警示一:政府、金融、運營(yíng)商、互聯(lián)網(wǎng)行業(yè)成為Bots攻擊重災區
報告顯示,政府、金融、運營(yíng)商和互聯(lián)網(wǎng)行業(yè)是Bots自動(dòng)化攻擊的重災區,政府行業(yè)以超過(guò)65%的Bots請求占比位居第一,緊隨其后的金融、運營(yíng)商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過(guò)了60%。
從Bots攻擊來(lái)源來(lái)看,Bots攻擊來(lái)源最多的省份是江蘇,河南、浙江,廣東緊隨其后。這和當地的IDC、ISP提供商的營(yíng)銷(xiāo)策略不無(wú)關(guān)系。而來(lái)自境外的攻擊中,美國以超過(guò)75%的占比高居榜首。
警示二:難以直接封殺的IP秒撥
作為互聯(lián)網(wǎng)空間最基礎的身份標識,IP一直是黑產(chǎn)和企業(yè)爭奪對抗最激烈的攻防點(diǎn)。隨著(zhù)黑產(chǎn)技術(shù)的快速升級和攻防節奏的加快,秒撥IP資源成為了當下主流的黑產(chǎn)IP資源,被廣泛用于批量注冊、登錄、投票、刷量等短時(shí)間內需要大量IP資源的風(fēng)險場(chǎng)景,而且由于其難以識別的特性,也已經(jīng)對當前的互聯(lián)網(wǎng)安全造成了巨大危害。
報告指出,雖然來(lái)自IDC機房的IP依然是攻擊的主力,但隨著(zhù)對抗的升級,在一些高級別對抗中,IP地址已經(jīng)在向更為隱蔽、難以直接封殺的家庭IP、基站IP轉移。相比傳統的IDC代理技術(shù),這些IP地址隱藏在真實(shí)的用戶(hù)中,使得IP信譽(yù)檢測的效果大打折扣,基于IP的攔截也會(huì )投鼠忌器。
警示三:更隱蔽的Bots身份聲明
為提高攻擊效率,Bots攻擊者不斷在嘗試利用各種各樣的手段來(lái)繞過(guò)檢測措施,比如通過(guò)修改User-Agent來(lái)隱藏自己真實(shí)的身份信息。
通過(guò)對Bots的UA進(jìn)行分析,可以發(fā)現Windows是半數以上Bots的首選操作系統(52.3%),而Chrome則是它們最喜歡使用的"馬甲"。
警示四:高歌猛進(jìn)的APBs
隨著(zhù)各種Bots對抗技術(shù)的涌現,很多場(chǎng)景下簡(jiǎn)單的腳本工具已經(jīng)沒(méi)有用武之地,為了繞過(guò)各種防護手段,Bots也正由簡(jiǎn)單腳本向高級持續性機器人(APBs)不斷演進(jìn)。根據觀(guān)察,APBs產(chǎn)生的流量在總Bots流量中的占比已經(jīng)達到23.16%,隨著(zhù)對抗的升級,這一比例還會(huì )繼續上升。
相對于普通Bots,APBs具備多種多樣的"反反自動(dòng)化攻擊"能力,自動(dòng)更換IP、特征隱藏、擬人化操作、驗證碼識別等技術(shù)已然成為標配。在一些對抗比較激烈的場(chǎng)景,例如薅羊毛、爬蟲(chóng)、搶報名等,APBs已經(jīng)大規模應用。
APBs進(jìn)化路線(xiàn)
為了繞過(guò)客戶(hù)端的檢測,并對網(wǎng)頁(yè)中JS等程序進(jìn)行執行,攻擊者會(huì )通過(guò)自動(dòng)化框架來(lái)完全模擬真實(shí)瀏覽器。據瑞數信息監測統計,目前應用最廣泛的是WebDriver類(lèi)框架,Headless Chrome、PhantomJS、NodeJS等也在大量應用。
同時(shí),通過(guò)瑞數信息動(dòng)態(tài)安全Botgate對客戶(hù)端真實(shí)環(huán)境的驗證發(fā)現,Chrome內核仍然是APBs的首選。
警示五:更高的0day/Nday漏洞探測利用效率
漏洞的快速曝光和利用給企業(yè)帶來(lái)了極大的威脅。漏洞公布之后,隨之而來(lái)的漏洞探測會(huì )迅速在互聯(lián)網(wǎng)上批量嘗試,幾乎所有漏洞利用會(huì )在1天之內就被廣泛傳播。而作為發(fā)現后即可立即被利用的安全漏洞,0day漏洞往往具有更大的突發(fā)性和破壞性。
隨著(zhù)開(kāi)源和商業(yè)漏洞利用工具的發(fā)展,0day/Nday漏洞利用工具的獲取難度在持續降低,但工具發(fā)布更新的頻率卻在迅速提升。尤其對于一些重量級的0day漏洞,首次探測高峰已經(jīng)由POC披露后1周,提前到POC披露之前,這也讓企業(yè)更加難以有效應對。
警示六:移動(dòng)端攻擊的崛起
隨著(zhù)企業(yè)越來(lái)越多的業(yè)務(wù)系統向移動(dòng)端遷移,黑客的攻擊重心也必須向移動(dòng)端轉移,各類(lèi)改機工具、破解框架、模擬器、群控、云控、IMEI偽造、GPS偽造等攻擊手段層出不窮。
報告顯示,移動(dòng)平臺的Bots最大來(lái)源城市為成都,南方城市總體較北方城市發(fā)起了更多移動(dòng)端Bots攻擊。
就移動(dòng)端的攻擊載體而言,Bots攻擊呈現出對經(jīng)濟成本、系統破解難易度等方面的依賴(lài)。市場(chǎng)占有率更高、價(jià)格更低廉、破解難度更低的Android系統明顯比iOS得到更多Bots攻擊者的偏愛(ài)。
移動(dòng)端Bots攻擊來(lái)源平臺分布
移動(dòng)端Bots攻擊來(lái)源手機品牌分布
目前,Bots自動(dòng)化攻擊正在日益成為攻擊者最青睞的攻擊形式,免費、簡(jiǎn)單、高效,是攻擊者越來(lái)越偏愛(ài)自動(dòng)化的主要原因。黑客論壇或網(wǎng)站上發(fā)布的免費自動(dòng)化腳本工具,以及破壞力極強但卻不需要攻擊者擁有深厚代碼功底的自動(dòng)化攻擊工具都可以為攻擊者所用,發(fā)起越來(lái)越復雜且成功率更高的自動(dòng)化攻擊。
在未來(lái)的攻防對抗中,企業(yè)也將會(huì )面臨越來(lái)越多的自動(dòng)化攻擊。因此企業(yè)在應用及業(yè)務(wù)安全的防御策略上,除了加強基礎風(fēng)控的建設,也應當將Bots管理納入其中,借助動(dòng)態(tài)安全防護、AI人工智能、威脅態(tài)勢感知等新技術(shù),高效防御各類(lèi)數字時(shí)代的新興威脅。
