前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >企业业务安全思考

企业业务安全思考

原创
作者头像
1neptune
发布2023-08-25 14:45:34
2910
发布2023-08-25 14:45:34
举报
文章被收录于专栏:安全攻防

企业业务安全

业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。

业务安全模型:

业务安全模型
业务安全模型

其中,业务安全问题应该是薅羊毛问题、爬虫问题、黑灰产问题、坏账问题、水军问题、刷单问题等。比如电商平台的刷单,在电商平台之前,刷单不会成为业务安全问题,刷单这个行为也不会出现。因为电商平台(B2B)的出现,商家为了打造爆款,取得消费者信任,出现了刷单这个行为,而这个行为,破坏了电商平台的业务。消费者借鉴电商平台给出的销量数据,但是从平台的商家买到的是名不符实的产品。这样,电商平台受到的损害更大。商家收到钱了,不行商家可以在别的平台开一家新店,但是电商平台没法改头换面。代码实现的问题,责任在程序员,业务设计问题,责任不在程序员。而密码找回,权限问题,跳步骤问题等等,这些我不认为是业务安全的问题,它的业务设计、功能设计等都是正常的,有问题的是应用安全问题,是代码实现有漏洞。

企业业务安全案例

私服

魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。原神私服,其本质并不是一个私服,只是一个抽卡模拟器。它没有后端的服务,无法实现正常原神的游戏功能。黑灰产人员,他卖的只是自己破解魔改之后的原神客户端而已,是一种对玩家的欺诈。私服问题,游戏公司的通用措施都是诉诸法律。可能会假装玩家去提醒玩家私服的资金安全性,游戏合法性,游戏体验性等问题。为什么说可能呢,因为提醒本身也是一种引流,可能导致未接触到这个信息的玩家,反而通过官方引流,去到了私服里去。

机器人签到奖励问题

每个版本,原神都有微博签到奖励原石的活动。而且,米游社里,也有每日签到跟原石兑换的活动。原石是抽卡资源。抽卡充值直接影响米哈游的营收。但是初期其这两项活动,都没有做人机验证。所以导致有一次,微博的签到奖励发完了。正常玩家最后一天签到完成之后,普遍在微博反映,原石发完了,怎么回事,以前从没有发完过。其实就是被机器人刷了。米游社的原石兑换也是如此,正常玩家在19:00都抢不到,秒没。这些工作室在获得兑换码之后,会放到淘宝去卖。

社区水军抹黑

任何游戏,任何公司,都可能遭遇水军抹黑。遭遇舆情事件,品牌形象受损。这种情况,如果发生在自己控制的社区中。是有可能,通过揭露水军身份,证明抹黑行为,反而实现舆论的翻身仗的。通过注册社区的信息,可以关联到其游戏中的信息。比如其游玩时间,熟练度,等级,战力,充值金额,年龄,IP,同身份账户,游戏异常行为等等。将这些信息,汇总整合,正面回应抹黑舆论,并指出其抹黑行为,能够打一个翻身仗。社区设计,也可以设计成,社区用户的一些非敏感信息,能被其他用户通过主页看到,辅助用户对其身份及言论进行相关判断。

外挂作弊

不论是单机游戏还是MMO游戏,都会遇到外挂作弊问题,而且这个问题会永恒存在。因为客户端是在用户本地电脑上的,可能被破解的。技术是在攻防之间不断进化的。原神的游戏模式,是单机模式。外挂对其他玩家,跟自己业务模式的影响很小。所以它对外挂的处理措施就比较轻,通常都是封号了事。但是MMO外挂的破坏性就非常大,游戏公司通常会联合警方直接捣毁外挂团伙。技术上,要不断提高作弊难度,比如加壳,比如绑定反作弊引擎。还可以根据具体情况实现不同的反作弊手段。而且这些手段一定要是服务端判断的。比如梦幻西游的人机验证,比如CS的战绩作废等等。

账号买卖

正常的账号买卖不对业务造成影响。而且游戏公司也管不到这个,也没有法律管这个。但是异常的账号买卖就对业务造成影响。异常账号一般是通过机器人练的资源,或内鬼生成的账号。机器人问题跟前面的反作弊一样,内鬼问题则是办公安全方面的问题。

工作室问题

工作室是机器人的升级版。但是其危害比机器人其实大出了一个量级。因为机器人只造成零散的影响,但是工作室一定对整个游戏生态都造成非常大的影响。最明显的就是,机器人可以封账号,但是面对工作室,封帐号一点用都没有,需要构建更体系化的业务安全措施。

业务安全的建设落地

1、应急跟需求:处理应急跟公司需求。

2、状态调研及评估:调研安全建设状态,评估建设完成度。

3、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。根据优先级,去对具体业务做针对性的理解。理解其业务流程,功能设计,预期结果,再结合自身对互联网及黑灰产的认知,具体分析其业务安全是否存在问题。业务安全方面的建设,要紧密围绕着业务进行。然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。存在业务安全问题,其他安全方面都很好,业务一定会出现问题。

总结

1、业务安全是新的词,不是新的需求。

2、业务安全问题的根源,在业务设计产品设计。

3、业务安全没有通用方法论,是紧密围绕业务的。

4、互联网时代的业务安全,可借鉴传统风控做互联网优化。

5、业务安全非常考验思路跟知识广度。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 企业业务安全
  • 企业业务安全案例
  • 业务安全的建设落地
  • 总结
相关产品与服务
安全咨询
安全咨询(Cybersecurity Consultation Service,CSCS)依据国家政策和国家信息安全标准,基于客户信息安全需求,提供企业信息安全规划与管理方面的安全咨询。安全咨询协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档