道高一尺魔高一丈？正义联盟来了！

“目前黑产或者黑客组织都形成了黑生态，他们之间的共享机制却比白生态要好，所以迫使我们必须联合起来对抗黑色产业链”

——百度安全实验室韦韬

11月3日，首届中国互联网安全领袖峰会(简称CSS)开幕，互联网三巨头BAT各自派出企业安全部门最高负责人，激情对话“互联网+”时代下的安全新生态，更向包括360公司等产业链各方发出呼吁，希望构筑常态化、机制化互联网安全交流平台。11月4日，互联网金融安全联盟又在京成立，来自腾讯、京东金融、中国支付清算协会、北京市公安局、中信银行、光大银行、浦发银行、光大永明人寿等机构的风险管理负责人齐聚，共同宣布互联网金融安全联盟正式成立，联盟将建立和共享互联网金融安全的负面清单，联合全行业共同防范和打击各类互联网金融的不法行为和不法主体。

A

“安全永远会滞后于IT本身的发展”

上月24日，一场由知名安全团队KEEN主办的GeekPwn 2015嘉年华在上海举行，安全极客们当天即场演示“魔高一丈”，超过40款主流软硬件产品成为选手攻破对象，移动支付、O2O、智能家居等当前最热门领域成为安全大黑洞。

在智能硬件领域：一架大疆无人机在GeekPwn评委的操作下起飞，按照评委的遥控指令稳定飞行后降落，评委也将遥控器放在一边。不料，此时无人机旋翼开始缓缓转动并飞行起来。这是GeekPwn嘉年华选手在外场演示劫持无人机的画面。

手机：包括小米、华为等主流手机品牌纷纷被黑客攻破。黑客通过在安卓手机上安装一个普通权限的app，利用本地提权漏洞获取系统权限后，该app会替换手机的开机画面。

移动支付：黑客们轻松攻破了拉卡拉收款宝POS机，使卡内余额莫名消失。同样被攻破的还有盒子支付POS机。此外，通过银联账户交易系统，黑客可以盗刷用户银行卡……

启明星辰首席战略官潘柱延对记者表示，安全永远会滞后于IT本身的发展，这是个客观规律，“只有有了IT的新东西出来，譬如云计算或者大数据，才会出现针对云计算大数据的威胁，才会谈到云计算大数据安全的针对性措施，安全只能紧紧跟上，其实这也是做这个行业很累的地方。”

B

完整的黑色产业链条已形成

据互联网金融安全联盟的发起方之一京东金融透露，京东白条为广大消费者提供了“先消费，后付款”便捷服务的同时，也吸引了黑中介、网络诈骗分子等黑色产业链的注意，一些新型犯罪方式开始浮现。

据介绍，针对京东白条，有不法分子通过黑色产业链条渠道获得账号密码后，到京东进行撞库登录，成功后即利用用户开通的京东白条服务多次购买iPhone等贵价商品；即使被京东风控系统察觉而取消交易，用户也可能因为系统的强制保护机制造成登录失败等不便。

还有一些所谓的“中介”机构通过各种网络渠道发布消息，招罗有套现意愿的用户，并联系提供套现业务的商家，三方隐蔽合作，试图躲过白条风控实现套现。这些中介往往会收取不菲中介服务费，一般10%-30%比例，甚至更高。

京东金融风险管理部总监程建波透露说，黑中介的作战方式非常隐蔽，通过网络传播扩散的速度非常快，比如说他们发现在某社交媒体的一些讨论群里面，有很多黑中介聚集在一起相互交流。他们也有行业组织，每个中介手上掌握着很多自己的用户，一个中介针对某一家机构的产品，攻击成功以后，会把经验总结出来，通过网络疯狂地扩散，一个群传到另一个群，一个渠道传到另一个渠道，成扩散效应，速度非常快，攻击非常猛，最快的在一个小时内就收手。这些人并不是统一的组织，但已经形成一种灰色的，甚至是黑色的产业。

攻强守弱

“唇亡齿寒是联盟的动力”

根据一份最新的《CTO企业信息安全调查报告》数据显示，超过45%的企业在过去三年曾发生过不同量级的信息安全事故，甚至不乏我们所熟悉的知名企业；这些安全事故直指商业机密、用户信息等核心信息资产。而在企业本身，23.9%的企业没有信息安全团队，30.3%的企业每年基本上没有信息安全预算，小微企业尤其是小微金融企业在这方面更加抠门，接近40%的小微企业没有信息安全团队和资金预算。

此次CSS峰会上，BAT三巨头安全领域高管携手呼吁产业链上从系统集成商、硬件制造企业，到网络产品运营机构，共同树立起一致的安全生态理念，将各自管理环节提供的安全防范产品对危害威胁的监测信息共通共享，摒弃传统“危害-治理”的单一安全机制，建立“预警-防范-治理-数据共享”的新型安全机制。

互联网金融安全联盟方则表示，联盟将建立和共享互联网金融安全的负面清单，包括欺诈中介、套现商家、违法个人等三类名单，联合全行业共同防范和打击各类互联网金融的不法行为和不法主体。

腾讯表示，将把手机管家的移动安全能力和数据、自主杀毒引擎、安全云库开放给产业链的合作伙伴，与华为、小米、电信等50家重要伙伴建立了全面合作，与国家计算机病毒中心等建立了联合安全实验室，探索前沿安全技术。

京东金融也表示，风控是互联网金融最核心的能力，其风控模型已经可以实现直接支撑toC端的产品，还可以作为to B的服务对外输出，京东金融愿意分享在风险管理领域积累下来的经验，支持整个行业打击黑产、为互联网金融安全提供创新解决方案。

当然，并非所有的关联企业都愿意加入这些联盟，又或者加入了也不愿意全部开放，担心企业利益受损。

对此，安全企业代表启明星辰的潘柱延回应说，“平时大家在客户的争夺上会有利益冲突，但真正遇到安全事件的时候大家是站在一起的，共同的对手是攻击者、黑产、破坏者。行业环境才更有秩序，大企业才能够维持自身正常的发展。这是一个唇亡齿寒的关系，也是联盟各方一起合作的目标和动力。”