业务安全蓝军测评标准白皮书2024.docxVIP

1

1

2

目录

一、业务安全蓝军测评标准 6

1.1业务安全脆弱性评分(ISVS) 6

1.2ISVS评分的参考意义 8

二、业务安全蓝军测评案例 13

2.1虚假安装蓝军测评案例 13

2.2人脸识别绕过蓝军测评案例 15

三、业务安全蓝军测评类型 20

3.1基础测评 20

3.2周期测评 21

3.3行业横评 21

四、业务安全蓝军测评场景 23

4.1营销活动作弊场景 23

4.2业务刷量场景 24

4.3广告刷量场景 24

4.4人脸识别绕过场景 25

附：攻击效率指标取值高低参考 27

1.物料获取效率 27

2.技术对抗效率 29

3

前言

互联网黑灰产成长至今，已形成了团伙化、自动化、生态化、上下游严密配合的产业链网。据统计，互联网黑灰产对互联网企业及线下实体行业每年造成近千亿元的损失。网络黑灰产的从业群体伪装成正常的业务请求不断蚕食鲸吞着企业业务的利益，如掠夺新人红包的羊毛党、利用企业平台流量批量进行恶意营销诈骗的引流产业、破坏企业推荐计费规则的刷量作弊产业等。随着互联网黑产攻击模式的成熟，运作模式的可复制性越来越高，业务安全问题日渐突显。

当前，企业在处理业务安全问题时往往面临着以下挑战：

攻防信息不对等：企业对黑灰产攻击手段及变化缺乏深入了解，造成攻击发现处理滞后、周

期长的局面。

策略效果评估难：策略下发后，难以全面评估策略效果、及时发现黑产新的绕过手段等。

评估体系缺失：不同于互联网基础安全，业务安全问题没有明确的边界。在基础安全中，多数攻击的危害程度已有像OWASPTop10这样的评估标准，而业务安全由于场景复杂，同

时需要综合考虑用户体验及用户活跃，一直缺乏一套行之有效的评估体系。

与基础安全的严防死打不同，业务安全的目标通常不是杜绝攻击，而是将攻击限制在可控的

范围内，从而确保业务的正常开展和业务规模的健康增长。

以营销活动场景对抗羊毛党举例，实体商品清库存的互联网促销活动、餐饮行业需要到店消

费优惠折扣券等情况，对羊毛党的容忍度较高，业务安全的治理目标是将羊毛党控制在50%

4

以下，而针对特定客群的拉新活动，则希望补贴尽可能落在真人用户上，对羊毛党容忍度较低——真人将有一定转化率成为长期用户，羊毛党的转化率几乎为0，羊毛党占比过高将损失掉很多机会成本，那么业务安全的治理目标是将其控制在10%以下。可以看到，即使都

是营销活动场景，活动类型和规则不同，评估的目标也会不同。

因此，企业的业务安全问题需要一套评估体系，能够数字化体系化地描述遭受攻击带来的危

害程度及安全策略实施后的效果等。

基于以上需求与目标，威胁猎人在2020年发布了国内首个《业务安全蓝军测评标准白皮书》，填补了业务安全行业长期以来缺失攻击危害及安全策略效果评估体系的空白。时隔四年，威胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全蓝军实战经历，对第一版标准进行了修订和更新，发布了《业务安全蓝军测评标准白皮书

（2024年版）》。

01业务安全蓝军测评标准

01

业务安全蓝军测评标准

5

6

一、业务安全蓝军测评标准

1.1业务安全脆弱性评分(ISVS)

业务安全脆弱性评分（InteractionSecurityVulnerabilityScore）是从攻击者视角出发，将企业的某个业务对象设定为攻击目标，使用黑灰产的攻击方式对该对象发起模拟攻击测试，

还原攻击过程，并结合最终的攻击结果评估黑灰产攻击给该业务对象带来的危害。

ISVS

ISVS计算方式：

ISVS=Max(攻击效率AE*目标达成率AR)

.攻击效率AE(AttackEfficiency)

测评对象或达成目标不同，评估攻击效率取值的方式往往也会不同，通常可以分别从物料获取效率和技术对抗效率这两个角度来考虑。物料包括攻击过程中需要用到的手机号资源、账号资源、IP资源、设备资源、身份认证资源等，攻击者获取这些物料的成本越低，攻击效率越高，反之越低；技术则包括攻击过程中为了破解应用保护或绕过风控限制等，所用到的软件逆向技术、改机技术、改定位技术、人脸伪造技术等等，攻击者应用这些技术并攻击成功的门槛越低，攻击效率越高，反之越低。

注：关于攻击效率指标取值高低参考，详见附件。

7

.目标达成率AR(AchievementRate)

目标达成率AR是指该攻击方案的最终测试结果达到预期攻击目标的比率。达到或超过预期

攻击目标，取值为1。

如果是定量的