1、12目录一、业务安全蓝军测评标准.61.1 业务安全脆弱性评分(ISVS).61.2 ISVS 评分的参考意义.8二、业务安全蓝军测评案例.132.1 虚假安装蓝军测评案例.132.2 人脸识别绕过蓝军测评案例.15三、业务安全蓝军测评类型.203.1 基础测评.203.2 周期测评.213.3 行业横评.21四、业务安全蓝军测评场景.234.1 营销活动作弊场景.234.2 业务刷量场景.244.3 广告刷量场景.244.4 人脸识别绕过场景.25附：攻击效率指标取值高低参考.271.物料获取效率.272.技术对抗效率.293前言互联网黑灰产成长至今，已形成了团伙化、自动化、生态化、上下游严

2、密配合的产业链网。据统计，互联网黑灰产对互联网企业及线下实体行业每年造成近千亿元的损失。网络黑灰产的从业群体伪装成正常的业务请求不断蚕食鲸吞着企业业务的利益，如掠夺新人红包的羊毛党、利用企业平台流量批量进行恶意营销诈骗的引流产业、破坏企业推荐计费规则的刷量作弊产业等。随着互联网黑产攻击模式的成熟，运作模式的可复制性越来越高，业务安全问题日渐突显。当前，企业在处理业务安全问题时往往面临着以下挑战：攻防信息不对等：企业对黑灰产攻击手段及变化缺乏深入了解，造成攻击发现处理滞后、周期长的局面。策略效果评估难：策略下发后，难以全面评估策略效果、及时发现黑产新的绕过手段等。评估体系缺失：不同于互联网基础安

3、全，业务安全问题没有明确的边界。在基础安全中，多数攻击的危害程度已有像 OWASP Top10 这样的评估标准，而业务安全由于场景复杂，同时需要综合考虑用户体验及用户活跃，一直缺乏一套行之有效的评估体系。与基础安全的严防死打不同，业务安全的目标通常不是杜绝攻击，而是将攻击限制在可控的范围内，从而确保业务的正常开展和业务规模的健康增长。以营销活动场景对抗羊毛党举例，实体商品清库存的互联网促销活动、餐饮行业需要到店消费优惠折扣券等情况，对羊毛党的容忍度较高，业务安全的治理目标是将羊毛党控制在 50%4以下，而针对特定客群的拉新活动，则希望补贴尽可能落在真人用户上，对羊毛党容忍度较低真人将有一定转化

4、率成为长期用户，羊毛党的转化率几乎为 0，羊毛党占比过高将损失掉很多机会成本，那么业务安全的治理目标是将其控制在 10%以下。可以看到，即使都是营销活动场景，活动类型和规则不同，评估的目标也会不同。因此，企业的业务安全问题需要一套评估体系，能够数字化体系化地描述遭受攻击带来的危害程度及安全策略实施后的效果等。基于以上需求与目标，威胁猎人在 2020 年发布了国内首个 业务安全蓝军测评标准白皮书，填补了业务安全行业长期以来缺失攻击危害及安全策略效果评估体系的空白。时隔四年，威胁猎人结合第一版标准落地过程中遇到的挑战以及过去几年在各行业多家客户的业务安全蓝军实战经历，对第一版标准进行了修订和更新，

5、发布了业务安全蓝军测评标准白皮书（2024 年版）。5业务安全蓝军测评标准016一、业务安全蓝军测评标准1.1 业务安全脆弱性评分(ISVS)业务安全脆弱性评分（Interaction Security Vulnerability Score）是从攻击者视角出发，将企业的某个业务对象设定为攻击目标，使用黑灰产的攻击方式对该对象发起模拟攻击测试，还原攻击过程，并结合最终的攻击结果评估黑灰产攻击给该业务对象带来的危害。ISVS 计算方式：ISVS=Max(攻击效率 AE*目标达成率 AR)攻击效率 AE(Attack Efficiency)测评对象或达成目标不同，评估攻击效率取值的方式往往也会不同

6、，通常可以分别从物料获取效率和技术对抗效率这两个角度来考虑。物料包括攻击过程中需要用到的手机号资源、账号资源、IP 资源、设备资源、身份认证资源等，攻击者获取这些物料的成本越低，攻击效率越高，反之越低；技术则包括攻击过程中为了破解应用保护或绕过风控限制等，所用到的软件逆向技术、改机技术、改定位技术、人脸伪造技术等等，攻击者应用这些技术并攻击成功的门槛越低，攻击效率越高，反之越低。注：关于攻击效率指标取值高低参考，详见附件。7目标达成率 AR(Achievement Rate)目标达成率 AR 是指该攻击方案的最终测试结果达到预期攻击目标的比率。达到或超过预期攻击目标，取值为 1。如果是定量的攻