同時(shí)，伴隨著(zhù)AI技術(shù)、自動(dòng)化工具的應用及平臺化趨勢的加強，無(wú)論是老生常談的漏洞利用、DDoS攻擊、內網(wǎng)安全問(wèn)題，還是新興涌現的身份欺詐、API濫用、物聯(lián)網(wǎng)設備安全風(fēng)險，都在為2019年的動(dòng)蕩埋下伏筆。我們相信，2019年必將是網(wǎng)絡(luò )安全領(lǐng)域的又一個(gè)重要年份。

　　盡管目前存在大量已知漏洞，但實(shí)際上真正被黑客利用的只有大約6%。未來(lái)隨著(zhù)自動(dòng)化工具（Bots）的強勢發(fā)展和應用，這一比例必將大幅提高。借助自動(dòng)化工具，漏洞利用攻擊將不再是高級黑客組織的“專(zhuān)屬”， 而開(kāi)始向“低成本、高效率”的趨勢發(fā)展。網(wǎng)絡(luò )罪犯可以在短時(shí)間內，以更高效、更隱蔽的方式對大量不同網(wǎng)站進(jìn)行漏洞掃描和探測，尤其對于0day/Nday漏洞的全網(wǎng)探測，將會(huì )更為頻繁和高效。與漏洞快速曝光，和漏洞被快速利用相對應，則顯現出企業(yè)的開(kāi)發(fā)和安全運維人員幾乎無(wú)法在合理的短時(shí)間內完成打補丁，補漏洞的安全應對。

　　【瑞數觀(guān)察：2018年，在對上百個(gè)運營(yíng)商、金融及政府客戶(hù)的網(wǎng)站及重要web應用安全監控發(fā)現，90%的系統都被經(jīng)常性的探測漏洞和掃描。對于0day/Nday漏洞，首次探測高峰已經(jīng)由POC發(fā)布后1周，提前到POC發(fā)布前3天。】

　　2019年，人工智能（AI）仍然會(huì )是網(wǎng)絡(luò )安全屆的熱點(diǎn)話(huà)題之一。過(guò)去勞動(dòng)密集型和成本高昂的攻擊，已經(jīng)在基于A(yíng)I的對抗學(xué)習，以及自動(dòng)化工具的應用下找到新的轉型模式。AI有益于數據挖掘和分析的算法和模型，以及由此帶來(lái)的智能化服務(wù)，也會(huì )被黑產(chǎn)利用，借由自動(dòng)化的助力，形成更為擬人化和精密化的自動(dòng)化攻擊趨勢，這類(lèi)機器人模擬真人的行為會(huì )更聰明、更大膽，也更難以追蹤和區別于真人的行為。日前，由中國西北大學(xué)、北京大學(xué)和英國蘭開(kāi)斯特大學(xué)共同開(kāi)發(fā)的一種人工智能，已經(jīng)可以在短短0.5秒內破解文本CAPTCHA系統，這或許會(huì )成為終結驗證碼時(shí)代（人機識別重要技術(shù)）的標志，也或許會(huì )在未來(lái)為網(wǎng)絡(luò )罪犯提供新的助力。

　　【瑞數觀(guān)察：某擁有約1200萬(wàn)活躍用戶(hù)數的電商客戶(hù)，在其為期5天的App營(yíng)銷(xiāo)活動(dòng)中，累計發(fā)現異常訪(fǎng)問(wèn)的設備約84萬(wàn)個(gè)，涉及約120萬(wàn)個(gè)賬號，約占總參與賬號的10%，這些設備和賬號通過(guò)模擬器、Android偽裝iPhone、iPhone改機工具、單設備多IMEI號的分身軟件等手段從操作行為、設備特征、手機使用行為特征等各方面模擬真人操作，躲避安全防御手段。該客戶(hù)保守估計，若黑產(chǎn)的每個(gè)賬號假設可套現10元，如果沒(méi)有有力的識別和控制手段，那么黑產(chǎn)可非法獲利金額占營(yíng)銷(xiāo)總投入達1/3以上。】

　　每個(gè)人都必須承認，頻繁的數據外泄事件后，特別是酒店、商旅、票務(wù)等與個(gè)人生活、出行息息相關(guān)的應用中的身份信息的大規模泄露事件，我們的身份信息遭暴露、被販賣(mài)，并且極易受到進(jìn)一步的攻擊。但對于網(wǎng)絡(luò )罪犯而言，假冒合法身份、建立虛假賬號卻變得前所未有得簡(jiǎn)單。結合自動(dòng)化腳本或工具，網(wǎng)絡(luò )罪犯可以輕松利用被曝光的包括登錄名/密碼組合在內的個(gè)人數據，在短時(shí)間內對數百個(gè)不同的網(wǎng)站不斷進(jìn)行登錄驗證，試圖盜用賬號，乃至發(fā)起進(jìn)一步攻擊并從中獲利或者獲取更多的個(gè)人身份關(guān)聯(lián)信息等有價(jià)數據。據統計，自2017年11月初至2018年6月底的8個(gè)月內，惡意登錄嘗試總計超過(guò)300億次此外，這類(lèi)攻擊方式本身的變化--從海量易察覺(jué)攻擊，轉向由專(zhuān)業(yè)化自動(dòng)工具發(fā)起的“低頻率多IP源”的隱形逃避檢測的攻擊--也會(huì )給企業(yè)機構的安全應對帶來(lái)更多難題。

　　【瑞數觀(guān)察：某客戶(hù)業(yè)務(wù)的SSO單點(diǎn)登錄系統，在被保護的750萬(wàn)請求中，撞庫請求比例高達86%，僅14%為正常的用戶(hù)登錄行為，其中，撞庫請求一半以上是通過(guò)更換代理IP，或Web_Driver、PhantomJS等高級瀏覽器模擬工具，甚至結合云打碼平臺，進(jìn)行驗證碼繞過(guò)。】

　　實(shí)際上，雖然企業(yè)多將大量資源集中用于應對來(lái)自外部的網(wǎng)絡(luò )攻擊，但相當多的安全事件卻是由內網(wǎng)安全風(fēng)險引發(fā)的。企業(yè)內部員工無(wú)意或蓄意地利用自動(dòng)化工具及內網(wǎng)合法權限，拖取內部信息，操縱內網(wǎng)交易，進(jìn)行大規模數據盜取、建立垃圾賬號的事件屢見(jiàn)不鮮。我們有理由相信，在當前的經(jīng)濟環(huán)境中，面對高價(jià)值的企業(yè)數據，“內鬼”造成的惡性安全事件會(huì )越來(lái)越多，而B(niǎo)ots充當了“內鬼”們利用其合法身份，模擬合法業(yè)務(wù)操作進(jìn)行竊密的利器。

　　【瑞數觀(guān)察：某省級運營(yíng)商客戶(hù)的內網(wǎng)業(yè)務(wù)系統，有8000多個(gè)企業(yè)及合作伙伴賬號，發(fā)現近2000個(gè)業(yè)務(wù)賬號有工具化的業(yè)務(wù)操作、數據查詢(xún)等行為，這些采取外掛方式進(jìn)行的業(yè)務(wù)訪(fǎng)問(wèn)常常通過(guò)VPN方式接入訪(fǎng)問(wèn)，從IP上難以識別和控制，具有隱蔽性，是有高風(fēng)險和違規的行為。】

　　API安全性早已躋身OWASP十大排行榜，并且仍有極大可能蟬聯(lián)。據調查，目前每個(gè)企業(yè)平均管理363種不同的API，其中69%的企業(yè)會(huì )將這些API開(kāi)放給公眾和他們的合作伙伴。盡管開(kāi)放API、統一API接口等模式承擔著(zhù)拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統的責任，但這同時(shí)也為攻擊者利用自動(dòng)化工具大量調用API提供了更簡(jiǎn)單、更高效的途徑，甚至能被用于暴力攻擊、非法第三方App、網(wǎng)絡(luò )釣魚(yú)和代碼注入等一系列威脅，并借由統一平臺產(chǎn)生倍數級的破壞。對于A(yíng)PI接口濫用行為的監測發(fā)現需求將愈加凸顯。

　　【瑞數觀(guān)察：某省級運營(yíng)商的一個(gè)互聯(lián)網(wǎng)業(yè)務(wù)，有300-500個(gè)API接口；某省級政府的60多個(gè)網(wǎng)站應用中，涉及各類(lèi)API接口竟達到上萬(wàn)個(gè)，而這些龐大的API接口都存在這API濫用的巨大風(fēng)險。】

　　盡管DDoS攻擊是一個(gè)非常古老的安全威脅，但它從未停止。2018年12月間，由黑客組織“匿名者（Anonymous）“發(fā)起的代號為”Oplcarus2018”的DDoS攻擊行動(dòng)，波及全球各國金融機構；企業(yè)仍然很難保護他們的在線(xiàn)資源免受攻擊。更令人不安的是，2019年，隨著(zhù)自動(dòng)化攻擊工具的廣泛散播和大量物聯(lián)網(wǎng)設備成為攻擊跳板，DDoS攻擊的體量規模和蔓延速度都會(huì )上升到一個(gè)新的水平。

　　【瑞數觀(guān)察：以某大銀行遭遇的DDoS攻擊為例，在30分鐘之內遭到近500萬(wàn)次的應用層DDoS攻擊；抗D設備因無(wú)法處理SSL/TLS流量，幾乎毫無(wú)防護效果；WAF設備雖能阻擋部分攻擊，但由于攻擊來(lái)源極為分散，防護效果并不顯著(zhù)。當Bots發(fā)起的DDoS攻擊，從網(wǎng)路層轉向加密的應用層流量時(shí)，為企業(yè)網(wǎng)站的安全防護帶來(lái)了巨大挑戰】

　　2018年下半年，數千臺MikroTik路由器遭到攻擊，悄然變成挖掘數字加密貨幣的礦工。但這只是一個(gè)開(kāi)始。ACIConsumerGram分析顯示83%的路由器設備均存在安全漏洞問(wèn)題，因此我們相信，在新的一年中，越來(lái)越多的家庭路由器將會(huì )被攻擊者利用，提供如捕獲敏感數據、安裝惡意程序、DDoS攻擊、挖礦等服務(wù)。隨著(zhù)物聯(lián)網(wǎng)設備的多樣化，網(wǎng)絡(luò )罪犯者還會(huì )利用被感染的路由器，將攻擊范圍延伸至所有與其相關(guān)聯(lián)的IoT設備，形成跨平臺攻擊，被感染的IoT設備甚至可被當作向內網(wǎng)發(fā)動(dòng)竊密、挖礦劫持等進(jìn)一步攻擊的跳板。這類(lèi)破壞比計算機本身受到攻擊更難修復。此外，設備一旦被感染，用戶(hù)往往難以察覺(jué)。

　　【瑞數觀(guān)察：某部署于外網(wǎng)的物聯(lián)網(wǎng)設備，部署后的第一天即遭到100余次的掃描探測，第二天遭到上千次的密碼猜測及漏洞攻擊，該設備于上線(xiàn)40小時(shí)后被Bot攻陷并被植入惡意代碼。此外，瑞數也觀(guān)察到跨平臺的攻擊正在高速增長(cháng)，Bot通過(guò)內網(wǎng)的電腦或手機，攻擊在內網(wǎng)的物聯(lián)網(wǎng)設備；使得不再只有部署在外網(wǎng)的物聯(lián)網(wǎng)設備會(huì )受到攻擊，在內網(wǎng)的物聯(lián)網(wǎng)設備也正在成為黑客的攻擊熱點(diǎn)】

　　隨著(zhù)自動(dòng)化攻擊與安全防護之間對抗的不斷升級，提供各類(lèi)對抗服務(wù)的黑灰產(chǎn)組織也越來(lái)越多 ，各類(lèi)服務(wù)例如代理IP服務(wù)、圖形驗證碼識別、短信驗證碼代收、群控設備池、賬號提供商等等，可以輕易獲取。大部分傳統Bots防護手段被輕松穿透，與此同時(shí)又催生了更具擬人特點(diǎn)的全新Bots攻擊，這些惡意Bots會(huì )通過(guò)使用模擬器、偽造瀏覽器環(huán)境、UA、分布式IP等給系統安全帶來(lái)極大威脅。

　　【瑞數觀(guān)察：對多家信息公開(kāi)查詢(xún)類(lèi)系統用戶(hù)日志分析，發(fā)現單一爬蟲(chóng)組織每天可以使用的IP超過(guò)100萬(wàn)，單一IP在使用數十次后即丟棄；圖形驗證碼識別時(shí)間少于0.5秒】

　　將Bots管理納入到企業(yè)應用和業(yè)務(wù)威脅管理架構中，部署能針對自動(dòng)化威脅進(jìn)行防護的新技術(shù)，結合多重變幻的動(dòng)態(tài)安全防護、威脅態(tài)勢感知及人工智能技術(shù)，防止漏洞利用、擬人化攻擊等多類(lèi)應用安全問(wèn)題，構建集中于商業(yè)邏輯、用戶(hù)、數據和應用的可信安全架構。

　　Bots的出現，一方面為企業(yè)提供了便利的服務(wù)，例如搜索引擎、應用可用性和性監測服務(wù)、信息內容監控服務(wù)等。另一方面也會(huì )有一些組織、機構、個(gè)人，借助互聯(lián)網(wǎng)、手機、物聯(lián)網(wǎng)等形成的Bots，對數據資產(chǎn)進(jìn)行惡意抓取，給企業(yè)安全、信譽(yù)造成潛在威脅。大量游走在Good和Bad之間的Bots不容忽視，通過(guò)Bots識別、提高成本、可視化展示等多維度對各類(lèi)Bots進(jìn)行管理。

　　從技術(shù)層面而言，企業(yè)可以通過(guò)APT解決方案、內網(wǎng)陷阱等方式，并引入“零信任機制”，強化內網(wǎng)縱深安全保護。此外，內網(wǎng)的Web應用及數據庫服務(wù)器更是重點(diǎn)防護對象，以杜絕內部人員或外部滲透黑客竊取或篡改企業(yè)的敏感關(guān)鍵數據。而從管理層面看，嚴格制定并安全執行各類(lèi)IT使用規范必不可少。

　　重視物聯(lián)網(wǎng)及工控設備安全，提供設備的資產(chǎn)清查、安全管理、預警與聯(lián)防，整體防護物設備、網(wǎng)絡(luò )傳輸及云端，避免物聯(lián)網(wǎng)及工控設備成為企業(yè)信息安全的重大隱患。

　　結合《網(wǎng)絡(luò )安全法》、等保2.0等網(wǎng)絡(luò )安全相關(guān)的法律法規，將風(fēng)險評估、安全監測、數據防護、應急處置、自主可控等納入企業(yè)網(wǎng)絡(luò )安全防護策略，提高應對網(wǎng)絡(luò )攻擊的防御能力，降低工作流程中的數據泄漏和其他安全風(fēng)險。