近日,安全419关注到永安在线IP风险画像产品的2.0版本正式发布,据了解,此次升级的重点是通过加入自研IPv6识别引擎算法,令其拥有了IPv6风险识别能力,而这也是业内首款具备该能力的业务反欺诈画像产品。
安全419关注到,IPv6近几年来在我国的应用明显提速,根据中央网信办、国家发展改革委、工业和信息化部于2022年4月底联合印发《深入推进IPv6规模部署和应用2022年工作安排》内容显示,截至2021年12月底,我国IPv6活跃用户数达6.08亿,占网民总数的60.11%。物联网IPv6连接数达1.4亿,固定网络IPv6流量占比达9.38%,移动网络IPv6流量占比达35.15%。
同时,该文件也明确了2022年相关工作目标——IPv6活跃用户数达到7亿,物联网IPv6连接数达到1.8亿,固定网络IPv6流量占比达到13%,移动网络IPv6流量占比达到45%。数据中心、内容分发网络、云平台和域名解析系统等应用基础设施深度支持IPv6服务。新出厂家庭无线路由器全面支持IPv6,并默认开启IPv6地址分配功能。“IPv6+”技术生态体系更加完善,行业融合应用领域持续扩大。县级以上政府门户网站IPv6支持率达到85%,国内主要商业网站及移动互联网应用IPv6支持率达到85%。
由上述数据可以看出,IPv6在部署和应用的规模以及增速在未来一段时期内仍将会持续以较高速度增长,而在它背后,意味着越来越多的机构、企业会在业务层面从IPv4迁移到IPv6,且这是一个不可逆的趋势。随着这一转变,黑灰产也必然会开始转向利用IPv6资源发起业务层面的欺诈攻击。
由于IPv6所能给予的地址空间近乎于无限这一特点,可以预见黑灰产所能掌握的IP资源体量也与IPv4时期完全不可同日而语,这就对IP风险画像产品带来了严峻的挑战,基于IP黑名单策略机制的传统产品在面对IPv6风险时,其检测能力将大幅下降,甚至失效。
之所以会产生这一情况,来自于永安在线的安全专家在接受安全419采访时表示,黑灰产会积极利用IPv6地址空间庞大这一特点,在攻击中通过一次性使用的方式,大幅增加防御难度。“由于黑灰产所掌握的IPv6资源下的IP地址数量足够多,因此很多IP地址在一次攻击后就不再使用(相当于作废),在这种情况下,即便将这个IP加入到黑名单也已经没有任何意义。”
一方面是我国当正在全面规模化部署和应用IPv6趋势下,甲方用户侧的业务也开始大范围的应用IPv6;另一方面是整个安全行业针对IPv6风险识别能力尚有欠缺,传统的IP风险画像产品面临失效的尴尬处境。于是,这一领域由此陷入了一个亟需破解的困局。
据了解,永安在线早在研发其IP风险画像1.0版本产品之时就已关注到IPv6的相关风险,但根据当时IPv6在国内的发展状况以及通过对用户调研得出的数据,IPv6在当时仍不是主流,根据对黑灰产的监测情况看,攻击者也未普遍利用IPv6,因此该产品的1.0版本于2019年推出时,并未提供对IPv6风险识别的能力。不过,他们并未因此放松对IPv6风险的关注。
永安在线的安全专家告诉我们,在发现黑灰产开始逐步应用IPv6进行攻击的苗头显现后,永安在线便立刻开始投入到相关风险识别能力的研究中,在这一过程中他们发现,与此前IPv4时期类似,黑灰产在利用IPv6资源发起业务欺诈攻击时,也会频繁利用秒拨技术不停地更换IP。
通过覆盖全国大部分地区的蜜罐部署,永安在线早已具备对秒拨平台流量的捕获能力,并进一步对黑灰产IPv6资源监测能力做出升级,目前已经能够实现对全国20多个省份、100多个城市黑灰产IPv6流量的精准监测。
在这一基础上,通过提取秒拨平台给黑灰产提供IPv6资源的规律,永安在线自主研发了一套完整的IPv6风险识别引擎算法,从而做到了能够预先判定相关IPv6地址是否有被黑灰产利用的风险,并同步给企业用于业务场景下的风险审计,帮助其能够实时判断IP的相关属性。
如果以我们的角度来看,无论是技术层面的识别引擎算法,还是功能层面的IPv6风险识别能力,此次产品升级的跨度是巨大的,满足了当下用户迫切的业务安全需求的同时,也终于填补了我国在IPv6风险识别领域的空白。
除了加入IPv6风险识别能力之外,IP风险画像产品的此次升级其实还带来很多其他的内容,主要体现以下几个方面:
1、加入IP历史风险查询功能
上一版本的IP风险画像产品主打的是实时风险检测,用户只需要将其部署到业务系统中,就能够实现实时检测业务中是否有来自于风险IP的流量。
随着企业在业务层面的不断升级, 相关风控建设不断加码升级,并开始在业务系统中应用更为全面的风控系统。在这一趋势背景下,企业对IP风险画像这类专注于某一风险领域的产品也提出了新需求,那就是在未直接部署到业务线上的情况下,能够对IP历史风险数据流量进行清洗和离线审计。
这在上一版的IP风险画像产品中是无法实现的,因为它只能够实时判断一个IP在当前的风险值,无法判断在此前数天或过更久时间前的风险值。升级后的永安在线IP风险画像2.0版本加入历史风险IP分数计算功能,可以提供对某一个IP在近一个月内任意时间点的风险评分。永安在线方面表示,该功能在操作上也十分简单,只需要将想要查询的时间和IP输入,该功能便会快速的输出该IP在相关时间的风险信息。
自此,永安在线IP风险画像产品2.0版本既可以支持实时风险查询,也可以支持历史风险查询,覆盖应用场景的范围更广,在满足当前时期下的用户需求层面得到了提升。
2、IP判分规则引擎升级令风险IP误报率降低一倍
关于IP风险分数的判定,一直是IP画像产品的重要功能,据介绍,此次升级主要体现在引入了“IP类型”这一维度。
在不断对黑灰产研究、调查中,永安在线发现很多代理平台中的IP逐渐被秒拨技术获取到的IP代替,在这一过程中,大量家庭宽带类的IP资源开始被黑灰产所利用,而且占比在逐步增大,而以往占比较高的数据中心类、企业专线类的IP占比在逐步减少。
为此,永安在线决定增加IP分类维度,根据不同类别的风险IP以不同的判断逻辑去给出风险分数。安全专家在接受采访时介绍到,在引入了IP类型维度后,在实际应用环境中已经取得了立竿见影的效果——IP风险画像产品2.0版本的误报率相比早前产品直接降低一倍。与此同时,在风险IP的识别率方面也有5%的提升。
3、开放风险阈值分析工具 企业可根据自身业务情况设定
在此前的1.0版本产品中除了提供对IP的风险评分(0-100分)功能之外,永安在线的产品研发团队还基于自身的认知,为用户划定了一个分数界限作为判定IP风险高低的阈值,并以此将风险等级划分为高、中、低三档。从常规角度看,更为直观的分值数据似乎是更受欢迎的,但产品推出后,客户在实际应用中却更喜欢用后者。
原本这是为了便于用户使用而设计的功能,但在不同的客户以及不同的业务场景下,以固定分数界限作为判断高、中、低风险之间阈值也展现出一些不足。比如将94分作为高、中风险间的阈值(高于94分即为高风险),在不用用户的业务场景下,对于部分用户来说以这一标准设定的IP高风险范围,在识别率和误判率方面都能满足要求。但与此同时,那些对高风险IP误报率要求更为极致的用户,可能会觉得这一设定就显得误报率较高,甚至无法接受,但受限于当时产品的能力,用户自身有没有办法去对这一设定做出调整,而且即便能设定,也无法判断对于自身业务而言,到底以什么风险分数去作为高、中、低阈值更加合理。
在意识到这一问题之后,永安在线决定换一种思路,让企业可以利用自己的业务流量数据,然后通过工具去进行计算,得到一个整体数值分布的数据,通过这一数据去设定适合自己的风险阈值。
永安在线的安全专家介绍到,升级后的IP风险画像产品2.0版本已经通过风险阈值分析工具实现了这一功能,用户只需自行使用白样本和黑样本数据,经工具对样本数据进行计算和分析后,就能得出两者各自的风险IP分数分布,同时也会得到对应白样本数据的误报率和对应黑样本数据的识别率各自为多少,基于这些数据,产品会为用户提供适合该用户的高、中、低风险的阈值分数设定建议,最终由用户确定并配置到IP风险画像产品中。
这样,用户不仅可以结合自身业务的实际情况去设定IP风险等级,而且还可以根据业务变化随时调整风险等级的设定规则,在实用性和易用性方面都得到了不小的提升。
IP风险画像广泛应用在业务反欺诈领域,在该领域,数据类解决方案具有的直观的可视效果是行业用户更容易接受它的最大理由,但随着业务场景的获客成本不断提升,以及黑产攻击手段的不断翻新,业务反欺诈产品也必须不断作出系统性升级才能满足企业应用所需。从永安在线此次对IP风险画像2.0产品的升级来看,既解决了企业急需解决的IPv6的恶意流量识别能力,又系统性地提升了产品在用户侧的细化功能和检测能力。
同时我们了解到,这次产品从1.0升级到2.0,永安在线的老用户将免费获得产品能力的提升,而无需额外增加反诈成本投入,而对于新用户而言,其反诈成本投入与此前也没有发生任何变化。