1.4 企业数字业务安全风险的成因

企业数字业务安全风险是伴随着数字化的普及和发展而产生的。企业业务转型线上实现数字化后，新的商业模式带来了全新的业务环节，而由于企业内部在技术、管理、思想上存在着种种不足，导致企业数字业务的各个环节之间存在着若干安全隐患；随着技术门槛的降低，掌握各种攻击手段也不再困难，企业面临的外部攻击和欺诈愈加专业，手段多样，攻击成本日益降低，企业数字安全风险产生的原因如图1-3所示。

1.4.1 新的商业模式带来风险

企业数字化业务的发展离不开移动互联网的推动。移动通信技术的迅猛发展、智能终端的广泛应用，推动着移动互联网的飞速发展。人们可以随时随地通过移动互联网快捷地获取各种网络服务。移动互联网催生的移动支付，让随时随地的在线交易成为可能。共享出行、共享单车、网约车、外卖平台、移动互联网金融等一大批新的商业新生态随之而生，如图1-4所示。

伴随着新的商业模式的诞生，新的风险也开始显现。一方面，线上与线下的环境、逻辑、用户距离上差异很大，例如，数字化业务是一种随时随地、7×24小时不间断提供服务的模式，让用户与企业的距离更近，业务逻辑更短，让下单、交易、核销、个人信息传递等关键业务流程直接在线上进行，由此产生了一大批新的漏洞隐患。另一方面，企业的管理者和运营者缺乏系统的数字化业务运营经验和安全意识，对数字业务的风险意识淡薄，相应的数字业务安全措施并没有系统规划和准备，由此为遭遇风险攻击埋下了隐患。

2013年如雨后春笋般出现的O2O服务，商家为了拓新拉客占领用户手机，红包、优惠券、免单券、折扣券、礼品、试吃试用、返利等企业推广手段层出不穷。鼎盛时期，在北京朝阳区望京SOHO楼下的“O2O推广一条街”转一圈，领取到的各种优惠够一个成年人足吃足喝一整天。

2014年，互联网金融公司成为推广新主角。无门槛的加息券、返利券、现金和丰厚推广礼品吸引了大批参与者。

就在这一年，一部分人开始利用社群或社区有组织、有计划、大规模地领取商家优惠，并通过多种平台进行转售获利。由于收益可观，“薅羊毛能赚钱”的理念迅速流行并扩散。恶意薅羊毛的业务欺诈参与者逐步呈现职业化、团伙化特征，创造出更多薅羊毛的方法和工具，并形成了信息窃取、账号倒卖、工具制作、攻击实施、商品转售的完整产业链条，业内称之为“黑灰产”（后续章节会对黑灰产进行详细解读）。

1.4.2 风险攻击手段越来越专业，成本越来越低

业务安全风险与技术发展紧密关联。移动互联网、云计算、人工智能等技术在企业数字化业务中取得显著应用成效的同时，由新技术驱动的业务安全风险也正在形成。技术在助力生产的同时，也正在成为黑灰产发动风险攻击的工具，并降低了风险攻击的门槛和成本。

2018年，警方抓获某高科技犯罪团伙。该犯罪团伙使用基于神经网络模型的深度学习技术，训练了多个验证码图片识别模型，能快速识别当前网上80%以上的验证码。在突破验证码安全防护策略后，嫌疑人就可获取网站后台的数据、网友敏感信息。

此外，该犯罪团伙还制作出很多“技术先进”的智能牟利工具，用于其他犯罪手段。例如，利用自动售货机器人贩卖各类被盗的账号，利用人工智能技术批量解封被封账号等。

黑灰产的技术应用不仅自用，还会通过各种方式出售或租赁给其他非法组织、个人使用。

在黑灰产业链中有明确的分工。以上面的犯罪团伙为例，是典型的上游基础组，主要是提供各类破解工具、打码平台、伪造工具、代理工具；中游信息组主要是提供社工库、垃圾注册、盗号、洗号、信息盗取、数据爬虫、交易交流平台；而下游变现组，主要实施骗贷、欺诈、刷单、刷粉、薅羊毛等攻击行为。

通过上下游分工明确黑灰产业链，普通人已经可以轻易购买到各类黑灰产工具，对企业的数字业务发起攻击。

1.4.3 企业数字业务存在若干隐患和漏洞

企业数字化业务通常随时随地、7×24小时不间断地提供服务，这在提升用户使用体验的同时，也对业务的风险管理、运营管理提出了更高要求，然而众多企业在数字化浪潮中并没做好相应的准备。

例如，企业在业务规则上设计不合理或门槛过低，黑灰产可以反复领取优惠福利；在App等服务平台上存在各类系统漏洞，黑灰产能够针对这些漏洞开发各类恶意程序实施攻击；在业务模式上，企业缺乏对线上环境的预估，业务模式生搬硬套，导致业务逻辑出问题，被黑灰产钻空子；管理思路上没有跟上24小时在线的业务形态变化，忽略了非工作时间的安全运维，产生安全风险。这一系列问题，导致业务存在种种隐患，成为黑灰产攻击的入口。

某运营商为回馈老用户，新上线一个App，主要为会员提供各类活动。其中一个活动是，为使用一定年限的老用户提供500MB的免费流量。由于领取规则过于简单，一晚上被狂薅数百TB网络流量，损失惨重。该运营商第二天早上才发现问题，紧急关闭活动。在修改领取规则、部署风控系统后，活动才二次上线，但损失已无可挽回。

该风险事件非常典型，直接暴露出了三个漏洞：首先，规则设置简单，例如，一个号码可以短时间内反复领取；其次，利用其App存在潜在漏洞，黑灰产制作了批量薅羊毛的软件大肆“薅取”福利；再就是依旧按照朝九晚五的实体营业模式，未基于数字化业务特点，实行24小时的运维值班服务，以致反应迟缓，问题处置不及时。