内容来自2025年05月14日，阿里巴巴集团业务蓝军团队负责人马震豪老师在京东第十七期京麒沙龙上的技术分享的语音转录。

大家好，感谢京麒沙龙带来的这次分享的机会。今天我要与大家分享的主题是《网安利刃：业务蓝军的攻防之道》。我将要站在业务蓝军视角上去讲述我们在业务蓝军攻防过程中是如何攻和防的。

首先作一个自我介绍。现阶段我是阿里集团安全的业务蓝军团队的负责人，拥有十年的互联网甲方建设经验。曾负责了淘天的应用安全，以及做过很长一段时间的业务安全的风险分析的支持和支撑，帮助业务发现了很多的潜在风险和潜在问题。

今天我要讲的内容分为五个部分。首先，是业务蓝军的一个定位。其次，是业务蓝军的平台化的能力，以及业务蓝军的攻击流程，还有业务蓝军的实战案例的分享，以及未来可能存在的一些挑战与趋势。

业务蓝军的定位

我们先看一下定位。我简单概述一下，前面猛哥和袁老师说的渗透蓝军和业务蓝军的一个区别。基础安全和网络安全场景下，大家核心关注的是漏洞、打点、人员信息、物理机房等等这些场景。实际上与企业当下面临的业务风险的关联度相对较远。

业务蓝军更多是以黑灰产视角，从外向内来看风险，通过黑灰产的一些情报去获取相关的风险点。然后结合我们自己的安全研究，建立自身的核心能力，通过实战的方式去帮助业务发现问题，真真正正的通过以攻促防帮助业务来把这块的风险暴露出来，提升对应的安全水位。

2016年，阿里安全成立了蓝军团队。我们在这过程中发起了数万轮的攻防演练，覆盖了整体阿里集团的所有核心业务。主要场景包含了像营销活动作弊、广告投放、虚假流量、直播、数据防爬、垃圾账号注册以及CC攻击等，帮助阿里巴巴度过了淘宝和天猫的双十一、618、双十二等业务活动。在这过程中，我们核心是帮助业务方发现和扩大，让他们看清黑灰产还可以这样去攻击。然后整体极大的提高了对应的召回率，累计降低了近亿级别的资金损失。

我们蓝军自身的使命就是模拟黑灰产，超越黑灰产。我们期望的愿景就是让业务完全风险归零，我们上游其实就是叫“归零实验室”。

业务安全常见风险点

这里我简单介绍一下业务安全下常见的几个安全风险点：

1.首先是敏感数据信息泄露，像常规的针对于漏洞爬虫，还有像漏洞利用进行数据脱库。比如说我日站日到服务器里，拖走整体的数据，导出SQL。这种情况下，核心关注的应该是需要利用到漏洞点。

但是还有一种场景是类似于像越权场景一样，它是业务公开的一个功能，只不过是通过遍历ID的方式或者在遍历UMID等信息的时候，它可以造成每个用户的信息都被暴露出来。之前Facebook就出现过被攻击者扒取了超过5.33亿名的用户信息，并放到暗网里去售卖的事件。在这过程中，如果不是因为漏洞而造成的风险，还有一种情况就是类似于爬虫场景来造成的此类风险，这其实对于业务来说是比较痛的。

2. 第二个风险点是业务的营销活动薅羊毛。比如说，每年我们都会有春节活动红包、双十一、618、盖大楼等营销活动。公司为这些活动都可能会准备过亿的资金给到用户，但是这些资金大部分被大量的羊毛党、黑灰产给薅走了。他们使用的方式就是用一帮人，可以简称他们叫团伙，他们有利用技术的手段，批量的做集群，或者叫做手机云墙，然后去参加我们这类活动，导致我们业务平台有资损。

3. 第三个风险点其实就是像黄牛类的秒杀、抢购。比如说像茅台，还有一些手机以及像演唱会等抢购场景。对于黄牛来说，它们的获利简单，因为只要抢到，他们就能赚到。其次呢，他们还能做到来钱快、收益高。黄牛通过这类黑灰产场景的手法去作弊，对于平台来说，或者对于消费者来说，都是有资金损失的。本身我们是希望通过低价或者相对便宜的方式，直接让消费者来获利。但是，黑灰产、羊毛党以及黄牛党来和我们竞争和对抗以后，会导致我们实际的投入变成了被别人薅走。

4. 第四个点是垃圾账号注册。这里我举个例子，星巴克的一个业务上线的拉新营销活动，遭受了大规模的攻击。黑灰产利用大量的手机号注册星巴克的一些虚假账号，并且也能够成功领取活动优惠。同样的，现阶段大家也能发现，在日常生活中，不管是P2P也好，或者是其他的一些业务场景下，都会出现很多的拉人头行为去大量参与这些业务活动，包括上面的营销活动以及黄牛秒杀抢购都是需要有大量的账号。因此，针对于账号注册也是业务安全中最常见的风险点。

业务蓝军的价值

基于上述风险点，我简单总结一下业务蓝军的价值：

首先，我们需要做的事情是摸清楚攻击的手法，识别出对应的风险。也就是模拟出黑灰产的攻击行为，全面了解业务面临的安全风险。在这过程中，我们会挑出风险系数较高、重要且紧急的一些内容，去做实际的攻防演练。

第二部分是评估业务的安全水位。通过模拟黑灰产的一些攻击来准确评估业务的防御能力。有些场景下可能业务连防爬、阻断、测试、凭控限制都没有。这种情况就需要我们去做一个快速的模拟评估，真真正正的摸一遍业务。

第三部分是我们将要模拟真实的攻击者。这时我们就转化成了阿里内部的黑灰产团队，对他们的业务进行批量的注册、批量的流量攻击以及批量的业务数据爬取，从而识别到当前业务有哪些风险。

最后一步是以攻促防，真真正正的通过真实攻击，和业务一起去提升对应的安全指标。

核心落点就是我们通过第三步的真实模拟攻击，帮助业务做一些防控上的策略提升和策略优化，提升对应的业务安全水位。在这过程中，其实就会衍生出三个团队，就是我们内部刚才包括袁老师也说到的红蓝紫的一个概念。

这里我简单给大家解释一下这三个概念：

首先，我先说一下业务蓝军。业务蓝军常见的在我们阿里的业务安全场景下的玩法就是通过发现和暴露风险。我们的核心目标就是发现和暴露风险，暴露出问题。对应的我的对抗面，对抗的团队是业务红军。他核心要做的是感知防控风险，是否能够感知到有人攻击了他。第三部分是他会和紫军团队一起联动，做更多的安全巡检和风险监控。在这过程中，紫军会了解红军所有防控能力和策略，通过技术手段帮助他们做巡检，类似于大数据化的巡检，去发现防控的侧漏和不足。

我们的每个团队都有自己的核心目标。蓝军的场景下就是做一些风险的暴露，核心关注的就是攻击。我们是主动出击，攻击完成后，我们就看我们的攻击效果，看真正的红军需要多长时间能够感知到，能够发现得了。

在红军场景下，他要保障业务的稳定性与数据安全。在攻防过程中，他们侧重的是感知时效性，工作方式就是建立更多的策略，通过算法和数据加持去感知这类所谓的威胁。

紫军则更偏向于白盒的一些防线评估，巡检相关的防线策略是否有效，从而提升整体的安全效能。通过攻防融合的方式，侧重我们的防线是否真实有效。在这过程中他会实时和红军做联动

紫军和蓝军最大的区别点是紫军不能做囤漏洞的一个概念。比如说我们挖到了漏洞，对于蓝军来说，我们可以囤着藏着。这次用完后，下次换个场景或许还能用。但是紫军同学需要保证风险及时消除，因为他们是和红军站在一起的。在这过程中，他们每次做风险的发现和感知的时候，更多是现挖现修。

业务蓝军平台能力

通过这个建设，我们再简单说一下蓝军的一些平台化的能力。

我们现阶段主要有七大部分：

首先是情报感知能力。我们会有很多的数据源的风险监控，我们有专业的情报团队和我们打配合去做支撑，能够发现各种各样的业务潜在风险。这个情报感知能力里还有一部分，其实是对于业务侧有很多正向的反馈、举报和客户投诉的内容，也是算在我们情报感知的能力范围内。

另外一部分是设备指纹能力。我们有很多同学可以做专业的设备指纹技术对抗、设备机器的改机还原以及定制化机型的能力。通过这几项能力，我们可以做到账号的批量注册、批量养号。这个过程中更多的是我们和阿里自己的自身业务去做业务对抗，从而去发现他们的策略是否有效，是否可以被绕过，是否覆盖面足够广，召回足够全。

最后一部分是协议化攻击能力。前面介绍的有设备有改机，但是最底层最有趣的最简单的其实还是如果能够完全做到脱机协议的话，我们直接写个发包工具就能实施攻击。这种情况下，关键要看防御方具备哪些防控能力，或者说他们的防护水位如何。如果水位够低，我们直接用协议化攻击手段就能成功。

除了这样的能力介绍以外，我简单介绍一下阿里安全的蓝军整体的底座有哪些内容。

首先，我们自身有一套攻防演练的平台，结合了刚才上面的各种分析能力。我们可以去编写各类的脚本以及剧本，事前可以有各种各样的能力池、动态的资源池以及设备指纹池。通过各种各样的设备信息，我们整体把演练平台的数据做到流程化的贯通。在这过程中，资源池，就是我们自己的账号、设备、逆向能力以及部分的自动化，甚至于像验证码以及秒播IP等。我们同学拥有对应的能力包括自动化的Fuzz、主动被动的爬扫、日志流量资产识别、情报，还有自动化的注册养号。

那我们能赋能给业务的有哪些内容呢？

核心就是这些风险池，我们能告知到业务，蓝军提供这样的演练的能力和防控的水位，最终能够赋能给到阿里的这些对应所有的业务方。通过我们这样的业务能力能给业务带来在业务风控场景下，他们以前没有关注到的点，或者叫做防控水位比较低的点。因为在这过程中，更多的场景都是会造成平台的资损，以及一些商家、广告主、广告方的一些资损，这些都是真金白银的损失。它和漏洞不太一样的点在于，漏洞是有风险，但现阶段业务风险的话，它是直接造成平台的客观资金损失。

业务蓝军攻击流程

接下来，我们说一下业务蓝军的一个攻击流程。

首先，我们会做业务风险点的挖掘。通过情报感知到以后，我们会识别当前业务有哪些风险点。在这过程中，我们会通过业务方的案例、客诉以及举报内容去找出风险点是什么。

接下来进入第二部分，武器化准备阶段。通过真机模拟，抓包，去分析设备指纹的信息识别。然后，通过我们的代理、注册及脚本，储备各种各样的大量账号信息。接着进行真机日常的养号，提高我们各种账号的可信程度。比如说，养号的过程中，我们日常会进行一些点击，体验一些小游戏，进行正常的一些消费，甚至会给账号充一些plus会员或88VIP会员等。在这过程中，我们会逆向对应的应用攻击的风险的APP，看看能否做一些脚本化的、纯协议化的攻击脚本来准备。

第三部分进入到实战攻击阶段。在实战攻击的时候，就是发包，发完包后，回收我们的攻击结果，看看是否有反馈有内容。正常情况下，攻击完成后，我们给业务提供一个蓝军的演练报告就够了。但是更多情况下，我们发现业务的真实诉求其实是以攻促防。真正要做的事情是帮助业务把防线水位提升上来。因此我们会基于我们的报告，配合业务线一起进行复盘总结，告知他们哪些场景下，哪些业务风控的点其实是薄弱的。配合他们一起把能力联动到红军的一些SDL团队、业务风控团队和算法团队，把对应的能力建立起来，或者如果有缺陷、缺失，我们要迭代、修复和提升上来。

实战案例分享

接下来，我讲一个实际的案例。

业务背景

我们自己有一个演唱会的业务，由于黄牛抢票问题，导致正常用户经常会买不到票，这常常引发业务的舆情风险和客诉风险。业务团队也一直在努力解决黄牛抢票的问题。在这过程中，我们接收到了这个案例需求后，进行了技术拆分，分析它到底有哪些利益点。最简单的就是，黄牛通过黑灰产的技术链路进行一些抢票、秒杀，可以获得高额的获利，因为一张门票，例如周杰伦演唱会门票，黄牛加价可达2000元。

于是我们就去研判黄牛到底有哪些能力。他们核心是有众包，其次有技术，有很多的账号，甚至也有很多的设备，可以做一些逆向动作。在这过程中，我们要做的事情是模拟黄牛黑灰产进行抢票，直到抢到业务方的票，从而去看蓝军的视角下，需要如何评估业务的水位，进行以攻促防。

攻击结果

接下来，我简单讲一下我们两次和多次案例的区别。首先，在接收到这一次需求时，我们配合业务方去做了抢票。当时用了6台设备，抢到了4张，相当于成功率达到60%左右。然后，在去年9月份抢周杰伦的门票时，我们已经和业务方做了一次巡检演练，帮助业务方做了一次相对来说比较大的修复以后，最终用10部手机，抢成功的只有2张。

在去年11月份和12月份，我们还做了一次演练，实际上用10部手机只抢到了一张票。今年再去抢票时，就发现从APP场景下，抢票成本已经非常高，非常困难。

我们是如何和业务一起防控的？

首先我们调研了演唱会票务的售卖途径，比如说有APP、web，甚至有一些小程序、H5等。我们会去测试它整体的薄弱点。在这个过程中，我们会把整体的演唱会路径全面拉齐，把APP、小程序、H5全部都做一次演练。在演练结束后，我们会发现哪些场景下会有严格的设备指纹对抗。比如说，我们投入了很大的资源，最后去抢票后都是失效的，都是失败的，我们就会发现这个防控水位其实相对来说还好，或者我们还可以做深层次的逆向去逆过程中的一些防控算法逻辑。

我们发现这些内容后，把最终的攻击结果回收，方便我们最终出安全的演练报告。出完报告后，和业务方一起去做对应的能力提升。比如说在刚才的演唱会场景下，如果我们在H5场景下做演练，可以演练成功，抢到多张票。我们会和业务方沟通，APP的抢票途径风险水位更低也就是说防控能力更好，但web场景下水位很低。因此，我们建议把web场景的链路整体入口关掉，把所有用户引流到APP端。这样，整体的防控水位就能做到快速提升，从而帮助业务发现和修复风控的一些薄弱点，提升漏洞的修复率，缩短事件的响应时间。

通过这个有效的案例，我们可以帮助业务证明整体蓝军存在的价值，并帮助业务提升对应的安全水位。

未来的挑战与趋势

接下来的部分是未来的挑战与趋势。

我列举了在蓝军场景下，业务蓝军场景下经常会面临的相对来说三个比较大的挑战。有些问题其实是需要质问红军防守方，甚至是红军防守方的防控能力团队，像SDLC这样的能力团队去思考。

第一，AI驱动的自动化攻击。就如刚才袁老师提到的，比如说钓鱼的场景，大家以前都是很固定化的内容。但现阶段AI可以伪造非常多的钓鱼内容，甚至可以做一个完整的原生广告内容系统，并具备隐蔽性，配合对应的钓鱼网站和钓鱼页面，能够做到非常真实的攻击行为。这种情况下，对于普通的大众用户和消费者，以及企业的员工用户，他们的防控意识如果没有那么高，面临的挑战会非常大。

第二，人脸攻击非常泛滥。我们发现很多APP都会面临人脸攻击，在使用授权登录、登录认证等都用到人脸。在AIGC的背景下，人脸攻击变得更加猖獗，因为AIGC生成出来的图像去做人脸对抗效果非常简单，成功率也很高。我们看了很多的防控数据后，发现未来面临的挑战会比较大。

第三，AI刷单风险。在电商行业中，大多数情况的刷单都是雇了很多的人工外包，进入指定店铺，主动搜索，模拟对话聊天后进行下单和确认收货。而AI的拟人化，会增加很多业务安全的风控和防控难度。

技术场景其实还有很多，我今天只列举了三个风险和系数、危险度、威胁度相对来说比较高的内容。

Q & A

Q1： 后续攻击方式中 众包和机器攻击，哪种规模会更大？对于众包的攻击有哪些风险可以识别，以及有哪些防范的措施？

A1：只能说在当下，众包场景和机器场景作对比的话，未来再过一段时间后，众包攻击利用人的攻击行为可能会减少。因为现阶段机器攻击加上大模型智能化，完全可以做到更拟人化。未来，拟人化的机器攻击行为可能会大于众包，但这还得看风控的对抗识别能力能提升到什么样的段位。

对于众包的攻击有哪些风险可识别以及防范措施？首先，众包肯定是一群人去做这样的聚集或散开。在这种情况下，我们需要通过行为场景来做风险感知。通过行为，比如说某一时间后，下发出去的一个众包任务，大家在3小时内或24小时内快速完成这一项任务指标。在这过程中，单次行为肯定是不够的，需要通过多次行为来识别风险。如果这些人是宝妈，或者是专业做这种羊毛党的大学生，这类群体具有高度聚集性和行为重复性，通常会持续参与众包任务。在这种情况下，我们通过多次行为方式去做风险识别。

防范措施方面，我们只能针对做一些更多的防控限制，比如说只允许他们参加一些低价的廉价业务活动，而高价值的业务互动活动场景，我们可能就不能把它放到这个可信名单里了。

Q2： 对于刚起步的业务蓝军团队应该优先发展哪些方面的能力呢？

A2：首先咱们至少得有对应的逆向的同学，逆向的能力。至少针对于多个端，比如说APP、小程序、H5，包括像一些EXE场景都需要能做到对应的逆向。在这过程中去和风控的算法，比如说他们做了哪些的信息收集、设备指纹采集去做对抗，这个能力是最重要的点。

其次，就是刚才讲到的很多的平台化能力。譬如说资产收集平台，我们就需要有一个多资产的概念。在这过程中，我们可以快速提升我们蓝军同学对一个业务或者对一个业务目标的了解，以及通过监控他每一次版本的迭代和升级优化，看到有哪些变化，从而进行一个长期的跟踪跟进。主要就是这两大部分，再有的话呢就是更多的像工具化能力的一些建设了。

Q3：这个漏洞真的不能堵吗？实名制，刷脸入场他们是怎么把票转出去的呢？

A3：当下针对于像刚才问的这个APP抢票的场景。他们现阶段通过实名制，我们其实早就已经上线了，但是依然可以有bug，毕竟有人的市场，有人的世界就有bug。其实我们已经上了对应的实名制，但是总有一些这样的恶意黑灰产会主动地call电话来联系，说比如“我买错票了，我需要把这张票转让给我的谁谁谁”，或者叫做“你给我退票”，然后退完票以后再去抢。就是他们其实说真的有很多的骚操作，这种情况下，其实和技术是无关的。更多的其实是业务漏洞，或者叫做用户体验场景下去和他们做这块的对抗。

Q4：黑灰产情报建设你们是怎么做的？

A4：我们现阶段针对于黑灰产情报建设呢，是我们的友军团队在做的。我只能大致说一两点，譬如说我们可以做一些信源，像国内部分话，我们更多的是在小红书、微博去做这块。然后我们去做一些信源的安全监控。在这个过程中，我们针对于各种各样的case，去帮我们做风险的感知，让我们知道有哪一类问题和哪一类信息，需要我们去做及时的更新和排查。这部分工作是我们的重点运营方向。

再者，就是通过Telegram上去做一些监控，去监控黑灰产在从业过程中，他们在玩什么样的一些新的方式方法以及手段。然后呢，看哪些渠道和哪些信息和我们电商业务场景以及我们整个阿里业务场景或其他的业务场景下有哪些这样的共同风险。然后的话我们去做定向的监控和使用。

Q5：阿里有在做大模型模拟攻击测试吗？

A5：我们现阶段其实还在探索中，这块需要点时间。

Q6：如何在众多流量中发现以前没有覆盖到的耗羊毛的行为，主要依据设备检测和风控吗，我们这边安全与风控是分开的？

A6：安全与风控是分开的，都很正常，我们也是分开的。但这过程中我们可以帮助风控团队去建设对应的感知能力。就是说他如果做得一般般，或者你认为不太行，我们可以帮他去加强他的感知能力。

那在这过程中，首先至少你得有流量，你得能知道坏人是谁，什么时间，在哪儿攻击你，攻击你的是什么？然后在这过程中有哪些利益点？其实是我们需要有这样一套完整的逻辑，叫做全链路的逻辑。然后在有了基础这一套全链路能力的基础之上，我们再去看这过程中能够覆盖掉哪些，识别出来哪些。更多的其实就是基于数据去做一些聚类分析了。

Q7：tg会有很多的杂乱信息，怎么筛出高价值情报？

A7：这就是需要真的投入人员去做对应的运营。比如说你要关注的数据泄露、数据交易、数据买卖，那我们就核心地去关注到这个叫做数据类目，去做对应的运营，和我们的业务名称，或者叫做电商的行业，去做这一块的一个识别。

如果说我要关注的是账户交易，那就去找有哪些号商、卡商，有哪些卖号的、卖卡的、卖设备的，以及卖资源的，能接码的，或者叫做能邮箱接验证码的等等。甚至还有一些团队能做到对应的提供对应的能力。日常和他们都可以友情地打好交道，做好对应的能力上的关联，和他们共同去做这块的一个能力提升

[培训]科锐逆向工程师培训第53期2025年7月8日开班！