隆重发布:BREAK业务风险枚举与规避知识框架v0.1.0
2022-10-31 16:44:45 Author: JDArmy(查看原文) 阅读量:13 收藏

介绍

BREAK 是英文“Business Risk Enumeration & Avoidance Kownledge”的缩写,是一个开放式“业务风险枚举与规避知识”框架。该框架通过对各种业务风险进行分类、介绍与枚举,为使用者提供了一个完整的业务风险全景图,并对业务规避风险、提升能力提供了规避知识。

背景

随着信息安全能力对业务的覆盖与落地,以及业务对安全需求的加深,如果安全还是单单停留在网络安全范畴,仅仅是提前发现和修复各种漏洞,显然是无法保证业务正常的安全运营的,也无法满足业务安全的更高需求。

为此,我们根据多年以来对业务安全的理解和积累,推出 BREAK - “业务风险枚举与规避知识框架”,旨在为企业蓝军在开展业务安全评估过程中提供指导和依据,同时框架中的业务风险规避知识也为安全能力建设、业务安全运营、风控能力提升提供指引。

方法

框架整体按照:风险维度、风险场景、风险点的划分原则,框架包含若干风险维度,每个风险维度包含若干风险场景,每个风险场景包含若干风险点。

风险维度指代看待风险的不同角度,目前包含:业务维度、内容维度、身份维度和对抗维度。其中业务维度包含:营销风险、交易风险、游戏运营风险;内容维度包含:用户内容风险和违规引流风险;身份维度包含:身份风险和盗号变现风险;对抗维度包含身份对抗风险、设备对抗风险和非法请求风险。

目前框架共收集和整理风险点68个,后续会根据情况和反馈进行动态添加、升级或调整。每个风险点由风险编号、风险标题、风险描述、攻击描述、攻击复杂度、风险影响、规避手段和参加资料组成。风险编号通过 R00xx 的方式来进行唯一编号(效仿Mitre ATT&CK),以便后期交流和情报传递。而攻击描述可以指引企业蓝军更好地进行安全能力评估,规避手段可以帮助企业红军或业务风控来加强安全能力建设,以降低业务风险。

需要注意的是: 业务风险和漏洞不是一回事情。一般来说漏洞是由于业务编码的缺陷导致的,可以通过修改代码去除缺陷来修复漏洞;而业务风险很大程度上并不是由编码缺陷造成的,只是攻击者对正常业务逻辑的一种非预期的利用。也因此,在大部分情况下,并不能完全消除风险,只能将风险降低到一定的可接受范围。所以并不一定可以通过直接修改代码来修复漏洞,通常业务风险需要外挂安全能力、构造风控模型来减缓攻击、降低攻击ROI或缩小攻击面。

风险列表

目前版本的全部风险列表如下(详细资料请参考 BREAK 框架):

风险编号风险标题
R0001流程自动化
R0002卡券枚举
R0003秒拍出价
R0004拍卖狙击
R0005营销活动作弊
R0006批量小号作弊
R0007虚假裂变
R0008广告欺诈
R0009广告引流
R0010团伙代充
R0011账号倒卖
R0012游戏外挂/脚本
R0013批量退款
R0014恶意占库存
R0015恶意差评
R0016刷量刷榜
R0017虚假交易
R0018干扰搜索结果
R0019刷单
R0020文本内容风险
R0021图片内容风险
R0022音频(流)内容风险
R0023外部链接风险
R0024视频(流)内容风险
R0025恶意挖墙脚
R0026违规商品
R0027经营数据盗爬
R0028敏感数据泄露
R0029验证码恶意消耗
R0030批量注册
R0031撞库攻击
R0032凭证破解
R0033密码喷射
R0034自动化养号
R0035凭据复用
R0036多因素破解
R0037第三方账号聚合
R0038登录扫码欺诈
R0039CC攻击
R0040撞卡攻击
R0041支付卡破解
R0042盗卡盗刷
R0043黑卡支付
R0044仿冒转账
R0045积分盗刷
R0046未成年人识别对抗
R0047人机识别对抗
R0048人脸识别对抗
R0049代登录、代下单
R0050风险设备识别对抗
R0051逆向分析
R0052HTTP请求分析
R0053虚拟设备对抗
R0054恶意退货
R0055低价购风险
R0056虚假好评
R0057退货造假
R0058闪退套利
R0059恶意拒收
R0060洗钱/诈骗
R0061手机二次号
R0062信用卡/借款套现
R0063实时评论广告引流
R0064拆单套利
R0065恶意索赔
R0066消息骚扰
R0067恶意客诉
R0068权益滥用

规避手段

目前版本的全部规避手段列表如下(详细资料请参考JDArmy BREAK框架):

编号标题
A01人机识别挑战
A02接口签名
A03爬虫识别
A04频率限制
A05数量限制
A06恶意内容识别
A07多因素验证
A08增加负载
A09时间限制
A10异常环境识别
A11退出登录态
A12强制改密
A13访问端代码混淆
A14反调试
A15风控策略
A16威胁情报
A17身份授权判断
A18身份认证
A19身份行为审计
A20身份处罚策略
A21终端标记
A22协议加密
A23生物特征识别

协作 & 贡献

本框架采用JSON格式进行了系统描述,详见“/src/i18n/zh-CN/BREAK.json”文件,其中:

风险维度放于“riskDimensions”中,并通过其内的“riskScenes”来划分场景;

风险场景放于“riskScenes”中,并通过其内的“risks”来划分风险;

风险放于“risks”中,并通过其内的“avoidances”来承载规避手段;

规避手段放于“avoidances”中。

各协作者可以通过直接修改 BREAK.json 文件来与我们进行该系统框架的协作开发。亦可通过在github上提issue来给我们提供意见或建议。

链接

  • 框架地址:https://break.jd.army/

  • Github:https://github.com/JDArmy/BREAK

🔽点击原文查看知识框架


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0ODI2NjUzMQ==&mid=2247484076&idx=1&sn=ecc4622d4ad47afa7dcd6b34873b4bc3&chksm=c36b71e0f41cf8f6e3af65ae39a5a499cbc88d84684230b809c70a2c6d188b0db82f73998299#rd
如有侵权请联系:admin#unsafe.sh