数字化转型是企业无法回避的命题,各类业务与网络结合,衍生出许多新鲜事物,这种企业资产数字化转变,给全球经济生产模式带来了巨大的改变。
一个企业(尤其是传统企业)绝大部分的业务开展如果离不开网络和数字化,企业所面临的安全风险,也将和整个互联网的安全发展紧密相关。企业将越来越难于区分业务安全与网络安全的界限在哪,需要寻找有效的方法来保护数字化资产。
品牌属于企业资产的一种,在数字化时代,也有了全新的诠释。一方面,数字时代的品牌传播别具一格,很多企业运用数字化的力量重新塑造了企业形象;但另一方面,数据泄露、网络诈骗、网络钓鱼、甚至是网络勒索和胁迫等事件的频频发生,不仅给各企业带来直接经济损失,也同样给企业品牌和商业形象带来了极大的损害。
一些触目惊心的现实:
2017年,CNCERT/CC监测发现约4.9万个针对我国境内网站的仿冒页面,重点针对金融行业、电信行业网上营业厅的仿冒页面2.5万余个,其中涉及移动互联网的仿冒页面有7595个。
2017年12月,CNCERT/CC共监测发现仿冒公检法的钓鱼网站达254个;监测发现“登录”此类钓鱼网站的IP地址达3388个,其中31.22%的IP地址在“登录”此类钓鱼网站后提交了相关信息,属于实质受影响人群。1058个受害者IP地址提交的银行卡信息共有1618条,经过初步分析,共涉及927条有效身份信息。
2017年,360网神公司数据监测显示,累计监测为用户拦截新增钓鱼网站804.3万个。其中12月达到全年最高值(210.1万个),2月达到全年最低值(13.6万个)。
2017年,知道创宇公司共监测到仿冒我国境内网站的钓鱼页面1696930个。
通过国家互联网应急中心CNCERT/CC的公开报告我们可以了解到,50%左右的仿冒网站被用以实施诈骗,另外50%的仿冒网站则会以更加隐秘和复杂的方法实施各类侵权、品牌滥用、流量引导甚至贩卖假货等行为。
如何对数字化商业中的品牌资产进行保护,是每个企业要面对的业务挑战。
1. 数字品牌保护的边界在哪里
大部分企业的信息安全部门,都依赖于明确的边界职责来开展工作。无论是行为审计、数据防泄露还是入侵检测(防御),都是给安全管理工作划了一条看不见、但事实上存在的边界线。品牌保护其最大的不同就在于,边界消失了。
开展品牌保护工作,首先要明确品牌的范畴,企业的商标、域名、社交媒体、移动应用都有哪些,哪些外部的营销渠道是被授权使用的。对安全团队来说,这一步并不容易,甚至难以完成的第一步工作。
既然这些危险发生在企业边界之外,不禁要问,应该由谁来主导数字时代的品牌保护工作?
2. 数字品牌保护的对象有哪些?
品牌保护的对象,也不同于传统的信息基础设施、数据和人,不同的企业对于品牌要素的界定,也可能千差万别。一般情况下所说的品牌要素包括:品牌名称、商标、标识、包装、广告语、域名、URL、品牌形象代表等等。品牌保护的目的,就是使标识品牌的品牌要素免受竞争者(包括攻击者、诈骗团伙、竞争对手等)的模仿、偷用、不当使用和滥用,保护品牌形象不被受损,品牌资产不被稀释。
3. 常见的数字品牌威胁有哪些?
在开始进行品牌安全防护工作之前,需要进行全面风险识别,明确各类品牌资产的价值所在,每类品牌资产所面临的主要威胁都有什么,才能够明确品牌保护工作的目标,合理设计工作路线图,最终达到对企业品牌侵害行为的及时止损、对品牌资产进行有效保护的目的。
a. 滥用:我们发现,无论是对于通过网络平台销售实体商品的企业,还是通过自有网站进行金融服务的企业,都面临着第三方为了经济利益而进行网络攻击和品牌滥用的问题。有的侵权者使用与知名品牌十分相似的品牌、文字、形象,利用互联网经销渠道,几乎是同时和品牌所有者开展全球性的竞争。另外一类侵权者通过无授权的使用他人品牌、品名、标志和版权材料误导消费者,达到销售其自己产品的目的。这两类侵权者为扩大在线销量,一般都在流量引导方面训练有素,通过在搜索引擎和电子商务平台使用与品牌、产品匹配的搜索关键词,以及在社交媒体进行伪装误导,甚至使用网络流量劫持等攻击技术,使消费者获取关于品牌的搜索结果时,并不知道哪个结果能将其引到购买正品的网站,甚至根本就意识不到购买了仿品。
b. 仿冒:使用仿冒品牌资产(比如仿冒网站、仿冒APP、仿冒社交媒体账号、仿冒邮件发信人等)进行网络诈骗,也是比较常见的品牌威胁。正如本文开头引用报告所述,通过仿冒各银行(个人零售业务为主的银行是重灾区)网银界面、仿冒10086等运营商充值缴费页面,进而骗取个人银行卡号密码信息是主要的诈骗手段。为了配合电信诈骗(打电话),制作仿冒公检法以及证券公司网站,目的就是操纵受害人向其指定的账户汇款实施诈骗的手法也比较常见。另外,为了推广博彩和色情网站并且逃避监管和各类检测,克隆各地方政府网站的情况也十分普遍。
c. 钓鱼:通过发送钓鱼邮件,针对企业内部员工、企业客户、企业上下游供应链实施社会工程学攻击时刻都在发生。这类攻击通常使用与企业相似的域名搭建邮件系统,或使用Gmail等公共邮箱构造与企业名称相似的发件人名称发送邮件。因为邮件系统和公共邮箱账号均不受企业控制,除了加强安全意识培训以外,目前安全团队很难有其他手段进行处置。
d. 社交媒体形象损害:在微博、微信公众号、Facebook、Twitter、Instagram等各大社交媒体注册仿冒账号,再进行钓鱼欺诈、发表针对自己或其他公司的负面言论、甚至仿冒公司高层(多见于LinkedIn),也经常会给公司的品牌带来恶劣的负面影响。
e. 应用分发渠道失控:随着移动互联网的高速发展,企业纷纷上线移动应用App,但是面对全球碎片化的安卓应用市场,如何发现和处置App的恶意仿冒,也成为安全管理中的一个难点。另外,各种免费下载和破解软件分发站点层出不穷,也给企业软件版权管理带来严重挑战。假如这些软件和应用被植入了恶意代码,不但会给企业客户造成严重危害,还将给企业品牌声誉造成无法弥补的伤害。
f. 负面信息:在与品牌安全相关的工作中,负面信息监控可能是最早被重视、并且普及程度最高的一个分支了,但遗憾的是对于品牌负面信息的关注往往局限于舆情监控范围。企业的域名和IP被网络服务商或安全厂商列入黑名单,企业开发的软件、App等被杀毒软件识别为病毒等情况,都属于负面信息的表现,一旦出现,不仅会对企业的品牌声誉造成损害,而且会对企业的网络业务连续性造成直接的影响。
4. 数字品牌保护的主要手段
认识了品牌资产在数字和网络时代所面临的风险和挑战,我们再进一步,探讨有哪些有效的手段可以帮助企业达成品牌资产保护的目的。
品牌保护所需要的措施不同于传统安全防护手段,其大部分工作都将在企业边界以外进行,并且还会经常使用非技术手段(情报搜集、沟通、诉讼等)达成目的。因此,实施品牌保护可以被认为是对主动防御策略的一种良好实践,是主动防御思想的典型场景应用。
下面是作者近几年工作实践中的一些探索和总结,并不全面,权当引玉,欢迎大家拍砖。
o 品牌资产管理:参考传统安全管理工作中的最佳实践,作者认为所有安全防护工作的起点,都应该是资产识别以及对资产的持续监控。虽然品牌保护工作属于主动防御范畴,但也不能例外,实施品牌保护的首要工作就是进行品牌资产的识别和监控。明确品牌要素,结合企业实际业务,梳理当前阶段的品牌资产清单,才能灵活运用各种技术手段(如爬虫等)对品牌资产进行持续监控。
o 恶意对象关停:对恶意品牌资产的发现和关停,比如钓鱼仿冒网站、仿冒App、仿冒社交媒体账号、垃圾邮件账号等及时发现和快速关停。
o 负面信息监控:实施品牌负面信息监控,对主要媒体渠道的负面新闻、官方社交媒体评论中的用户投诉和有害信息(违法、暴力、政治评论等)、企业其他品牌要素的负面信息进行全面监测。
o 负面信息解除:品牌负面影响消除能力,是数字商业时代业务连续性保障的重要环节。包含企业网络出口IP的黑名单被大面积共享会对员工上网和对外交流造成严重阻碍;包含企业域名的黑名单被大面积应用会造成客户不能够正常访问公司网站或业务系统;产品软件或App被误报为病毒可能造成新版本软件不能正常发布、已有版本软件被应用商店下架的严重后果。除此之外,作者在GitHub上还发现过冒充B公司官方账号发表对其竞争对手A公司的负面言论,达到炒作热点混淆视听目的的有趣案例。
o 安全意识培训:定期对内部员工以及重要客户提供安全意识培训。这是降低社会工程学攻击影响的有效手段。
5. 数字品牌保护工作如何开展?
讨论了品牌资产价值、识别了品牌资产面临的风险、并且还更进一步的了解到目前相对成熟可用的品牌保护手段,那么,接下来试着探讨一下如何建立企业自己的品牌保护体系(或系统)了。
首先,规划并建设针对企业品牌资产管理的体系(或系统)。这个体系(或系统)要目标明确、简单易用,尽量将技术细节隐藏到后台,哪怕仅仅提供一份定期的报表或者一个Portal页面,以使得市场营销、客户服务、电子商务等非技术人员可以看懂并快速使用。
其次,为了支撑品牌资产管理体系(或系统)的运转,我们需要使用爬虫、威胁情报订阅、舆情监控等技术手段开展互联网信息收集工作:
o 结合品牌资产清单,使用爬虫技术,建立基础的告警策略(品牌要素的新增、变化、丢失、即将过期提醒、相似或仿冒发现等);
o 订阅主流威胁情报,监测企业域名和IP地址是否出现在重要黑名单列表中(垃圾邮件列表、威胁情报黑名单),监测企业软件和App是否被主流杀毒软件识别为恶意软件,监测企业敏感数据是否出现在公开渠道(GitHub、百度文库等)或在暗网售卖,等等;
o 实施品牌舆情监控,监测主要媒体渠道的负面新闻、官方社交媒体评论中的用户投诉和有害言论(违法、暴力、政治评论等)。
再次,使用机器学习等工具对上述监测手段搜集到的数据进行自动化分类(聚类),减少人工实施维护成本,提升品牌资产管理的智能化水平。当然,千万不要低估此项工作的困难程度,在前期适当使用规则化手段作为过渡也是可以接受的方式。
最后,成立品牌保护工作小组,建立外部沟通渠道,通过运营机制形成对恶意品牌资产的发现和关停、负面影响消除的能力,提升业务持续性保障水平。
随着工作的开展,企业应该逐步培养和具备如下能力:
o 对仿冒网站、仿冒App、仿冒社交媒体账号、垃圾邮件账号等监测发现能力;
o 对上述监测到的事件进行快速关停的能力;
o 将企业拥有的IP和域名从黑名单剔除的能力;
o 企业软件或App被识别为病毒后,能够剔除误报的能力;
o 将公开渠道出现的敏感数据快速下线的能力。
除此以外,作为一个完整的品牌资产管理体系(或系统),还应该具备定期输出品牌报告的能力,成为我们对管理层汇报工作成效、评估品牌保护工作效果的有力工具。
6.数字品牌保护的能力评估
做好企业品牌保护,不能完全依赖内生能力,有时也需要借助外部力量的支持。
假如企业要引入外部品牌保护能力,需要对候选供应商进行评估。依照上文对品牌保护工作所需能力的描述,我们应该依次考察下列五个要素:
o 信息收集能力:具备从网络中及时、全面获取品牌相关信息的能力;
o 分类(聚类)能力:对所获取信息进行快速、准确的自动化分析处理的能力;
o 关停(消除)能力:具备对恶意对象及负面信息进行有效处置的能力;
o 运营管理水平:良好的事件处置及流程管理是高效运营工作的保证;
o 定期报告质量:周期性的报告不仅能够评估这一阶段的工作成果,还能够为下一阶段工作的持续改进指明方向,而且一份高质量的报告总会对工作成果带来额外的加分。
通过能力考察,企业将可以正确评估服务供应商是否具备技术实力和运营能力,来帮助企业实现品牌保护的目的。还可以更进一步,了解品牌保护服务商与各大域名注册机构、托管平台和社交媒体等的信任程度,因为这是快速关停处置能力的保证。
7. 数字品牌保护工作的几点建议
最后,基于在品牌保护工作中的经验,对想要开展品牌保护活动的企业安全团队,我们有一些小小的建议:
o 建议在开展工作的最初阶段,主动积极的联系并收集客户服务、市场营销、电子商务和反欺诈等部门管理者的意见。这样,不仅能够获取不同职能部门的关注,也能够让安全团队了解到其他部门目前已经开展的针对品牌保护的措施;
o 建议依据企业业务特性以及风险管理诉求,确定最受关注的品牌保护元素和场景(高管假冒、钓鱼网站、品牌滥用、负面信息、诈骗应用等),用以建立供应商候选名单以及制定品牌保护工作路径规划;
o 建议如果选择外部供应商,请与候选供应商一起开展实际效果验证工作后再最终做出决定。