4月22日,瑞數信息重磅發(fā)布《2020Bots自動(dòng)化威脅報告》(下稱(chēng)"報告"),對2019年Bots自動(dòng)化威脅的主要類(lèi)別、攻擊來(lái)源、攻擊態(tài)勢、技術(shù)手段等進(jìn)行了全面回溯與解讀,并對2020年Bots自動(dòng)化威脅發(fā)展趨勢做出預測。
報告指出,Bots機器人攻擊在逐年增加,全球網(wǎng)絡(luò )流量中正常用戶(hù)發(fā)起的請求已經(jīng)不足一半。國內的Bots攻擊形勢則更為嚴峻,尤其在一些資源搶占類(lèi)和信息公示類(lèi)系統中,Bots發(fā)起的訪(fǎng)問(wèn)請求占比甚至超80%。同時(shí),相對于傳統安全攻防,企業(yè)普遍缺乏對于Bots攻擊的認知和防護,這進(jìn)一步加劇了Bots攻擊帶來(lái)的危害。
三大看點(diǎn)不容錯過(guò)
看點(diǎn)一:聚焦四大Bots核心問(wèn)題
正如自動(dòng)化能夠幫助企業(yè)有效地檢測和緩解網(wǎng)絡(luò )威脅一樣,自動(dòng)化工具的加持也讓網(wǎng)絡(luò )犯罪分子"如虎添翼"。自動(dòng)化、智能化的Bots攻擊正讓企業(yè)網(wǎng)絡(luò )的防線(xiàn)頻頻失守。
國家級大數據成為高級Bots的云集之地
"互聯(lián)網(wǎng)+政務(wù)服務(wù)"開(kāi)放了大量數據查詢(xún)服務(wù),這些數據經(jīng)過(guò)聚合之后可以成為具有極高價(jià)值的國家級大數據,因此吸引了黑產(chǎn)和境外機構Bots的大規模數據拖取,如果被非法濫用,將會(huì )帶來(lái)巨大危害。在各行業(yè)中,政府行業(yè)的Bots請求比例據行業(yè)之首,超過(guò)65%;在高級持續性Bots手段使用上,政府行業(yè)依然首當其沖,占比超過(guò)30%。
龐大的IP資源已成為Bots流量產(chǎn)業(yè)的基礎設施
大規模廉價(jià)的IP資源大幅降低了繞過(guò)傳統Anti-Bot技術(shù)的成本,也成為Bots流量中最常用的手段,更換IP方式在繞過(guò)手段中的采用率高達90%以上,嚴重削弱了IP信譽(yù)庫的防御能力,高級組織每日使用IP數量可超過(guò)百萬(wàn),兩日IP重復率低于10%。
新興領(lǐng)域的漏洞探測利用效率提升
隨著(zhù)開(kāi)源和商業(yè)漏洞探測利用工具的發(fā)展,攻擊者對于新興領(lǐng)域的漏洞發(fā)現效率大幅度提升,IoT、API、云端應用等領(lǐng)域雖然興起時(shí)間不長(cháng),但暴露的安全問(wèn)題卻有趕超傳統領(lǐng)域的趨勢,尤其在0day/Nday攻擊、接口濫用等方面表現突出。
Bots流量全面隱藏機器特征促使前端對抗升級
借助豐富而低成本的IP資源、平臺資源,Bots在流量層面的特征進(jìn)一步被隱藏,這就要求防護系統能夠在前端提取到更多的Bots信息進(jìn)行識別。JS保護與破解、設備指紋追蹤與反追蹤、模擬操作行為對抗、驗證碼對抗等將會(huì )更加激烈,AI技術(shù)也將會(huì )深入介入其中。
看點(diǎn)二:2019年Bots自動(dòng)化威脅深度分析
隨著(zhù)自動(dòng)化攻擊手段的發(fā)展,業(yè)務(wù)系統面臨的攻擊類(lèi)型也越來(lái)越多,OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動(dòng)化威脅已達到21種之多。結合國內的業(yè)務(wù)系統和攻擊者的特點(diǎn),報告對Bots自動(dòng)化威脅的多個(gè)層面進(jìn)行了歸納分析和解讀。
Bots攻擊類(lèi)別
報告指出,從Bots攻擊流量最主要的關(guān)注點(diǎn)和對業(yè)務(wù)影響的角度,可以將Bots攻擊類(lèi)別分為5大類(lèi):
- 漏洞探測利用
- 模擬正常業(yè)務(wù)操作邏輯搶占業(yè)務(wù)資源
- 爬蟲(chóng)獲取高價(jià)值數據
- 暴力破解或者撞庫獲取賬號信息
- 面向應用和業(yè)務(wù)的拒絕服務(wù)攻擊
Bots攻擊態(tài)勢
綜合來(lái)看,Bots發(fā)起的請求占比已經(jīng)超過(guò)網(wǎng)站訪(fǎng)問(wèn)總量的一半,達到55.35%,而對于某些提供公共信息查詢(xún)的政務(wù)系統,Bots請求比例甚至超過(guò)80%。
從行業(yè)上看,政府行業(yè)的Bots請求占比最高,超過(guò)65%;金融、運營(yíng)商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過(guò)了60%。除了通用的漏洞掃描外,不同行業(yè)遭受的Bots攻擊類(lèi)型也不一樣。Bots 訪(fǎng)問(wèn)占比最高的政府行業(yè),主要攻擊場(chǎng)景有爬蟲(chóng)、信息搜刮等;其次為金融行業(yè),主要攻擊場(chǎng)景有薅羊毛、批量進(jìn)件、撞庫等;運營(yíng)商行業(yè)則集中在批量繳費、通話(huà)記錄或賬單拖取等場(chǎng)景。
APBs透視
隨著(zhù)各種 Bots 對抗技術(shù)的涌現,很多場(chǎng)景下簡(jiǎn)單的腳本工具已經(jīng)無(wú)法有效進(jìn)行攻擊,為了繞過(guò)各種防護手段, Bots 也由簡(jiǎn)單腳本向高級持續性機器人(Advanced Persistent Bots,APBs)演進(jìn)。不同行業(yè)面臨的APBs威脅也不一樣,攻防對抗會(huì )加速普通Bots向APBs進(jìn)化的過(guò)程。
值得注意的是,APBs相比普通Bots,具備多種多樣的"反反自動(dòng)化攻擊"能力,自動(dòng)更換IP、特征隱藏、擬人化操作、驗證碼識別等技術(shù)已然成為標配。
移動(dòng)端分析
企業(yè)越來(lái)越多的業(yè)務(wù)系統正在向移動(dòng)端遷移,為了適應這種環(huán)境,攻擊平臺也必須向移動(dòng)端轉移,多種多樣的攻擊手段也隨之出現,例如各類(lèi)改機工具、破解框架、模擬器、root、群控、云控、IMEI偽造、GPS偽造、IP代理等。
除此之外,報告中還對攻擊來(lái)源分布、IP秒撥、Bots隱藏技術(shù)等進(jìn)行了深入分析。
除此之外,報告中還對攻擊來(lái)源分布、IP秒撥、Bots隱藏技術(shù)等進(jìn)行了深入分析。
看點(diǎn)三:2020年Bots自動(dòng)化威脅發(fā)展趨勢
2019年圍繞Bots攻防展開(kāi)的對抗技術(shù)得到了長(cháng)足發(fā)展,但未來(lái)這一對抗依然會(huì )持續并不斷增強。
移動(dòng)端成為下一戰場(chǎng)
隨著(zhù)企業(yè)業(yè)務(wù)不斷從PC端向移動(dòng)端遷移,黑客的攻擊重心也在轉移。除了傳統的漏洞掃描、APP客戶(hù)端逆向破解外,大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業(yè)務(wù)相關(guān)的攻擊正在發(fā)生,移動(dòng)端的對抗將進(jìn)入下一階段。
前端對抗持續增強
前端作為整個(gè)系統的大門(mén),是Bots攻防中雙方必爭之地,各種對抗手段不斷涌現,可以預見(jiàn)后續前端對抗依然會(huì )持續,在JS保護、設備指紋、操作行為等領(lǐng)域的對抗將會(huì )持續升級
IoT系統成為新興攻擊目標
智能家電、攝像頭、路由器、車(chē)載系統等物聯(lián)網(wǎng)(IoT)設備正深入人們的生活,黑客利用自動(dòng)批量攻擊工具,可以快速獲取大量IoT設備的控制權,IoT已然成為信息泄漏和 DDOS攻擊的生力軍。
Bots成為API濫用的推手
在Bots的幫助下,攻擊者對API接口進(jìn)行暴力破解、非法調用、代碼注入等攻擊的效率將會(huì )大幅提升,API接口濫用行為的防護需求將愈加凸顯。
"內鬼"防不勝防
面對高價(jià)值的企業(yè)數據,企業(yè)內部員工無(wú)意或蓄意地利用自動(dòng)化工具及內網(wǎng)合法權限,拖取內部信息、操縱內網(wǎng)交易、建立垃圾賬號的事件屢見(jiàn)不鮮,而B(niǎo)ots正充當了"內鬼"們竊密的利器。
云中斗爭愈發(fā)激烈
云技術(shù)的發(fā)展會(huì )對Bots攻防產(chǎn)生深刻影響。一方面云資源成本降低使得部署于云上的Bots成本也隨之降低,Bots數量因而上升;另一方面云上環(huán)境相比自建機房更為開(kāi)放,攻擊面暴露更多,遭受攻擊的可能性也大大增加。
AI 深度介入攻防過(guò)程
AI人工智能已經(jīng)是網(wǎng)絡(luò )安全屆最熱門(mén)的話(huà)題之一。一方面,過(guò)去成本高昂的勞動(dòng)密集型攻擊,已經(jīng)在基于A(yíng)I的對抗學(xué)習以及自動(dòng)化工具的應用下找到新的轉型模式。另一方面,以AI為基礎的攻擊檢測工具迅速發(fā)展,相比傳統策略,基于A(yíng)I的新型攻擊檢測,可以發(fā)現更為隱蔽的攻擊。
結語(yǔ)
安全就像一場(chǎng)永無(wú)休止的攻防戰,攻防兩端永遠在博弈,此消彼長(cháng),沒(méi)有完結的一天。未來(lái),數字化將成為企業(yè)發(fā)展的"核心動(dòng)能",安全也將成為企業(yè)核心競爭優(yōu)勢之一。有效防御Bots自動(dòng)化攻擊是未來(lái)安全防護的趨勢,了解自動(dòng)化Bots攻擊特點(diǎn)和系統安全態(tài)勢,強化安全防護的協(xié)同聯(lián)動(dòng),才是企業(yè)有效應對后續未知的自動(dòng)化攻擊態(tài)勢,屹立于不敗之地的關(guān)鍵。
關(guān)于瑞數信息
作為Bots自動(dòng)化攻防領(lǐng)域的引領(lǐng)者,瑞數信息以動(dòng)態(tài)防護、AI人工智能、可編程對抗和業(yè)務(wù)威脅感知四大核心技術(shù)為基礎,將安全防御范疇由Web端進(jìn)一步拓展到移動(dòng)端、云端、API、IoT等領(lǐng)域,通過(guò)聯(lián)動(dòng)應用與業(yè)務(wù)間的多維度安全手段,高效抵御各類(lèi)自動(dòng)化攻擊和模擬合法操作的交易欺詐行為,在當前復雜多變的網(wǎng)絡(luò )和應用環(huán)境下,為企業(yè)應用與業(yè)務(wù)提供了長(cháng)期、有效、靈活的安全防護!
掃描二維碼,下載完整報告
