/BREAK

业务风险枚举与规避知识(Business Risk Enumeration & Avoidance Kownledge)

Primary LanguageVueApache License 2.0Apache-2.0

JDArmy BREAK-业务风险枚举与规避知识框架

介绍

JDArmy BREAK 是英文“Business Risk Enumeration & Avoidance Kownledge”的缩写,是一个开放式“业务风险枚举与规避知识”框架。该框架通过对各种业务风险进行分类、介绍与枚举,为使用者提供了一个完整的业务风险全景图,并对业务规避风险、提升能力提供了规避知识。

JDArmy BREAK 由JD.Army创建、拥有和进行管理。JD.Army是专注于挖掘和解决企业安全运行风险隐患的专业型红队。JD.Army保留自行决定定期更新 BREAK 和本文档的权利。虽然JD.Army拥有 BREAK 的所有权利和利益,但它许可公众自由使用,遵循相关开源协议。

背景

随着信息安全能力对业务的覆盖与落地,以及业务对安全需求的加深,如果安全还是单单停留在网络安全范畴,仅仅是提前发现和修复各种漏洞,显然是无法保证业务正常的安全运营的,也无法满足业务安全的更高需求。

为此,JDArmy根据多年以来对业务安全的理解和积累,推出 BREAK - “业务风险枚举与规避知识框架”,旨在为企业蓝军在开展业务安全评估过程中提供指导和依据,同时框架中的业务风险规避知识也为安全能力建设、业务安全运营、风控能力提升提供指引。

方法

框架整体按照:风险维度、风险场景、风险点的划分原则,框架包含若干风险维度,每个风险维度包含若干风险场景,每个风险场景包含若干风险点。

风险维度指代看待风险的不同角度,目前包含:业务维度、内容维度、身份维度和对抗维度。其中业务维度包含:营销风险、交易风险、游戏运营风险;内容维度包含:用户内容风险和违规引流风险;身份维度包含:身份风险和盗号变现风险;对抗维度包含身份对抗风险、设备对抗风险和非法请求风险。

目前框架共收集和整理风险点68个,后续会根据情况和反馈进行动态添加、升级或调整。每个风险点由风险编号、风险标题、风险描述、攻击描述、攻击复杂度、风险影响、规避手段和参加资料组成。风险编号通过 R00xx 的方式来进行唯一编号(效仿Mitre ATT&CK),以便后期交流和情报传递。而攻击描述可以指引企业蓝军更好地进行安全能力评估,规避手段可以帮助企业红军或业务风控来加强安全能力建设,以降低业务风险。

主要注意的是: 业务风险和漏洞不是一回事情。一般来说漏洞是由于业务编码的缺陷导致的,可以通过修改代码去除缺陷来修复漏洞;而业务风险很大程度上并不是由编码缺陷造成的,只是攻击者对正常业务逻辑的一种非预期的利用。也因此,在大部分情况下,并不能完全消除风险,只能将风险降低到一定的可接受范围。所以并不一定可以通过直接修改代码来修复漏洞,通常业务风险需要外挂安全能力、构造风控模型来减缓攻击、降低攻击ROI或缩小攻击面。

风险列表

目前版本的全部风险列表如下(详细资料请参考JDArmy BREAK框架):

风险编号 风险标题
R0001 流程自动化
R0002 卡券枚举
R0003 秒拍出价
R0004 拍卖狙击
R0005 营销活动作弊
R0006 批量小号作弊
R0007 虚假裂变
R0008 广告欺诈
R0009 广告引流
R0010 团伙代充
R0011 账号倒卖
R0012 游戏外挂/脚本
R0013 批量退款
R0014 恶意占库存
R0015 恶意差评
R0016 刷量刷榜
R0017 虚假交易
R0018 干扰搜索结果
R0019 刷单
R0020 文本内容风险
R0021 图片内容风险
R0022 音频(流)内容风险
R0023 外部链接风险
R0024 视频(流)内容风险
R0025 恶意挖墙脚
R0026 违规商品
R0027 经营数据盗爬
R0028 敏感数据泄露
R0029 验证码恶意消耗
R0030 批量注册
R0031 撞库攻击
R0032 凭证破解
R0033 密码喷射
R0034 自动化养号
R0035 凭据复用
R0036 多因素破解
R0037 第三方账号聚合
R0038 登录扫码欺诈
R0039 CC攻击
R0040 撞卡攻击
R0041 支付卡破解
R0042 盗卡盗刷
R0043 黑卡支付
R0044 仿冒转账
R0045 积分盗刷
R0046 未成年人识别对抗
R0047 人机识别对抗
R0048 人脸识别对抗
R0049 代登录、代下单
R0050 风险设备识别对抗
R0051 逆向分析
R0052 HTTP请求分析
R0053 虚拟设备对抗
R0054 恶意退货
R0055 低价购风险
R0056 虚假好评
R0057 退货造假
R0058 闪退套利
R0059 恶意拒收
R0060 洗钱/诈骗
R0061 手机二次号
R0062 信用卡/借款套现
R0063 实时评论广告引流
R0064 拆单套利
R0065 恶意索赔
R0066 消息*扰
R0067 恶意客诉
R0068 权益滥用

规避手段

目前版本的全部规避手段列表如下(详细资料请参考JDArmy BREAK框架):

编号 标题
A01 人机识别挑战
A02 接口签名
A03 爬虫识别
A04 频率限制
A05 数量限制
A06 恶意内容识别
A07 多因素验证
A08 增加负载
A09 时间限制
A10 异常环境识别
A11 退出登录态
A12 强制改密
A13 访问端代码混淆
A14 反调试
A15 风控策略
A16 威胁情报
A17 身份授权判断
A18 身份认证
A19 身份行为审计
A20 身份处罚策略
A21 终端标记
A22 协议加密
A23 生物特征识别

协作 & 贡献

本框架采用JSON格式进行了系统描述,详见“/src/i18n/zh-CN/BREAK.json”文件,其中:

风险维度放于“riskDimensions”中,并通过其内的“riskScenes”来划分场景;

风险场景放于“riskScenes”中,并通过其内的“risks”来划分风险;

风险放于“risks”中,并通过其内的“avoidances”来承载规避手段;

规避手段放于“avoidances”中。

各协作者可以通过直接修改 BREAK.json 文件来与我们进行该系统框架的协作开发。亦可通过在github上提issue来给我们提供意见或建议。

致谢

暂无

链接