业务安全系列

April 7th, 2020

前言

坦白来讲,关于业务安全的相关书籍我并没有看到过多少。但所幸对业务安全有那么一点了解。安全治理有个很贴切的说法叫做脱离场景谈策略的都是耍流氓。当然这句话不仅在入侵检测,反入侵场景里适用,更能够在业务安全的场景里体现。搞业务安全的工程师首先一定要对业务有很深的理解,贴近业务做攻防,才有可能做好业务安全,否则即便是最先进的技术,机器学习深度学习。一样是一塌糊涂。业务安全的基础要求就是要能够对业务熟稔才行。 是有哪些终端,哪些平台?支持哪些渠道?搞什么营销?多少版本存在问题?检测能力、处置能力有还是没有?用还是不用?一定要能清楚,同时威胁情报可以很好的反哺进业务安全里面。

书单

两个维度,四项指标。检测能力和处置能力、覆盖度和健康度。 然后就是围绕业务本身的数据安全,账号安全,营销反作弊、刷单、黄牛,反欺诈,防逆向,防破解,防撞库等等,有一部分可能是会归到风控,尽量去促进团队间的沟通,共享信息,共同使用一些数据,和处理结果。

看了一下似乎没有什么专门讲业务安全的书籍,毕竟防暴露出来就不能谓之防了。

java加密与解密的艺术 这本书并没有讲密码学在业务中的应用,记得只是某个课程设计接触到了java涉及的相关加解密。需要提示的是,生产环境下不要自己去尝试设计加解密算法。不要尝试去使用自己创建的加解密工具包。业务安全的防护里,密码学能够提供很大的帮助。但是即便加解密验签也逃不过无头浏览器的爬虫。

Stream Procesing with apache flink

实时流处理框架,flink。同时具有ml组件,规则引擎有没有不记得。这本书我也没有看过。但是flink官网的文档实在是不够友好。大数据框架对数据进行实时分析是风控的一个必然趋势,实时处理结果反哺名单机制,做止损操作。同样实时处理框架不止flink,还有kylin之列。国产的,经常看他们pmc在朋友圈宣传,但是没有用过。另外构建大数据风控引擎没有那么简单,也不是这一本书可以搞定的。存储以及存储调优,查询,计算等等每一环都是问题。所以说搭建一个生产的应用和一个生产级的应用差距很大的。

kafka 这本书也没有读过,挑kafka出来,是因为它做消息队列和java比较搭配。 你可以来这里http://queues.io/ 看看

黑客大曝光:网络安全机密与解决方案 之所以放这本书在这里,是因为很多搞业务安全的,似乎并没有多少安全技术的知识。所以放此一本用来开阔视野,方便理解。

精益数据分析 这本书旨在提醒,如今风控和业务安全需要去依赖数据分析去。不过我已经忘了这本书的内容了。大学的时候还很火。

加密与解密 最后这本是段刚老师大作,多年后再版。这本书没能看多少,太厚了。不过毫无疑问的是,这是一本好书。放在这里,希望能够透过这本书的攻看到一些防的措施。

好像确实没有单独讲防御的。毕竟攻防相对,都是与时俱进的。就这样吧。

后语

无论是一切为了业务,还是为了业务一切。业务安全有两个原则,不一定成立啊,也不一定只适用于业务安全。我且一说,权做参考。

  1. 做正确的事情和正确的做事情。(讨论前你可以提出做正确的事前,结论后你只能正确的做事,执行命令)
  2. 事前不参与,事中不执行,事后不负责。(完整流程,审批留存,测试核验,复测上线,反馈追踪)

记住,黑灰产永远走在第一线的。