数字化浪潮下内外部攻击风险持续变化,针对多样化的风险场景及需求,威胁猎人持续提升产品核心能力,有效识别各类黑产攻击风险,助力企业构建主动防御能力,2024年6月,威胁猎人帮助客户发现风险事件5998起。
威胁猎人6月产品能力提升详情如下:
一、风险情报平台
正式上线黑产交易风险监测模块,构建“黑灰产交易风险全景图”
庞大的黑灰产业链下,上下游各环节分工明确,例如在上游资源采购环节,黑产通过交易市场采购接码、账号、工具等攻击资源;
在下游交易环节通过交易市场将攻击所得的优惠券、实体商品、会员积分等套利变现,企业亟需了解黑产交易过程中的潜在风险及趋势。
2024年7月,威胁猎人风险情报平台黑产交易风险监测模块正式上线,通过持续监测大量黑产交易风险,为企业构建“黑灰产交易风险全景图”。
该模块基于大语言模型技术,对复杂商品信息进行结构化数据提取及分类归一,实现精准的商品及业务分类,商品类别达到400种,清晰呈现黑产交易商品的类型/分布量级、风险变化趋势、黑产交易商品价格等详情,帮助全面及时感知黑产攻击风险。
目前累计监测335个黑产交易平台,覆盖270W黑产商品,日均新增捕获黑产商品数量达到6000。
二、数据泄露情报平台
监测渠道及情报覆盖数量持续增加,较5月新增13786个情报信源
暗网和匿名群聊是黑产进行数据交易和分享信息的主要场所,威胁猎人数据源分析团队针对暗网和匿名群聊进行专项调研和拓源,避免黑产情报信源失效或过期,进一步提升情报捕获的及时性和准确性。
截至2024年6月,威胁猎人累计监测暗网、私密群聊等65469个渠道,较5月新增13786个情报信源,通过情报信源的实时动态更新,建立覆盖更广、更全面的数据泄露风险情报库,帮助企业及时地感知数据泄露风险。
三、品牌广告欺诈风险感知平台
近年来,企业对广告投放效果的关注度不断提升,仅仅关注广告覆盖、用户浏览等单一指标,很难真正了解品牌广告的实际效果,需要通过有效的广告欺诈监测,应对品牌广告所面临的长期效果差、效果难度量等难点。
威胁猎人基于威胁情报推出针对广告欺诈领域的风险感知平台,通过规模化搭建流量监测的蜜罐集群,对主流互联网智能终端设备进行全面监测,并基于**“广告欺诈情报分析引擎”**进行流量解析及分析,为各大品牌企业实现从欺诈风险感知、欺诈流量定位到虚假刷量存证的反欺诈闭环。
四、特权账号泄露风险感知解决方案
特权账号主要指具有特殊权限的账号,通常拥有对系统、网络或数据的高级访问权限。
在企业数字化建设过程中,服务器、数据库、业务系统及相关账号越来越多,特权账号无处不在,除了内部账号被窃取的风险,也存在大量第三方接入的风险,尤其在网络攻防演练中,特权账号已经成为攻击者入侵的首要目标。
威胁猎人基于多年对暗网、匿名群聊等黑产数据交易渠道布控,对黑灰产交易行为进行实时、全面的监测,针对监测到的员工账号、用户账号等数据,进行数据智能清洗及账号成分分析,帮助企业从外部视角感知特权账号泄露风险,快速获悉已经失窃的账号并进行针对性治理防护。
目前,威胁猎人情报监测平台平均每日可监测已泄露的企业员工或用户账号交易数据量一千多万条,涉及电商、消费电子、游戏、网络服务、社交媒体等多个行业的企业邮箱系统、统一身份验证系统及各类重要业务系统。
五、风险画像产品
为了帮助用户更准确判定风险IP的类别及作恶来源,2024年6月,威胁猎人对“好坏共用-代理”及“云函数”两个IP风险标签的名称进行变更:
1、将“好坏共用-代理”IP风险标签的名称变更为“劫持共用代理”IP风险标签
这一命名的变更,将更加直观地突显这类IP资源的本质特征,即被黑产恶意劫持的正常用户IP资源。威胁猎人基于情报监测及挖掘能力发现大量“劫持共用代理”IP,日均捕获数量达80万。
从2024年5月份的IP类型占比来看,“劫持共用代理”IP占比达到代理IP总量的63%以上,已经成为攻击者主要使用的IP类型,由于作恶情况更加普遍,各企业可重点关注这类IP资源,针对性进行风控策略调整。
2、将“云函数”IP风险标签的名称变更为“云服务”IP风险标签
“云服务”更加明确地传达了这类IP资源来源于“云计算服务”的特性,帮助用户快速把握其标签定义,有效识别黑产批量利用云服务发起的恶意攻击。
“劫持共用代理”、“云服务”等IP风险标签能够帮助客户审慎处理这类灰色地带的IP,避免“一刀切”拦截处置策略带来的误伤。
企业可以充分利用这类IP风险标签,并结合具体业务场景,通过多维度数据进行校验及风险判定,发现更多潜在风险。