小盾安全：“业务蓝军”的建设思考

蓝军这个概念，军事领域早已有之，指的是在部队模拟对抗时，专门成立一个扮演假想敌的部队（蓝军），专业化的学习模拟外军的思维、攻击方式，并与我方正面部队（红军）进行对抗性演练。

网络安全红蓝对抗的概念也源自于此，通过开展APT高级持续性威胁攻击演习来全方位检验企业的安全稳健性和威胁监测及响应能力。红军作为防守方，通过防护策略、攻击监测、应急处置等手段来保障企业安全，而蓝军作为攻击方，以发现安全漏洞，获取业务权限或数据为目标，利用各种攻击手段，试图绕过红军层层防护，达成既定攻击目标。

随着互联网的快速发展，尤其是移动互联网的大面积普及，黑灰产也快速滋生蔓延，导致各类业务欺诈事件层出不穷。目前，国内黑产成员超过200万人，黑产团伙之间已经形成了相互分工、紧密合作的产业生态，黑产整体呈现出分工专业化、团伙组织化、全网流窜化等趋势特征，欺诈人员往往具备批量设备攻击能力，且善于利用工具伪装绕过业务检测，给线上业务正常运行带来极大风险和挑战。

小盾安全专家介绍，网络安全早已不仅仅是底层网络技术之间的攻防，面向业务层的风险策略攻防重要性正在愈加凸显，基于大的行业背景下，“业务安全蓝军”应运而生，相比于传统蓝军主要面向网络安全领域通过攻击服务器获取数据，“业务蓝军”的目标和手段均有所不同，区别在于业务蓝军攻击对象为客户端及业务风控系统，主要通过掌握账户权限的方式来获取业务层的收益。

“业务蓝军”—— 刚需奢侈品

熟悉风控行业的同仁们基本都有个共识，最大的风险，就是当下未知的风险。所以，几乎所有的甲方风控业务人员做梦都希望有个专属的“哆啦A梦”，在风险爆发前就提前告诉“大雄”。从这个层面来讲，知己知彼，料敌于先的“业务蓝军”是每个企业的刚需必备。然而，现实是残酷的，要想做到这一点，又是何其艰难。

让我们简单看一下某大厂的业务蓝军招聘JD：

简单来讲，要做好业务蓝军，攻防技术、黑产对抗经验、业务策略这些技能树最好都一一点亮，而实际生活中这种人才实在太少，以至于这些头部大厂也只能退而求其次，以“符合以下一个或多个条件”的标准来组建团队。目前，业内比较知名的业务蓝军团队大都来自于一线互联网企业，且业务蓝军在业内呈现出两极分化的态势，除了头部互联网企业以及个别资深业务安全厂商外，其它金融机构、中小型互联网公司则鲜有能力搭建起自己业务蓝军团队。

小盾安全“业务蓝军”

小盾安全作为行业领先的业务安全品牌，拥有业内顶尖的业务安全团队，成员由业内顶尖的情报专家、安全产品专家、黑产研究专家组成，拥有数十人的专业大数据风险咨询团队，专家及数据工程师占比达80％以上。而这其中，就有这么一只神秘而强大的业务蓝军团队，今天，就让我们揭开这层神秘面纱，看看小盾安全业务蓝军提供哪些服务。

1、业务流程攻击/复现

基于具体业务场景出发，针对目标应用的一个或多个业务场景进行全流程攻击测试，包括但不限于注册、登录、开户、交易、支付、订单、申请等。攻击过程中，将综合运用黑产物料资源、欺诈工具、策略尝试、协议破解等各类手段，完成既定业务攻击目标。攻击完成后以分析报告和专业培训等方式，复现具体攻击对抗过程，并针对性提供优化建议。

营销活动攻击示例

2、黑产工具全面测试

针对市面上常见的以及目标应用特有的改机、多开、群控、模拟器等黑产工具，进行攻击测试，获取账户权限的同时进行指定场景的攻击测试。

黑产工具包括但不限于越狱、模拟器、虚拟机环境、HTTP代理、VPN代理、模拟地理位置、hook、注入、反越狱检测插件等。

小盾蓝军团队不仅实时掌握市面上最新的各类黑产工具动态，同时也搭建起了一套功能强大的群控系统，基于这一强大的系统，能够快速利用各类工具脚本进行攻击尝试，验证企业的机器识别、安全防护能力。

3、终端防护（设备指纹）破解

设备指纹作为底层的基础风控工具，已经成为各家的风控标配，业务蓝军支持针对集成的设备指纹SDK进行攻击测试，通过破解客户现有设备指纹信息，获取指纹采集参数，破解相关加密算法，完成设备指纹的伪造攻击。

攻击完成后支持提供详细采集参数文档、可复现的加密算法代码、攻击过程详细说明及分析报告。

4、业务蓝军服务整体输出

图 ：蓝军服务输出

服务分析报告：针对整个测试过程中涉及的业务现状评估、测试过程说明、现存业务漏洞等内容提供详尽的报告说明；

黑产实战演练：针对黑产攻击全流程进行现场培训演练，协助业务及科技人员直观熟悉整个黑产模式及手法；

攻击源码及黑样本：提供整个攻击的源代码及全量黑样本，有助于事后分析及针对性优化建模；

优化建议方案：针对现有风险点，从业务安全全流程角度提供专业化的优化咨询方案

目前，小盾安全业务蓝军团队已深入服务多家业内头部企业，基于高度互信的基础上提供专业的咨询服务，通过真实业务环境下的模拟攻击，一针见血地指出企业现有风控体系的薄弱点并给予提升建议和指导，大幅提升企业客户的黑灰产对抗经验和能力。

在“手把手”帮助客户掌握最新黑产玩法的同时，小盾安全还以一场场深入浅出的黑产实战讲座，为共建行业安全体系，对抗黑灰产贡献一份坚实的力量。

结语

安全的本质在对抗，对抗的本质在攻防两端能力较量，但攻防从来都是不对等的，攻击方优势远大于防御方，蓝军的存在就是帮助消灭不对等。当下，业务蓝军发展仍面临着大规模、多场景、海量节点的挑战，实际业务中普遍存在业务场景太多测试不过来、攻击规模上不去、攻击规模上去了调整能力跟不上等问题，需要进一步平台化建设攻击能力，提升智能化攻击能力。

作为行业先行者，小盾安全将长期致力于安全攻防技术的持续跟踪研究，为行业提供最优质的风控产品及服务。

声明：本文仅作为知识分享，只为传递更多信息，不构成任何投资建议，任何人据此做出投资决策，风险自担。