數字品牌保護:一種威脅情報業務應用實踐
作者:星期一, 六月 10, 20190

威脅情報(TI)對企業安全工作的重要性已經毋庸置疑。無論是以接入威脅情報源客戶自行管理分析的方式,還是依賴供應商采購能夠自動化接受TI饋送的安全產品,或是二者兼具,威脅情報可以說已經成為業界的標配。對一些具有全球視野的大廠而言,還是他們在威脅發現和快速響應方面極具競爭力的優勢。

但威脅情報還在不斷的進化當中,除了典型的安全攻防外,威脅情報還有著另一重要應用場景。

從真實品牌保護需求出發

隨著智能設備和我們的生活越來越密不可分,接入互聯網幾乎可以隨時隨地實現。人們習慣通過微信、今日頭條、新浪微博等渠道獲取最新的信息。企業角度,營銷手段自然也要緊追消費者的習慣而改變。實現便捷、覆蓋范圍廣泛、成本相對降低,這些都是數字技術相較于傳統的紙媒、TV等形式對品牌傳播的天然優勢。官方的網站,各社交、電商等平臺的官方或授權賬戶,都是重要的品牌推廣渠道。但是,全球化、業務形態多樣性、平臺監管手段不足等種種原因,讓仿冒App、釣魚站點等欺詐行為有了生存空間。越是知名的企業,或者新興、關注度高的行業,越吸引網絡犯罪者,違法獲取消費者敏感或隱私信息,甚至進行商業攻擊。

所以,品牌保護是企業維護自身利益,保障業務價值的重要需求。

早在2016年,國內就有類似技術實踐,但是相較于數字品牌保護這一完整定義,之前的應用場景要窄一些,更多是專注于釣魚網站的監控,包括行業、域名后綴、地區、ip等信息。但是,發現并持續監控,是第一步,重要的一步,但不是最后一步。

“數字品牌保護” 的兩大核心能力,一是在于利用威脅情報廣泛且具有深度的的視野,對侵權、欺詐等惡意行為全面發現和自動化監控;二是在發現后,能高效的處置,即能夠聯系相應平臺和監管機構,快速的進行關停、下線、刪除等操作。做到后者,才能真正實現 “保護” 客戶數字品牌利益不再繼續遭受損失。這也是區別不同廠商能力,或者說實現數字品牌保護的重要壁壘所在。

無獨有偶,國外眾多研究機構也在跟蹤這一技術趨勢。國外調研機構Forrester也在2019年的一篇報告中,針對性的介紹了這種威脅情報衍生的技術能力,認為比傳統情報訂閱或產品能力增強的形式更貼近企業業務,并將其稱之為數字風險保護(DRP)服務

將威脅情報用于業務和品牌威脅自動化監控

數字風險保護是一個較新的TI應用場景。Forrester在今年4月發布的《2019年數字風險保護市場》調研中,將數字風險保護看作客戶應該投資的首要威脅情報能力。諸如RiskIQ、Blueliv、IntSights等TI廠商均有參與到Forrester這個報告中。

報告提及,大部分企業高度重視為威脅情報的價值(64%的安全高管愿意將提高企業對威脅情報的應用能力作為一個高優先級或關鍵事項),但在推進TI落地方面則往往無處下手。究其原因,Forrester表示,CISO們的大量顧慮集中在:采購成熟的威脅情報費用過于昂貴、TI領域應用場景和標準相對零散、難以估量投資回報并推動高層持續投入上舉步維艱等問題上。

Forrester認為,數字風險保護在以中小企業為主的中端市場有更明顯的優勢和前景。中小企業往往安全預算更加受限,負責安全運營的的人員數量和能夠投入的精力都相對較少,如何以較少投入從威脅情報中獲得更大更直接的收益,無論對于這些企業的安全負責人還是安全供應商,都是重大挑戰。

數字風險保護的重要優勢在于,通過近乎托管的方式,客戶可以委托服務提供方基于威脅情報廣泛的視野,重點實現對社交媒體(賬戶及言論)、Web站點、文庫/磁力鏈等下載源,對客戶數字業務和品牌高風險甚至已經造成傷害的行為進行自動化的監控,并在第一時間幫助客戶采取授權的行動,盡快止損。而在這個過程中,客戶自身幾乎不用做任何事情,采用這一服務的成本也相對較低。

Forrester在報告中,將這些可能的風險行為及其對應的保護思路歸納為下面8種:

1. 品牌濫用監控(針對虛假社交媒體賬戶和釣魚網站的欺詐行為)

2. 仿冒和欺詐檢測(包括出現在網絡黑市、論壇等地的仿冒和侵犯知識產權的行為)

3. 數據泄漏發現(包括深網和暗網中的敏感數據)

4. 數字足跡的定位和監控(漏洞、暴露資產和影子IT等問題的發現)

5. 員工監控(現員工和前員工在社交媒體上的活動)

6. 人身風險(包括地點、活動、高管旅行計劃等可能造成人身傷害的數據泄漏)

7. 釣魚阻止(以竊取消費者支付或隱私數據為目的的釣魚網站)

8. VIP和企業高管保護(確保重要人士的安全,包括清除虛假的社交賬戶)

除了Forrester以外,另一重要調研機構Gartner也關注到了這一新的技術應用領域,在其《威脅情報產品及服務市場指南》中,對應列出了企業業務和品牌提及了包括對社交媒體、品牌、深網與暗網、釣魚等欺詐行為、以及仿冒手機app的監控,作為目前威脅情報服務的重要應用場景。在《When Security Meets Marketing —Who Owns Digital Brand Protection?》這篇報告中,也同樣指出了數字時代品牌保護的幾個核心要點:發現、分類、處置、管理分類,而報告中提到的主要玩家,許多同樣是威脅情報領域的知名玩家,比如RiskIQ等。

但不難看出,目前全球對威脅情報的應用還處在廣泛的探索和積極嘗試階段。如果說數年前,威脅情報的難點還在于支持/管理平臺、廣泛的數據收集和分析后的針對性饋送的話,那么在技術日趨成熟的今日,特別是對于新興、專注于威脅情報的公司,重要的是可行且有切實付費需求的應用場景,以及其背后的商業模式。

從上文的介紹可以看出,從威脅情報(TI)技術到數字品牌保護(DBP)的應用,并逐步向著數字風險管理(DRP)發展,已經成為業界的發展趨勢。國內安全企業,也有在做著相似的實踐。

天際友盟的數字品牌保護實踐

成立于2015年、專注于威脅情報應用的安全公司——天際友盟,近期將企業定位從 “情報應用” 升級為 “數字風險”,形成威脅情報應用+數字品牌保護的兩大產品和服務線,并以釣魚網站監測和關停為起點,推出了一系列針對 “數字品牌保護” 的解決方案。

天際友盟在 “數字品牌保護” 方面的能力優勢主要體現在以下幾點

1. 監控的全面,得益于廣泛的情報合作。這包括國內外近200家機構,日更新超過千萬的IOCs,以及基于機器學習的全球惡意域名的自動化監測和發現能力。此外,還有對域名注冊、DNS請求、以及網站指紋的主動探測。

2. 快速的處置,難點則在于和各國域名、網絡、VPS(虛擬專用服務器)、CERT、社交平臺、應用商店、主流網盤等機構的高效溝通。在建立聯系,多次合作后,可以通過自動化工單的形式,實現快速(大量統計在10分鐘以內)的關停、下線、以及內容刪除。

3. 全球覆蓋,許多仿冒侵權的灰黑產從業者,往往把釣魚網站等主體放在海外,并采用反偵察和訪問識別等手段來躲避打擊,而客戶的品牌業務往往需要提供全球服務,因此傳統屏蔽的手法不能滿足新時代的業務發展趨勢,需要有全球打擊能力,才能從源頭上解決問題。

具體到 “數字品牌保護” 服務內容上,目前天際友盟提供下面五個能力:

1. 仿冒和釣魚保護

釣魚和仿冒的核心目的,在于通過模仿真實的網站,騙取受害者支付和隱私信息。作為天際友盟 “數字品牌保護” 的重要一類場景,無論是網站、手機App還是社交媒體賬號,全面的監控和快速的關停都是非常重要的。諸多釣魚重災區行業,諸如銀行和互聯網等,都有的強烈需求。

特別是對于釣魚網站,作為天際友盟開展較早的品牌保護服務,給出的處置數據,最快關停時間是5分16秒,平均時長不超過24小時。

2. 品牌侵權保護

與仿冒和釣魚不同,品牌侵權指的是諸如未授權的品牌使用,以及利用相似域名、仿冒App蹭熱度,通過暗示與某知名品牌的聯系,實現欺詐消費者的行為。處置的方式,包括停止域名解析、侵權內容刪除、App下架等形式。

3. 版權保護

在中國知識產權意識較為薄弱的大環境下, 盜版一直非常泛濫,特別是諸如影視、小說、音樂、圖像等數字作品版權。除了明確版權擁有者和發行方的具體需求,對發布資源的網站和社交媒體平臺進行全面監控外,還要和主流網盤、播放平臺對接,實現快速的內容刪除。同一數字作品,因為正常的排期、發售的時間點各國有較大差異,所以官方的安排沖突對于特定國家和地區的版權保護也是重要挑戰。

4. 威脅誤報恢復

威脅誤報恢復主要是兩個方向,一是在app開發時引入第三方SDK后,因SDK異常引起反病毒廠商的誤報,二是瀏覽器對基于第三方安全評估結果對頁面的誤攔截。SDK方面,能夠基于不斷風險的SDK列表,主動提醒客戶在開發時規避,并在發現問題后,協助客戶和第三方檢測機構溝通(覆蓋超過70家反病毒廠商);瀏覽器則主要在第一時間向客戶發出預警,并幫助分析誤報的情報信息源頭,盡快恢復頁面訪問。

5. 數據泄漏保護

區別于版權保護,數據泄漏保護主要指企業內部敏感數據被公開在網站、各文庫、網盤和社交媒體等平臺上公開傳播。能力方面則相對類似,在于泄漏內容發現和快速刪除,屬于不同的業務場景應用。

安全牛評

數字品牌保護,對威脅情報服務商和客戶而言都是一種新的思路。兼具廣度和深度、以及自動化能力的監控,快速的處置和源頭打擊的服務能力壁壘,更明顯、易理解和估量的服務價值,在這樣一個重視品牌和侵權行為及其后續影響的全球商業環境中,數字品牌保護可能會成為威脅情報廠商未來一種重要的應用場景和商業突破點。

相關閱讀

訪談|天際友盟如何將威脅情報落地

 


相關文章

寫一條評論

 

 

0條評論