关于业务逻辑安全、风控做不好的一点想法 – 作者:信息安全小学生

前几天同事发生的手机被盗,被黑产利用,经过黑产一系列骚操作之后,引发的资金被盗刷、金融APP被注册盗用,利用实名信息贷款、资金转移等问题,通过阅读那篇文章可以发现,除了少数几个节点是和安全技术有关,其余大部分危害的产生,黑产利用的都是正常合法的业务操作,这点也许和我之前的认识有很大差距,毕竟我是一个做技术的人,自认为黑产都是利用高难度技术来实现的,现在来看,我错的太离谱了,所以有了这篇文章,想来探讨下非技术性决定的业务逻辑安全。

那这篇文章我想说什么?经过自己阅读了文章之后,结合笔者实际的项目经历(之前做了几十家的三方支付机构安全检测:俗称非金检测,又做了几十家银行的电子银行评估、Web/APP渗透测试、早期还做过四川地区的银行信息科技审计,俗称等级达标),想说说笔者从这个事件中的看法,主要包括以下几点:

事件中的问题再现;

企业为什么做不好业务安全和风控;

基础性的风控规则;

谁的锅;

0x01 事件中的问题再现

整个文章读下来,我简单总结了几个问题点:移动设备安全、运营商的解挂失、多年未用的储 蓄卡再使用、绑卡不规范、贷款缺乏强认证、缺乏个人信息保护。

上述这个几个问题,做过安全的同学的应该就知道,总体而言,单纯安全角度来说,要做好,也不是非常困难的事情:

比如电信来回解挂失:业务流程可改造成如果来回几次解挂失,就冻结到营业厅解挂;或者挂失一次,2分钟可以允许解挂,挂失第二次,10分钟解挂,依次类推;又或者谁能提供更完善的资料,在网上营业厅长时间挂失,比如手持身 份证照片上传、紧急手机号人工核实等;

又比如个人信息保护:其实就是页面屏蔽不展示而已,就我实际项目而言,客户端展现这些信息基本啥在后续业务中用不到,即使用得到,也可以从后台去取,那展示的目的又在哪儿?

又比如多年未用的储 蓄卡再使用:我记得之前一张卡超过6个月未使用,无任何交易,银行自动冻结,要解冻,需要去营业厅,不知道现在为啥又可以了,之前的方案怎么久放弃了呢?

0x02 企业为什么做不好业务安全和风控

笔者自己这两天反复思考这个问题,为什么这么简单的非技术性的问题,做不好呢,仅仅是因为了获取用户,获取流量,提升用户体验吗?这个原因有没有,答案毫无疑问,肯定是有的,那其他原因呢,笔者这几天提炼总结了一下之前和各个支付机构、金融公司以及其他小公司相关工作负责人员交流的一些看法:

没想到

想到,不想做

想做,没资源,缺乏专业指导

花大钱做好了,没用

产品迭代速度造成安全和风控跟不上

企业效益和诈骗造成损失之间的平衡关系

监管推行与检查执行问题

没监管、弱监管

简单展开来说一下:

2.1 没想到

一些规模小的公司,成立不久的公司,缺乏信息来源、缺乏安全意识、缺乏监督管理,这类型的企业有很多,但是这类型企业根本就没有想到过要做这一块业务安全,公司忙于成长,主要产品都让企业焦头烂额,更多的心思都聚焦到了核心产品以及竞争对手身上,再加上这类型的公司起步时会付出更多成本,同时更大的让利给普通用户,让用户尝到甜头,造成很多没有安全意识的用户,特别是中老年用户乐于使用,老老实实交代了自己的各项信息(储 蓄卡、信 用卡、身 份证、姓名、照片、出生年月之类的)。

2.2 想到,不想做

这部分企业其实已经开始担忧业务安全问题了,自己已经开始琢磨了,但是还是不想做,为什么呢?这种我了解到的一些说法就是“领导说在等等”,等公司规模再大点,用户规模数再大点,公司利润再大点,行业大环境再好点,各种各样的再好点,所以再等等。

2.3 想做,没资源,缺乏专业指导

这种情况,企业想到了,也想做了,也很积极想推,但是领导觉得下面和业务安全相关岗位的同事就可以完成这项工作,不投入新的财力和人力资源,“又要马儿跑,又不给马儿吃草”,想想都很难,下面同事想说做不了,领导会不会觉得自己不够努力,交代工作完成不了,让领导觉得自己太菜了,很多时候都只能硬上,闭着眼睛乱搞,搞出一个四不像,典型的缺乏专业指导出来的东西,能有多大效果,能有多大帮助,只能当成一个神位在公司内部供着,非专业人做专业事的我简单举2个例子:

一个是我这两天做一家金融机构APP备案遇到一个关于安全软键盘的事情,在APP备案相关标准中,明确提出了对用户敏感信息输入保障措施:

1599809608.png!small

然而这家企业感觉就是要自己开发人员开发一个,然后这个开发人员非常努力的咨询安全软键盘的一些技术指标,领导觉得,你是做开发的,那安全软件盘按道理你也可以带着团队开发一个出来,一般开发人员更多的聚焦于业务开发,业务架构,其实对这样具有安全性要求的产品就算是开发人员全身心投入了,短时间内又能理解多少指标,理解了又能实现多少,实现这些指标采用的技术又是否合理,这种限时、资源、人力有限专业又不对口的情况下,这种产品出来了应用到了金融APP上,你说会有一个什么样的结果?

另一个例子就是关于岗位兼职问题,在我检测过的很多支付机构中,存在明显的安全岗位乱兼职、被兼职的情况,看得我都想现场爆炸,这种人员结构负责安全,出事情只是迟早的事,企业接受检查时,被发现相关岗位缺乏人员时,立马就会出现某某兼职的情况,而且,兼职者对这个岗位工作内容还挺熟悉的,对实际工作背得还挺溜,你能信?岗位允不允许兼职?当然允许,但是岗位不允许的是乱兼职,这里可以看看部分相关的岗位不兼容矩阵。

1599809643.png!small

2.4 花大钱做了,没用

这种情况,公司想做了,且分配资源了,找了专业人员或者专业公司购买了相关服务或者风控产品,比如业务安全梳理,风控系统之类的,但是业务安全梳理好了,风控系统布置好了,没用,没落地执行,或者某些原因关了,事后又不开启,缺乏内部合理的审计规范和制度,在实际检测过程中,遇到相关工作人员“恍然大悟,系统没用或者业务流程没按照标准执行”的情况。

2.5 产品迭代速度造成安全和风控跟不上

这种情况,公司负责业务安全和风控的基本都是有一定基础和实力的,各种已存在的业务安全和风控规则都设计得比较完善,但是当有新产品、新业务出现的时候,互联网的产品很多时候讲究一个快速时效性,一层催一层,造成业务流程来不及梳理,风控规则来不及梳理,有些风控系统还会涉及到二次开发的,更等不起了,所以草草上线。

2.6 企业效益和诈骗造成损失之间平衡关系

这种情况,仿佛可以说是产品经理的锅?但是仔细分析下来,感觉产品经理又背不起这个锅,为什么会存在这种现象呢,那是因为对于大部分没有实力的企业,安全和业务之间大部分是相互对立的关系,安全做得好,做的严格,用户体验不好,软件使用不好,软件性能又不好,没人用,企业效益就会造成影响,其实从这个案例中看到,即使文中提及的几个大厂,也是有很多地方为了用户体验,安全妥协的地方,但是比如支付宝后端有强大的风控,他们可以妥协一部分,其他大厂呢,或者其他中小型的支付机构和银行呢?有那个实力、资金、时间来完做成一套强大的风控系统吗?

所以造成的现象是,反正一年到头也没有几个闹大的诈骗案例,就算是闹大了,也可以甩锅,就算是不能甩锅,那就赔偿金额,这点赔偿金额对公司效益来说,微不足道。

还是结合那篇文章中内容举几个个人信息相关的例子,在之前1-2年的项目中,在即使是强监管的银行、支付机构的网银、手机银行等产品中,卡号和身 份证号全字段展示几乎是随处可见的。

1599809631.png!small

那这些个人敏感信息是否又有相关标准来说明、约束呢,当然有的,这是12版本的《网上银行系统信息安全通用规范》:

1599809650.png!small

嗯,没错,这是12版的,现在过去多少年了?那到如今呢,现在互金协会在推的金融科技产品备案项目中,这种问题是否有很大改善呢?根据我实施到的项目来看,我只能说有一定改善,但是依然还是有一些存在全字段显示的情况,比例大概在30%左右吧,强监管的金融行业如此,那其他行业更不用说了。

2.7 监管推行与检查执行

其实监管每推出一些要求规范后,下面企业为了应付,很多企业会做足一些表面工作,一些重点工作是有周期性检查的,但是有一些工作还是缺乏周期性的检查,且覆盖率不广,同时,监管要求的落实,需要其他具有资质的检测机构去落实检测,这里就有一个问题,有资质的检测机构接到一个项目后,派出去实施检测项目的人员在专业能力上真的就有能力去帮客户做好这件事情吗?还是举例:

比如在做电子银行安全评估项目中,会涉及到电子银行业务逻辑、流程梳理,但是据我了解到的,大部分实施人员拿着一个checklist就去了,实施人员他自己本人都无法理解透这个checklist中的东西,对业务的理解甚至还如银行自己的人员,你怎么去给别人做业务逻辑安全梳理,这不是一个笑话?你还别不信,假如有做这方面业务的公司人看到了这篇文章,你可以试问下,你们部门内部有几个人把这些东西吃得住,理得清?

在比如:等保项目实施中,实施人员应该是通过了等级保护培训的,具有相关资质的人员去实施,但是实际呢?当然从能力而言,并不是说没有经过等保培训获得资格,就没有能力做这样的项目,但是绝大部分情况下,实施人员并不了解这个项目的意义,侧重点是什么,有做过等保的可以查一下现场实施人员的等保资格,注意是现场实施人员的,不是投标文件中的人员,所以结果自己体会。

2.8 弱监管、没监管

有些行业是处于弱监管、甚至没监管的地带,但是这些行业中有些企业却能接触到大量的个人用户信息,比如连锁酒店、商旅出行类的,这些类型企业安全大部分依赖于自身安全认识,出了问题,出来道个歉就算完结,层出不穷呀,作为普通人,你又能咋样。

1599809665.png!small

0x03 基础性的风控规则

风控做好了真的很难,除开了几个大厂以外,在我项目经验中,也和接触风控系统比较多的同事交流过,做好了确实很难,但是基础性的风控规则不是很难,但却能起到很大重要,当这个案例发生之后,我对比了我手里的之前采集到的几个风控规则库,发现还真是可以对案例中的案件起到一定阻断作用的,以部分支付规则为例:

1599809674.png!small

0x04 谁的锅

上面文字,扯了一大堆,和身边的同事也不断复盘讨论,感觉结果就是:“家家有罪,但是又罪不至死”的感觉,那篇文章的作者的遭遇之所以能够得到快速解决,主要是得益于他身处信息安全行业,多一份安全意识,才有了证据收集和对黑色产业链的复盘,且涉案金额不大,行业众多朋友也帮着转发,造成了一些影响,受到了重视,各大平台赔了这事也算结束了,那如果涉案几十万上百万,那各大平台估计就得互相说道说道了吧,反正自己都不是这起案件中的决定性因素,因为这种情况没有谁是决定性因素,当然这都是自己的一己推断,万一有大厂出来承担下所有责任呢,背下所有锅呢,如果你想飞伤痛大厂背,是吧?

最后,说个笑话:

1599809681.png!small

来源:freebuf.com 2020-09-14 15:57:34 by: 信息安全小学生

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论