的业务风险？看动态安全出奇制胜！-安全-火龙果软件工程

黑产狂欢季，谁来拯救电商的业务风险？看动态安全出奇制胜！

来源:51CTO.com 发布于： 2016-12-16

1570 次浏览

阿里集团以过千亿的双十一骄人战绩拉开了一年一度狂欢购物季的序幕。从现在起直到春节期间，买买买和促销打折一直都是主旋律。众商家使出浑身解数，推出各式补贴和优惠红包，亮出种种招数吸引流量和消费者。然而，网络上总有一种黑洞一样的不法势力存在，目标直接对准了商家的行销补贴，你越补贴，他越吸食。整个促销季下来，辛苦策划的活动招来的却是一帮羊毛党，大把投入的人民币却没能带来真实的用户流量，少则数十万多则上千万的行销资源打了水漂，还要面对消费者指责活动欺骗。面对无孔不入的黑产分子、流失的行销资源和受损的商誉，电商们苦不堪言，有口难辩。

日渐膨胀的黑色产业链

对于电商平台来讲，网络之上的购物盛宴有多狂欢，隐匿网络之下的黑色产业链就有多疯狂!这不是耸人听闻。根据电商自己的统计，节日促销期间60%的网络流量来自自动化攻击而不是正常的访问流量。根据中国互联网络信息中心发布的最新数据显示，2015年黑产收入达到千亿级级别，2015年全球网络犯罪的年成本为3万亿美元。赛门铁克发布的第21期《互联网安全威胁报告》(ISTR)中指出，2015年网站每天会遭遇超过100万个网页攻击，因管理员未能及时安装最新补丁，约75%的网站存在安全漏洞，这使得攻击者得以不断利用网站中的漏洞来感染更多用户。

在利益的驱使下，黑色产业像毒瘤一样扩散开来。不法分子利用黑客技术轻而易举地入侵相关网站的服务器或者站点，通过盗号、工具贩售及数据买卖等方式获取不法所得，绞尽脑汁地“榨取”着商家的利益。在众多行业中，电商以人多、钱多的特点成为黑产分子的首选目标，每逢电商节日促销之时，就是黑产分子兴风作浪的觊觎之际。黑产分子们巧取豪夺的手法不外乎以下几种。

窃取和倒卖数据库信息：通过拖库盗取账号及密码等敏感数据等，在攻破数据库后，转手进行倒卖，这常见的黑客赚钱途径。

撞库：黑客通过各种渠道获得大量注册用户名和密码数据后，利用自动化程序对电商网站实施撞库攻击、账号盗用，导致用户信息及资金蒙受巨额损失。

黄牛党：紧盯电商平台的打折、秒杀、赠送、抵用券等促销活动，活动一旦上线，职业黄牛团伙就会利用软件将其秒杀，再高价售出，商家投入的大量资源和资金，结果往往成为黄牛们的分食盛宴。

“薅羊毛”:羊毛党们在网上刷取优惠活动资源，凡有活动就薅，不计风险，混迹于电商、外卖、网贷等各大平台上，通过获得诸多的免费机会，再以低于市场价的价格转卖给需要的人，从中牟利。一些小平台在一次优惠活动中就能够直接被薅干，进而破产。

其实不需要懂得多少黑客技术，不法分子就能在黑色产业链中分得一杯羹。根据Gartner报告，到2020年，全球将有30%的企业被黑产从业者或者黑客直接入侵。黑产不仅令企业蒙受了巨大的经济损失，更让企业的商誉、信誉扫地。抗击黑产，已经是包括电商在内的所有企业必须面对的首要任务。

传统的网络安全被动乏力

在浩浩荡荡的黑产分子面前，传统的网络安全手段遭遇了前所未有的滑铁卢，显得被动又滞后。基于特征检测的安全技术曾经是基本的安全理念。但是当前这一理念在各种自动化的海量攻击面前失去了效力，攻击者会研制使用专门工具，针对特定目标发起攻击，防护者并没有机会提前在别的地方见识过这种攻击方法，因此根本无法提前提取出特征，而且很多专门的攻击程序，使用一次以后也不会再用了。

“黑名单”和“白名单”是传统网络安全另外常用的方法。通过利用“黑名单”或者“白名单”类型进行筛选，以减少用户风险。不过对用户网络之外的整个世界进行描述本身就是一件困难和不完善的事情，“黑名单”和“白名单”根本无法对付隐蔽并且数目庞大的羊毛党和黄牛党的攫取。对于“薅羊毛”、“刷单”等不法行为，现有的安全技术不能将其从正常的访问流量当中区别开来，也不能针对正常的交易过程提供保护。

此外，传统的安全手段对个人隐私数据保护不利，攻破相关数据库造成信息泄露的事件屡屡发生。一个交易过程中的各种数据，如账号信息、密码信息、手机号码、银行信息等，只要有利用价值，都会被黑客盯上，从而成为被窃取的目标，并且很快得逞。

对付黑产，电商急需安全新思路

庞大的用户群体和大量的现金流动让电商被网络攻击、黑客入侵、恶意刷单等不法行为步步紧逼;尤其在节日促销的重要节点上，电商面临的挑战将更加突出和严峻。面对这样的行业特点和严苛需求，电商平台不仅要在业务层面保护自己的行销资源不被恶意侵占，还要保护用户的数据不被窃取，保护每一个交易链条不被篡改。针对低等级羊毛党群体，电商只需要调整一下活动规则就能防住，但是对付高级职业刷客和专业黑客，电商平台就得借助全新的安全技理念和技术，通过更加精准而专业的安全技术加以防范了。

作为业界最前沿的互联网动态安全保护解决方案提供商，瑞数信息( River Security)提供全球领先的主动、动态防护安全技术，首创的“动态安全”主动防御理念可以有效抵御各类自动化攻击或模拟合法操作的交易欺诈行为，改变了长期以来“攻击易、防守难”的被动局面，让黑客完全陷入被动，让防御变得主动、高效、可靠、简单。

瑞数信息打造的动态安全产品以‘先发制人，掌握先机’的防护哲学彻底颠覆攻防态势，大幅提升黑客针对企业门户的攻击难度，包括撞库、薅羊毛、短信轰炸、扫描攻击、刷评论、刷下载量、假百度爬虫等，有效保护了商家的促销活动和促销收益。同时，通过大数据分析，瑞数动态安全可以帮助企业透视网站的安全风险，发现更多的安全威胁与攻击，并根据网站安全状态部署相应的防护策略，为企业在线业务提供全程安全防护。

作为国内第一家专注于动态安全的厂商，瑞数信息动态安全系统(RAS)会架设在web服务器与终端之间，通过动态封装、动态验证、动态混淆、动态令牌四大技术功能来实现在一次交易过程中对交易环境和业务数据的主动防护。

动态封装，让攻击者无从下手!对网页底层代码做动态封装，隐藏攻击入口，升攻击难度。—— RAS 每次都采用不同的封装算法，将在发起访问请求时对网页底层代码的动态加密封装，对试图扫描漏洞的攻击者隐藏攻击入口。

动态验证，让职业刷客无工具可用!运行环境验证，有效甄别“人”还是“自动化”攻击，打击自动化攻击的有效工具。—— RAS 通过对个人PC和移动设备的指纹采集，以及对主流浏览器的属性和环境变量进行超过16万种组合的随机抽取，来验证客户端的合法性，识别机器人并提升攻击者使用自动化工具冒充合法客户端的难度。

动态混淆，杜绝了交易篡改!对客户端敏感数据进行混淆，保护数据传输安全，保护终端请求内容及交易内容。——在交易过程中， RAS使用一次性的混淆算法与密钥组合，对终端请求内容(cookie、url、表单等数据)进行动态混淆加密，以防止通过中间人攻击进行的请求伪造或窃听/篡改交易内容。

动态令牌，保护正常交易!一次性动态令牌，确保执行正确的业务逻辑，保障业务逻辑正确运行。 RAS 通过对动态令牌合法性的校验，来防止攻击行为的发生。

当前，瑞数信息RAS系统部署在Top 10的电商平台中，平均每天可阻挡高达1200万个恶意交易，以及4500万个交易欺诈行为。

购物季给电商的几点安全忠告

瑞数信息建议电商认清黑产的危害和发展趋势，针对黑产逐步从无序、粗暴转向“团伙化、专业化、碎片化、众包化”的态势，从网站架构、业务风控以及网络安全等技术入手，通过制定相应的安全防范规则，为平台用户制作全流程、全方位的风险画像，对黑产做到“知己知彼”，主动将其“扼杀”在萌芽时期。此外，借助第三方安全厂商的创新动态安全解决方案，可以让电商更有效率的阻挡黑产，把更多资源投放在电商的核心业务。只有积极主动地采取有力的措施，才能杜绝黄牛党和羊毛党,才能真正把优惠和福利传递给消费者，实现业务的良性发展。

1570 次浏览