道高一尺魔高一丈？正義聯盟來了！

“目前黑產或者黑客組織都形成了黑生態，他們之間的共享機制卻比白生態要好，所以迫使我們必須聯合起來對抗黑色產業鏈”

——百度安全實驗室韋韜

11月3日，首屆中國互聯網安全領袖峰會(簡稱CSS)開幕，互聯網三巨頭BAT各自派出企業安全部門最高負責人，激情對話“互聯網+”時代下的安全新生態，更向包括360公司等產業鏈各方發出呼吁，希望構筑常態化、機制化互聯網安全交流平臺。11月4日，互聯網金融安全聯盟又在京成立，來自騰訊、京東金融、中國支付清算協會、北京市公安局、中信銀行、光大銀行、浦發銀行、光大永明人壽等機構的風險管理負責人齊聚，共同宣布互聯網金融安全聯盟正式成立，聯盟將建立和共享互聯網金融安全的負面清單，聯合全行業共同防范和打擊各類互聯網金融的不法行為和不法主體。

A

“安全永遠會滯后于IT本身的發展”

上月24日，一場由知名安全團隊KEEN主辦的GeekPwn 2015嘉年華在上海舉行，安全極客們當天即場演示“魔高一丈”，超過40款主流軟硬件產品成為選手攻破對象，移動支付、O2O、智能家居等當前最熱門領域成為安全大黑洞。

在智能硬件領域：一架大疆無人機在GeekPwn評委的操作下起飛，按照評委的遙控指令穩定飛行后降落，評委也將遙控器放在一邊。不料，此時無人機旋翼開始緩緩轉動并飛行起來。這是GeekPwn嘉年華選手在外場演示劫持無人機的畫面。

手機：包括小米、華為等主流手機品牌紛紛被黑客攻破。黑客通過在安卓手機上安裝一個普通權限的app，利用本地提權漏洞獲取系統權限后，該app會替換手機的開機畫面。

移動支付：黑客們輕松攻破了拉卡拉收款寶POS機，使卡內余額莫名消失。同樣被攻破的還有盒子支付POS機。此外，通過銀聯賬戶交易系統，黑客可以盜刷用戶銀行卡……

啟明星辰首席戰略官潘柱延對記者表示，安全永遠會滯后于IT本身的發展，這是個客觀規律，“只有有了IT的新東西出來，譬如云計算或者大數據，才會出現針對云計算大數據的威脅，才會談到云計算大數據安全的針對性措施，安全只能緊緊跟上，其實這也是做這個行業很累的地方?！?/p>

B

完整的黑色產業鏈條已形成

據互聯網金融安全聯盟的發起方之一京東金融透露，京東白條為廣大消費者提供了“先消費，后付款”便捷服務的同時，也吸引了黑中介、網絡詐騙分子等黑色產業鏈的注意，一些新型犯罪方式開始浮現。

據介紹，針對京東白條，有不法分子通過黑色產業鏈條渠道獲得賬號密碼后，到京東進行撞庫登錄，成功后即利用用戶開通的京東白條服務多次購買iPhone等貴價商品；即使被京東風控系統察覺而取消交易，用戶也可能因為系統的強制保護機制造成登錄失敗等不便。

還有一些所謂的“中介”機構通過各種網絡渠道發布消息，招羅有套現意愿的用戶，并聯系提供套現業務的商家，三方隱蔽合作，試圖躲過白條風控實現套現。這些中介往往會收取不菲中介服務費，一般10%-30%比例，甚至更高。

京東金融風險管理部總監程建波透露說，黑中介的作戰方式非常隱蔽，通過網絡傳播擴散的速度非?？?，比如說他們發現在某社交媒體的一些討論群里面，有很多黑中介聚集在一起相互交流。他們也有行業組織，每個中介手上掌握著很多自己的用戶，一個中介針對某一家機構的產品，攻擊成功以后，會把經驗總結出來，通過網絡瘋狂地擴散，一個群傳到另一個群，一個渠道傳到另一個渠道，成擴散效應，速度非?？?，攻擊非常猛，最快的在一個小時內就收手。這些人并不是統一的組織，但已經形成一種灰色的，甚至是黑色的產業。

攻強守弱

“唇亡齒寒是聯盟的動力”

根據一份最新的《CTO企業信息安全調查報告》數據顯示，超過45%的企業在過去三年曾發生過不同量級的信息安全事故，甚至不乏我們所熟悉的知名企業；這些安全事故直指商業機密、用戶信息等核心信息資產。而在企業本身，23.9%的企業沒有信息安全團隊，30.3%的企業每年基本上沒有信息安全預算，小微企業尤其是小微金融企業在這方面更加摳門，接近40%的小微企業沒有信息安全團隊和資金預算。

此次CSS峰會上，BAT三巨頭安全領域高管攜手呼吁產業鏈上從系統集成商、硬件制造企業，到網絡產品運營機構，共同樹立起一致的安全生態理念，將各自管理環節提供的安全防范產品對危害威脅的監測信息共通共享，摒棄傳統“危害-治理”的單一安全機制，建立“預警-防范-治理-數據共享”的新型安全機制。

互聯網金融安全聯盟方則表示，聯盟將建立和共享互聯網金融安全的負面清單，包括欺詐中介、套現商家、違法個人等三類名單，聯合全行業共同防范和打擊各類互聯網金融的不法行為和不法主體。

騰訊表示，將把手機管家的移動安全能力和數據、自主殺毒引擎、安全云庫開放給產業鏈的合作伙伴，與華為、小米、電信等50家重要伙伴建立了全面合作，與國家計算機病毒中心等建立了聯合安全實驗室，探索前沿安全技術。

京東金融也表示，風控是互聯網金融最核心的能力，其風控模型已經可以實現直接支撐toC端的產品，還可以作為to B的服務對外輸出，京東金融愿意分享在風險管理領域積累下來的經驗，支持整個行業打擊黑產、為互聯網金融安全提供創新解決方案。

當然，并非所有的關聯企業都愿意加入這些聯盟，又或者加入了也不愿意全部開放，擔心企業利益受損。

對此，安全企業代表啟明星辰的潘柱延回應說，“平時大家在客戶的爭奪上會有利益沖突，但真正遇到安全事件的時候大家是站在一起的，共同的對手是攻擊者、黑產、破壞者。行業環境才更有秩序，大企業才能夠維持自身正常的發展。這是一個唇亡齒寒的關系，也是聯盟各方一起合作的目標和動力?！?/p>