“2020北京国际金融安全论坛”在北京召开,北京知道创宇潘少华表示,互联网金融业务开展的时候,尤其是越来越多应用业务场景的出现,以前是通过线下人工能够审核的问题,现在我们全部通过线上来举行,因为以保险为例,我们发现越来越多的身份盗用,或是经过团伙组织的,包装得很完美的,比如说一些中小微企业,或者是一些个人信息,金融保险产业是原来的数据风控手段的覆盖能力越来越弱了。
演讲实录:
潘少华:我来自北京知道创宇,是一家专注于云安全和网安全的公司,我自己是从2000年左右开始对网络安全比较感兴趣,这些年一直负责相关的黑客追踪和大数据分析这一块儿。在我们的网络安全的工作中,我们越来越发现,以前我们传统对所谓的黑客也好,网络上的黑产也好,曾经他们是盗个账号,随着互联网发展,尤其是互联网金融,互联网资产的不断拓展,我们发现传统的网络安全和金融安全中间的很多交界地带越来越多。
我们成立于2007年,主要是做云安全服务商,我们的客户包括政府机构,公安部,央行,还有网信办等等,其次是金融机构,包括很多央企,也都是服务的对象。我们60-70%的人员是纯做安全技术研究和开发的。
我们其中最主要的一块业务是做这个事情,我们同时保护了国内的90万家网站,包括像公安部等等很多网站都在里面,通过我们的系统实时在防护,针对这90万个网站所有各种类型的攻击,不同颜色代表不同的攻击类型,最开始是想防御黑客,他可能是来DDos一下,通过流量攻击,让这个网站无法访问,2017年九四期间,很多黑客组织发起了针对金融机构的流量攻击,导致网站没法打开,也有一些是薅羊毛,做业务上的攻击,管理上的风控漏洞,有一些后门,进去想偷账号,想窃取金融资产,但是这个比重里面,越来越地出现黑灰产的,薅羊毛,也可能是骗贷,围绕金融安全本身的攻击风险。
这个也是我们一直关注的,作为网络安全企业,围绕金融安全这个领域,我们是不是有一些比较独特的地方,与在座的传统金融机构,金融科技公司所不一样的地方。在过去这几年间,基于我们的数据能力,本来我们也是服务于工信部的12321等平台,通过安全联盟积累了各种各样的黑名单数据,黑灰产数据,主要是黑产作恶涉及到的资源,现在大家都能理解黑客薅羊毛,或者我要去骗贷,首先我要搞一套假的身份资料,需要一套假的,模拟过的手机,掌握业务风控的规则。互联网金融业务开展的时候,尤其是越来越多应用业务场景的出现,以前是通过线下人工能够审核的问题,现在我们全部通过线上来举行,因为以保险为例,我们发现越来越多的身份盗用,或者是经过团伙组织的,包装得很完美的,比如说一些中小微企业,或者是一些个人信息,金融保险产业是原来的数据风控手段的覆盖能力越来越弱了。仅仅以薅羊毛为例,这是目前我们介入到的业务分析领域里面最初级的情况,即便到今天,经过警方这么多年的打击,还是非常有意思的地带,我们在去了很多江苏、广东的地区,我们以业务交流的名义去实地考察,有金融机构的活动拉新了互联网的保险,市场启动的经费怎么投入,最经常遇到的,几千万的资金我们一晚上都花完了,拉来了多少活跃用户,实际上背后都是这种情况,最麻烦的是背后的规模化产业分工越来越精细了,曾经我有一些资源,找人搞来了一堆银行卡,一堆手机卡,现在不需要掌握自己的卡,不需要买那么多的手机卡,不需要自己搞那么多的手机,所有的一切都有专门的人给你提供专门的服务。并且这种团伙之间相互是做好业务隔离的,因为我提供接码服务,接短信验证码,有可能电商、保险各个行业都会涉及到,当我们协助公安机关立案追溯的时候,很多证据链,很多信息是会交叉在一起,很难进一步往下弄。
仅仅以羊毛党为例,实际上还远远不止,注册环节,涉及到了银行卡,猫池,IP代理,我们跟很多金融机构一起合作,包括电商,我们发现,我们针对手机号的识别,如果纯粹基于我们自己的业务数据,永远是滞后的,我们能够识别出准确率,或者是回溯的时候,也能跑出非常好的模型,唯一的问题是,一旦新的黑产作恶手段出现了,新的骗贷模型出现了,我们对这个事完全是没有感知的,等到我们发现的时候,一晚上几千万的经费就已经损失掉了。
同样的,涉及猫池的问题,背后一整套养号的,号商的,最麻烦的是下游产业链里面,猫池同时涉及到广告营销,涉及到诈骗,涉及到黄赌毒的内容,所有残杂在一起,即使是我们专业的网络安全公司,配合警方调查的时候,单个点都是很难突破的。
以我们在做的一个工作为例,我们这几年一直做暗网黑产情报的监测,目前为止我们做得是国内最好的,2018年,这是一些旧的例子,无论是薅羊毛,无论是骗贷,无论是黄赌毒,或者是诈骗,这种信息泄露,这种比例是最高的。我们也观察了背后的因素,因为信息泄露可能是一个最终的导向,我买了信息,就可以精准营销,也可能他是作恶的第一步,因为在背后这些搞信息的人,多多少少有一些技术含量,有可能是内鬼,我从内部偷数据出来,有可能是非常专业的黑客团伙,通过非常复杂的一系列动作,把这个数据悄悄拿出来。我们主要工作,一开始是一直在对抗这些偷数据的黑客,以前黑客很简单,我既然拿了数据就走,可能就是为了偷你,你没钱我也不管了。现在第一个我偷数据可能没那么容易,因为企业,金融机构也在加强安全防护能力。另一方面,他们发现干坏事还是想干的,因为已经做惯了没本钱的买卖,他也开始慢慢专注于,以前我可能是网络安全领域,现在我看看你的业务方向,金融风控的环节有没有一些相对来讲做得不完善的地方,我们可以钻个空子。虽然相比我直接偷你的钱,整个攻击的链条变长了,产业变得更复杂了,但是我还是有钱可以薅的。
对于企业而言,最开始我们做好App的架构,做好企业防火墙,系统防火墙,现在开启感知平台,包括风控,金融机构都会配备,甚至电商平台风控水平自身也做得非常出色了。唯一的问题是,投入产出永远跟不上我们的竞争对手,不是我们的友商,而是对面的那些电脑黑客的人,因为我们能看到,我们自己的所有工作,比如说无论是我们自己专业安全公司,还是我们的专业风控人员,我们都是拿着固定工资的,但是我们的对手是什么人?我干一票买卖,就可能可以吃三年,产业链之间又合作得这么紧密,分布在不同的国家,可能东南亚、欧洲、非洲都会涉及到,尤其是产业这么多的交叉融合。
我们站在公安办案的时候,站在情报的角度看这个事情,可能会关注这么几个要素。是什么人,他通过什么工具,在什么时间,什么地点做了哪些事情,最终造成的具体损失是什么样子的,这是我们站在案件的角度,比如说嫌疑人身份,他的作案时间,还有他的作案地点,比如说作案地点,以前都是北京,或者是在上海,现在都是在网络上,他可能是动态IP,甚至是境内用了境外的拨号IP,再回到境内,或者我可以通过语音网关伪造成我是从境外呼入的特征,这是我们一直关注的东西,这是我们所关注的黑产全景图,比如说以信息泄露为例,任何一个行业,包括公安,其实都是全程贯通的。
围绕黑产情报,我们做了几个事情,第一个是通过我们的技术手段,包括针对暗网,黑产专业的论坛,他们的社交群体,我们去看他有没有最新的泄露事件,甚至我们会进入得比较深入一些,因为这是所有一切我们能观察到的,有没有新的黑客攻击手段,有没有新的重大事件暴露的苗头,第一时间能做到的工作。
第二个事情,我们对于很多业务数据进行打标签,随着《网络安全法》运行了两三年的时间,《数据安全法》的出台,我们也在不停寻找更好的方式,跟监管部门,跟企业一起更好地利用好这批数据。很多情况下,有一个开源情报,针对于某些特定的黑标签,可能是一个IP,我可能会把其他的跟个人隐私的数据都去掉,纯粹提取出来哪些东西它就没有正常人在用,能用到这个的全部都是黑灰产,比如说用来洗钱的,对于这部分数据进行不断的标记、迭代。
还有一个,我们会针对不同的业务场景,不同的欺诈,或者是诈骗类别,整个链条去把它溯源和还原真实的场景。
这一块儿是我们做的舆情监控,这是我们监测到的市场上还在用的手机号,这种手机号都不是真人控制的,不是我们自己实名验证的手机号,也不是插在手机里面的卡,实际上在各个业务平台都在跑的量,这是今年初步的变化趋势。
我们现在已经在情报方面,在数据方面,配合监管已经做了很多事情,在风控这个程度上,我们肯定希望数据是合规的,能够让大家放心使用的场景下,帮助大家提升模型的识别率,降低我们的误差率。
这一块儿是我们最最关键的核心,就是行为关联和黑产的历史数据,根据这些数据进行迭代。实际上对于我们而言,可能我们作为网络安全公司,AI的模型并不是走在产业的最前沿,因为我们并不会做最底层的理论研究,但是应用层面,比如说我们的设备信息怎么关联,跟黑灰产绑定,产生比较好的实际效果。比如说组群画像,骗贷人群之间的关系是什么样的,可能底层模型不是我们擅长的,但是我们能够保证能够达到非常高精度的训练样本,这部分数据和经验,我相信是我们和监管部门、企业,能够一起共同提升的。
实际上经过我们一段时间的磨合,发现的确还是非常不错的,结合我们自己的数据,结合甲方整个产业链、业务场景的完整数据,基本上还是能够做到非常突出的,尤其是针对新出现的,大家还没有重视的业务风险,能够在第一时间感知到,并且有可能找到它的真实原因。
目前我们在做的一个工作,比如说左边这一块儿,比如说同样是金融机构,电商平台,数据维度也完全不一样,我们的保险公司,尤其是互联网保险,它可能跟我们的银行信托保险又会有一些不一样的差异,在情报库和开源情报这一块儿,通过我们的模型训练,这也是我们实际在做的一些覆盖不同维度的场景,包括像营销欺诈、环保包装等等。
接下来我们也希望能够立足网络安全业务的本身之上,尤其是依托金融安全这个产业大平台,能够进一步发挥我们的能量,把我们在打击网络黑灰产,对抗网络黑客,和我们在金融安全风险防范的角度上,能够进一步有机结合。谢谢大家!
本文来源:网易财经综合
责任编辑:
杨倩_NF4425
