JDArmy BREAK 是英文“Business Risk Enumeration & Avoidance Kownledge”的缩写,是一个开放式“业务风险枚举与规避知识”框架。该框架通过对各种业务风险进行分类、介绍与枚举,为使用者提供了一个完整的业务风险全景图,并对业务规避风险、提升能力提供了规避知识。
JDArmy BREAK 由JD.Army创建、拥有和进行管理。JD.Army是专注于挖掘和解决企业安全运行风险隐患的专业型红队。JD.Army保留自行决定定期更新 BREAK 和本文档的权利。虽然JD.Army拥有 BREAK 的所有权利和利益,但它许可公众自由使用,遵循相关开源协议。
随着信息安全能力对业务的覆盖与落地,以及业务对安全需求的加深,如果安全还是单单停留在网络安全范畴,仅仅是提前发现和修复各种漏洞,显然是无法保证业务正常的安全运营的,也无法满足业务安全的更高需求。
为此,JDArmy根据多年以来对业务安全的理解和积累,推出 BREAK - “业务风险枚举与规避知识框架”,旨在为企业蓝军在开展业务安全评估过程中提供指导和依据,同时框架中的业务风险规避知识也为安全能力建设、业务安全运营、风控能力提升提供指引。
框架整体按照:风险维度、风险场景、风险点的划分原则,框架包含若干风险维度,每个风险维度包含若干风险场景,每个风险场景包含若干风险点。
风险维度指代看待风险的不同角度,目前包含:业务维度、内容维度、身份维度和对抗维度。其中业务维度包含:营销风险、交易风险、游戏运营风险;内容维度包含:用户内容风险和违规引流风险;身份维度包含:身份风险和盗号变现风险;对抗维度包含身份对抗风险、设备对抗风险和非法请求风险。
目前框架共收集和整理风险点68个,后续会根据情况和反馈进行动态添加、升级或调整。每个风险点由风险编号、风险标题、风险描述、攻击描述、攻击复杂度、风险影响、规避手段和参加资料组成。风险编号通过 R00xx 的方式来进行唯一编号(效仿Mitre ATT&CK),以便后期交流和情报传递。而攻击描述可以指引企业蓝军更好地进行安全能力评估,规避手段可以帮助企业红军或业务风控来加强安全能力建设,以降低业务风险。
主要注意的是: 业务风险和漏洞不是一回事情。一般来说漏洞是由于业务编码的缺陷导致的,可以通过修改代码去除缺陷来修复漏洞;而业务风险很大程度上并不是由编码缺陷造成的,只是攻击者对正常业务逻辑的一种非预期的利用。也因此,在大部分情况下,并不能完全消除风险,只能将风险降低到一定的可接受范围。所以并不一定可以通过直接修改代码来修复漏洞,通常业务风险需要外挂安全能力、构造风控模型来减缓攻击、降低攻击ROI或缩小攻击面。
目前版本的全部风险列表如下(详细资料请参考JDArmy BREAK框架):
风险编号 | 风险标题 |
---|---|
R0001 | 流程自动化 |
R0002 | 卡券枚举 |
R0003 | 秒拍出价 |
R0004 | 拍卖狙击 |
R0005 | 营销活动作弊 |
R0006 | 批量小号作弊 |
R0007 | 虚假裂变 |
R0008 | 广告欺诈 |
R0009 | 广告引流 |
R0010 | 团伙代充 |
R0011 | 账号倒卖 |
R0012 | 游戏外挂/脚本 |
R0013 | 批量退款 |
R0014 | 恶意占库存 |
R0015 | 恶意差评 |
R0016 | 刷量刷榜 |
R0017 | 虚假交易 |
R0018 | 干扰搜索结果 |
R0019 | 刷单 |
R0020 | 文本内容风险 |
R0021 | 图片内容风险 |
R0022 | 音频(流)内容风险 |
R0023 | 外部链接风险 |
R0024 | 视频(流)内容风险 |
R0025 | 恶意挖墙脚 |
R0026 | 违规商品 |
R0027 | 经营数据盗爬 |
R0028 | 敏感数据泄露 |
R0029 | 验证码恶意消耗 |
R0030 | 批量注册 |
R0031 | 撞库攻击 |
R0032 | 凭证破解 |
R0033 | 密码喷射 |
R0034 | 自动化养号 |
R0035 | 凭据复用 |
R0036 | 多因素破解 |
R0037 | 第三方账号聚合 |
R0038 | 登录扫码欺诈 |
R0039 | CC攻击 |
R0040 | 撞卡攻击 |
R0041 | 支付卡破解 |
R0042 | 盗卡盗刷 |
R0043 | 黑卡支付 |
R0044 | 仿冒转账 |
R0045 | 积分盗刷 |
R0046 | 未成年人识别对抗 |
R0047 | 人机识别对抗 |
R0048 | 人脸识别对抗 |
R0049 | 代登录、代下单 |
R0050 | 风险设备识别对抗 |
R0051 | 逆向分析 |
R0052 | HTTP请求分析 |
R0053 | 虚拟设备对抗 |
R0054 | 恶意退货 |
R0055 | 低价购风险 |
R0056 | 虚假好评 |
R0057 | 退货造假 |
R0058 | 闪退套利 |
R0059 | 恶意拒收 |
R0060 | 洗钱/诈骗 |
R0061 | 手机二次号 |
R0062 | 信用卡/借款套现 |
R0063 | 实时评论广告引流 |
R0064 | 拆单套利 |
R0065 | 恶意索赔 |
R0066 | 消息*扰 |
R0067 | 恶意客诉 |
R0068 | 权益滥用 |
目前版本的全部规避手段列表如下(详细资料请参考JDArmy BREAK框架):
编号 | 标题 |
---|---|
A01 | 人机识别挑战 |
A02 | 接口签名 |
A03 | 爬虫识别 |
A04 | 频率限制 |
A05 | 数量限制 |
A06 | 恶意内容识别 |
A07 | 多因素验证 |
A08 | 增加负载 |
A09 | 时间限制 |
A10 | 异常环境识别 |
A11 | 退出登录态 |
A12 | 强制改密 |
A13 | 访问端代码混淆 |
A14 | 反调试 |
A15 | 风控策略 |
A16 | 威胁情报 |
A17 | 身份授权判断 |
A18 | 身份认证 |
A19 | 身份行为审计 |
A20 | 身份处罚策略 |
A21 | 终端标记 |
A22 | 协议加密 |
A23 | 生物特征识别 |
本框架采用JSON格式进行了系统描述,详见“/src/i18n/zh-CN/BREAK.json”文件,其中:
风险维度放于“riskDimensions”中,并通过其内的“riskScenes”来划分场景;
风险场景放于“riskScenes”中,并通过其内的“risks”来划分风险;
风险放于“risks”中,并通过其内的“avoidances”来承载规避手段;
规避手段放于“avoidances”中。
各协作者可以通过直接修改 BREAK.json 文件来与我们进行该系统框架的协作开发。亦可通过在github上提issue来给我们提供意见或建议。
暂无