導(dǎo)語(yǔ)：業(yè)務(wù)風(fēng)控系統(tǒng)的價(jià)值是及時(shí)發(fā)現(xiàn)和解決業(yè)務(wù)上的風(fēng)險(xiǎn)，但當(dāng)前的業(yè)務(wù)安全應(yīng)用門檻因?yàn)榛A(chǔ)設(shè)施的商務(wù)成本、部署成本及應(yīng)用成本，導(dǎo)致其已經(jīng)成為這個(gè)互聯(lián)網(wǎng)行業(yè)的奢侈品，在業(yè)務(wù)風(fēng)險(xiǎn)已經(jīng)成為整個(gè)互聯(lián)網(wǎng)普遍需求的當(dāng)下，大量進(jìn)入業(yè)務(wù)風(fēng)控應(yīng)用早期的企業(yè)不應(yīng)該在基礎(chǔ)設(shè)施上承擔(dān)太多的成本，這讓安全成為負(fù)擔(dān)。

　　業(yè)務(wù)安全問(wèn)題已然從大型互聯(lián)網(wǎng)企業(yè)擴(kuò)散到整個(gè)互聯(lián)網(wǎng)生態(tài)

　　威脅獵人從成立之初，我們一直專注于業(yè)務(wù)安全情報(bào)能力的建設(shè)，通過(guò)深入挖掘黑灰產(chǎn)業(yè)鏈，從黑產(chǎn)視角去感知和發(fā)現(xiàn)黑灰產(chǎn)正在進(jìn)行的攻擊行為。在這期間，我們捕獲到了太多由于風(fēng)控缺失，導(dǎo)致被黑灰產(chǎn)惡意攻擊的情報(bào)。企業(yè)為了爭(zhēng)奪用戶和市場(chǎng)，更加注重產(chǎn)品功能和規(guī)模擴(kuò)張，風(fēng)控的建設(shè)往往落后于業(yè)務(wù)發(fā)展的需要，導(dǎo)致最終被黑灰產(chǎn)鉆了“空”。目前整個(gè)互聯(lián)網(wǎng)行業(yè)中的風(fēng)控系統(tǒng)基礎(chǔ)設(shè)施普及率不到5%，絕大部分企業(yè)都還處于業(yè)務(wù)風(fēng)險(xiǎn)對(duì)抗的初級(jí)階段。

　　另外，互聯(lián)網(wǎng)線上業(yè)務(wù)場(chǎng)景的激增，各個(gè)平臺(tái)用戶的信息價(jià)值越來(lái)越高，黑灰產(chǎn)的變現(xiàn)途經(jīng)呈幾何增長(zhǎng)，據(jù)我們粗略統(tǒng)計(jì)，目前正在遭受黑灰產(chǎn)攻擊的平臺(tái)已經(jīng)達(dá)到數(shù)萬(wàn)個(gè)。業(yè)務(wù)安全問(wèn)題已然從大型互聯(lián)網(wǎng)企業(yè)擴(kuò)散到整個(gè)互聯(lián)網(wǎng)生態(tài)。

　　成本問(wèn)題是風(fēng)控基礎(chǔ)設(shè)施變成“奢侈品”

　　但是，目前無(wú)論是采購(gòu)第三方商業(yè)風(fēng)控產(chǎn)品，還是走自研路線，對(duì)于很多企業(yè)，特別是業(yè)務(wù)自身都還在發(fā)展和變化過(guò)程中的中小企業(yè)而言，其成本問(wèn)題，使之只能成為“奢侈品”，而不是“必需品”。業(yè)務(wù)風(fēng)控系統(tǒng)成了 企業(yè)應(yīng)用業(yè)務(wù)安全的一道大門檻。

　　1.商務(wù)成本成為立項(xiàng)初期的阻礙

　　安全是企業(yè)的成本中心，在業(yè)務(wù)風(fēng)控建設(shè)時(shí)如果基礎(chǔ)設(shè)施需要牽扯到商務(wù)成本，在企業(yè)內(nèi)部就一定會(huì)遇到?jīng)Q策挑戰(zhàn)，是否應(yīng)該建設(shè)和什么時(shí)候建設(shè)等等問(wèn)題會(huì)因?yàn)樯虅?wù)成本的存在讓企業(yè)內(nèi)部推動(dòng)安全基礎(chǔ)建設(shè)流程過(guò)于漫長(zhǎng)和繁瑣。建議能夠在安全團(tuán)隊(duì)自己內(nèi)部評(píng)估完之后可以直接決策并快速建立基礎(chǔ)設(shè)置，在真正攻防階段產(chǎn)生效果后證明其價(jià)值。而不是立項(xiàng)采購(gòu)時(shí)遇到阻礙，發(fā)生問(wèn)題時(shí)還要背鍋。

　　2.部署成本是很多企業(yè)IT的難點(diǎn)

　　互聯(lián)網(wǎng)企業(yè)各自的IT結(jié)構(gòu)有很大區(qū)別，而不同企業(yè)的IT人員技術(shù)水平能力也參差不齊，這導(dǎo)致很多企業(yè)在部署風(fēng)控基礎(chǔ)設(shè)施的環(huán)節(jié)上遇到難點(diǎn)。所以需要降低部署成本，才能在全行業(yè)規(guī)?；仄占鞍踩A(chǔ)設(shè)施的建設(shè)。

　　3.應(yīng)用成本，擁有風(fēng)控也很難在短期內(nèi)發(fā)揮效果

　　業(yè)務(wù)風(fēng)控最終發(fā)生效果是要依賴風(fēng)控基礎(chǔ)設(shè)施之上的規(guī)則和模型的，是由規(guī)則和模型承擔(dān)識(shí)別惡意風(fēng)險(xiǎn)的任務(wù)。而規(guī)則的制定及攻防的模型選擇對(duì)經(jīng)驗(yàn)的要求比較高，很多新人即使部署好了風(fēng)控系統(tǒng)，也會(huì)發(fā)現(xiàn)很難短時(shí)間讓系統(tǒng)發(fā)揮效果，這里的學(xué)習(xí)門檻也成為業(yè)務(wù)安全基礎(chǔ)設(shè)施普及的門檻。行業(yè)需要模塊化及易用性高的風(fēng)控基礎(chǔ)設(shè)施，讓風(fēng)險(xiǎn)可視化的同時(shí)能快速應(yīng)對(duì)，不對(duì)運(yùn)營(yíng)人員的能力有太高要求。

　　我們期望通過(guò)開源的風(fēng)控降低企業(yè)成本

　　因此我們決定發(fā)布開源的風(fēng)控基礎(chǔ)設(shè)施——星云業(yè)務(wù)風(fēng)控系統(tǒng)，讓企業(yè)能夠快速的度過(guò)早期的基礎(chǔ)建設(shè)階段，進(jìn)入到攻防效率提升階。期望通過(guò)開源降低企業(yè)成本，也拓展業(yè)務(wù)風(fēng)控基礎(chǔ)設(shè)施在防守方的應(yīng)用范圍。我們相信基礎(chǔ)設(shè)施的快速普及是與整個(gè)中國(guó)互聯(lián)網(wǎng)黑灰產(chǎn)攻防的關(guān)鍵。

　　星云業(yè)務(wù)風(fēng)控系統(tǒng)的開源

　　風(fēng)控系統(tǒng)的本質(zhì)是為了能夠讓企業(yè)有能力主動(dòng)發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)，并快速的實(shí)施攻防對(duì)抗。所以1.0V的星云我們期望能夠做到簡(jiǎn)單易用，快速進(jìn)行攻防對(duì)抗。 我們會(huì)在Github和開源中國(guó)上，完全開放星云的所有源代碼，文檔，以及安裝包。并且組建星云風(fēng)控交流群，大家在使用星云過(guò)程中遇到的任何問(wèn)題，我們都將盡快解答。

　　為了降低使用門檻，星云采用旁路流量的方式進(jìn)行數(shù)據(jù)采集，無(wú)需在業(yè)務(wù)邏輯上做數(shù)據(jù)埋點(diǎn)或侵入，同時(shí)支持本地私有化部署和Docker鏡像云端部署;出于數(shù)據(jù)隱私和敏感性的考慮，我們不做任何數(shù)據(jù)的上傳;

　　另外考慮到部分使用者風(fēng)控經(jīng)驗(yàn)不足，星云會(huì)提供基礎(chǔ)的風(fēng)控策略模板，使用者可以結(jié)合業(yè)務(wù)實(shí)際情況，靈活的進(jìn)行配置和調(diào)整?？紤]到攻防對(duì)抗的時(shí)效性，策略調(diào)整之后實(shí)時(shí)生效，無(wú)需重新編譯和上線。

　　基于星云風(fēng)控系統(tǒng)，企業(yè)可以針對(duì)不同的業(yè)務(wù)場(chǎng)景下進(jìn)行攻防對(duì)抗

　　星云包含的一些基礎(chǔ)功能：

　　1.總覽：觀察網(wǎng)站流量和風(fēng)險(xiǎn)事件的情況

　　2.風(fēng)險(xiǎn)名單管理：由你設(shè)置的某個(gè)具體的策略出發(fā)而產(chǎn)生，風(fēng)險(xiǎn)名單管理頁(yè)面展示了風(fēng)險(xiǎn)名單的列別，通過(guò)這個(gè)頁(yè)面可以進(jìn)行風(fēng)險(xiǎn)名單的查詢、刪除和人工添加等操作。

　　3.風(fēng)險(xiǎn)事件管理：風(fēng)險(xiǎn)事件由一組關(guān)聯(lián)風(fēng)險(xiǎn)名單的基礎(chǔ)事件組成，風(fēng)險(xiǎn)事件可以對(duì)不同的攻擊進(jìn)行整理成組，以便分析人員快速的針對(duì)一組風(fēng)險(xiǎn)事件進(jìn)行查看。

　　4.風(fēng)險(xiǎn)分析：風(fēng)險(xiǎn)分析頁(yè)面提供了IP、USER、PAGE、DEVICEID四個(gè)維度的分析視角、允許分析人員通過(guò)不同的維度去查看某個(gè)IP、用戶、設(shè)備或頁(yè)面的細(xì)節(jié)以還原風(fēng)險(xiǎn)事件的整個(gè)流程。

　　5.日志查詢：通過(guò)自定義的方式去搜索歷史日志中的數(shù)據(jù)

　　6.策略管理：提供了可視化策略編輯功能，允許用戶通過(guò)界面方式創(chuàng)建或編輯策略，并且可通過(guò)對(duì)策略狀態(tài)的編輯快速的測(cè)試策略的有效程度，以及生產(chǎn)策略的下限

　　寫在后面

　　與黑灰產(chǎn)的多年對(duì)抗中，我們看到了黑灰產(chǎn)無(wú)數(shù)次的狂歡，也看到了太多企業(yè)遭受攻擊后的無(wú)奈和辛酸。但是目前整個(gè)互聯(lián)網(wǎng)行業(yè)中的風(fēng)控系統(tǒng)基礎(chǔ)設(shè)施普及率還不到5%。通過(guò)開源，我們希望能讓更多人意識(shí)到風(fēng)控的重要性，能以更低的成本，完成風(fēng)控體系從無(wú)到有的搭建。

　　黑灰產(chǎn)已經(jīng)是一個(gè)分工明確，合作緊密的“龐然大物”，而安全行業(yè)絕大多數(shù)仍處于相對(duì)封閉，各自為戰(zhàn)的狀態(tài)。雖然協(xié)同合作已經(jīng)是行業(yè)共識(shí)，但一直缺乏有效的舉措。通過(guò)開源星云業(yè)務(wù)風(fēng)控系統(tǒng)，我們希望走出這一步，集結(jié)社區(qū)力量，讓更多的安全從業(yè)者可以參與進(jìn)來(lái)，貢獻(xiàn)自己的力量。

　　附上星云Github地址：

　　https://github.com/threathunterX

　　附上星云碼云地址：

　　https://gitee.com/threathunter/nebula