数字化转型背景下的企业业务安全防护思考

一、背景：数字化转型背景下的业务安全形势

        随着信息技术深化高速发展，数字化转型进一步赋能国家、企业、个人，数字化便利、数字资产的价值不断提升，持续引发黑灰产、APT组织关注，窃取信息、爬取数据、业务篡改等业务安全问题已成为新的攻防焦点。

        由于攻防两端的信息不对等，防守方对黑产攻击手段及变化的了解不够深入，造成攻击发现处理滞后、周期长的局面。加之业务系统功能复杂，安全形势不容乐观，存在数据爬取、越权办理、恶意篡改等多种业务安全风险，业务安全防护的需求十分紧迫。

二、特点：有别传统攻击，业务安全类攻击防护难度较大

        1. 攻击无明显特征。

        针对业务安全的攻击有别于传统攻击行为，具体表现为不获取系统权限，不进行大量扫描，不具备明显恶意特征。

        2. 攻击流量难以发现。

        攻击流量隐藏在大量的正常业务流量中，占比较小，利用业务逻辑篡改等方式实现攻击，常见的防护工具、系统无法自动识别业务流量是否正常。

        3. 人工稽核工作量大。

        系统业务功能庞杂，迭代周期较短，而攻击方式广泛复杂，人工稽核存在时效性滞后、工作量大等问题，难以实现准确感知。

三、方案：运用数字化技术，实现精准识别自动处置

        1. 自动化工具防护。

        基于行为识别技术，针对恶意脚本、自动化工具进行防护，具备客户端反调试，请求令牌验证等功能，有效限制批量爬取、请求篡改等恶意行为。

        攻击者在检测、发现、尝试业务安全漏洞时，不可避免要使用各类自动化的工具，通过限制各类非浏览器的恶意工具脚本访问，极大的增加了攻击难度。

        个别情况下，可采用IP、用户白名单机制，进一步限制攻击流量。

        2. 请求精细化抓取。

        针对业务请求进行精细化抓取，覆盖浏览器指纹、操作系统指纹、鼠标轨迹、特定请求参数等信息。

        通过浏览器UA、操作系统类型、屏幕分辨率等信息，使用动态算法形成用户指纹信息，便于行为分析；通过鼠标点击、键盘事件、触摸事件等信息，进一步区分自动化工具和真实用户点击。

        3. 多维度模型检测。

        基于对请求日志数据分析，通过机器学习建立正常、异常模型，计算用户各个维度之间的关联性，通过对关联性的分析识别异常行为。

        通过对用户数据学习到正常用户的访问时长、时序、数据传输量、登录地点、IP等信息，通过AI算法进行正向学习，形成正常用户行为画像，如出现用户的相关数值反向关联，则怀疑为恶意用户。

        4. 定制化对抗策略。

        结合舆情、业务稽核、模型识别，建立细粒度的攻防对抗策略，精准拦截异常业务请求。

        如通过舆情发现，某业务接口访问量突增，存在信息泄露风险，通过模型识别，确定正常用户访问画像，进而对关键业务接口API用户单位时间调用次数设置阈值，超出阈值即判定恶意爬取行为，进行拦截。

四、思考：攻防对抗升级，技术层面需持续跟进提升

        数字化转型不断深化，大幅度提升了生产运营效率，进一步挖掘了数据资产价值，但随之而来的是业务安全风险的不断增大，无论是窃取用户数据、违规办理等，均可获得巨大收益，倍受黑灰产从业人员关注。

        黑灰产攻击产业链不断完善，广泛使用大数据、AI等信息技术，给业务安全防护带来巨大挑战。作为防守方，更要及时关注安全形势演进，了解新型攻击方式、攻防技术，运用数字化思维和技术，针对性的补强完善，确保系统业务安全。