日前,瑞數信息重磅發(fā)布《2020 Bots自動(dòng)化威脅報告》,基于公司多年來(lái)在金融、政務(wù)、電信、電商等行業(yè)的數百例防護案例,及對各類(lèi)自動(dòng)化攻擊事件的整理回溯,瑞數信息提出了2020年Bots自動(dòng)化威脅的七大發(fā)展趨勢。
01 移動(dòng)端成為下一戰場(chǎng)
在移動(dòng)互聯(lián)網(wǎng)高度發(fā)展和普及的今天,企業(yè)越來(lái)越多地將業(yè)務(wù)從PC端遷移到移動(dòng)端。在業(yè)務(wù)遷移的同時(shí),黑客的攻擊重心也會(huì )隨著(zhù)業(yè)務(wù)的遷移而轉移,企業(yè)面臨的攻擊也比以往更復雜和多元化。除了傳統的漏洞掃描、APP客戶(hù)端逆向破解外,還會(huì )有大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業(yè)務(wù)相關(guān)的攻擊,移動(dòng)端的對抗也將進(jìn)入下一階段。
02 前端對抗持續增強
前端作為整個(gè)系統的大門(mén),是Bots 攻防中雙方必爭之地,各種對抗手段不斷涌現,可以預見(jiàn)后續前端對抗依然會(huì )持續,在以下幾個(gè)領(lǐng)域的對抗將會(huì )持續升級:
JS保護
前端是一個(gè)非常透明的領(lǐng)域,所有JS代碼均被下載到用戶(hù)本地,JS代碼防護手段已經(jīng)由靜態(tài)混淆發(fā)展到更高級別的動(dòng)態(tài)混淆、虛擬機等技術(shù)防護,對于JS代碼的保護和破解是接下來(lái)攻防雙方重點(diǎn)關(guān)注的領(lǐng)域。
設備指紋
在人機識別和風(fēng)控領(lǐng)域,穩定唯一的設備指紋是一個(gè)重要元素,攻擊者會(huì )嘗試各種手段來(lái)破壞指紋的穩定性,圍繞設備指紋的爭奪也會(huì )升級。
操作行為
無(wú)論是驗證碼還是無(wú)感驗證,都是利用用戶(hù)在頁(yè)面的操作行為進(jìn)行判斷,例如鍵盤(pán)操作、 鼠標操作、頁(yè)面停留時(shí)間等,Bots則會(huì )在這些方面盡可能地去模擬正常人的操作,如何有效地對模擬行為進(jìn)行識別需要持續分析升級。
03 IoT 系統成為新興攻擊目標
智能家電、攝像頭、路由器、車(chē)載系統等物聯(lián)網(wǎng) (IoT) 設備正在深入人們的生活,黑客利用自動(dòng)化批量攻擊的工具,可以快速獲取大量IoT設備的控制權,IoT已然成為信息泄漏和DDOS攻擊的生力軍。根據相關(guān)數據顯示,2019年全球IoT設備數量已經(jīng)超過(guò)80億臺,預計2020年設備數量將會(huì )達到百億臺。一方面是設備數量的劇增,一方面是跟不上腳步的安全防護,這些設備自然也就成為了黑客眼中的肥羊。
04 API 濫用的推手
API 安全性早已躋身OWASP十大排行榜,并且仍有極大可能蟬聯(lián)。據調查,目前每個(gè)企業(yè)平均管理超過(guò)350種不同的API,其中69%的企業(yè)會(huì )將這些API開(kāi)放給公眾和他們的合作伙伴。雖然開(kāi)放API承擔了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統的責任,但同時(shí)也給了攻擊者可乘之機。在Bots幫助下攻擊者對API接口進(jìn)行暴力破解、非法調用、代碼注入等攻擊的效率將會(huì )大提升,API接口濫用行為的防護需求將愈加凸顯。
05 "內鬼"防不勝防
實(shí)際上,雖然企業(yè)多將大量資源集中用于應對來(lái)自外部的網(wǎng)絡(luò )攻擊,但相當多的安全事件卻是由內網(wǎng)安全風(fēng)險引發(fā)的。企業(yè)內部員工無(wú)意或蓄意地利用自動(dòng)化工具及內網(wǎng)合法權限,拖取內部信息,操縱內網(wǎng)交易,進(jìn)行、建立垃圾賬號的事件屢見(jiàn)不鮮。我們有理由相信,在當前的經(jīng)濟環(huán)境中,面對高價(jià)值的企業(yè)數據,"內鬼"造成的惡性安全事件會(huì )越來(lái)越多,而B(niǎo)ots充當了"內鬼"們利用其合法身份,模擬合法業(yè)務(wù)操作進(jìn)行竊密的利器。
06 云中斗爭愈發(fā)激烈
云技術(shù)的發(fā)展對Bots的攻防產(chǎn)生著(zhù)深刻的影響。一方面云資源成本的降低,讓部署在云上的Bots成本也隨之降低,進(jìn)而帶動(dòng)攻擊者部署更多的Bots;另一方面企業(yè)在上云之后,相比自建機房的環(huán)境更為開(kāi)放,攻擊面暴露得更多,遭受攻擊的可能性也大大增加。因此在Bots數量上升和更多弱點(diǎn)暴露的兩難境地之中,企業(yè)在上云之后如何進(jìn)行有效的Bots防護管理將成為一個(gè)關(guān)注點(diǎn)。
07 AI 深度介入攻防過(guò)程
人工智能(AI)已經(jīng)是網(wǎng)絡(luò )安全屆最熱門(mén)的熱點(diǎn)話(huà)題之一。一方面,過(guò)去勞動(dòng)密集型和成本高昂的攻擊,已經(jīng)在基于A(yíng)I的對抗學(xué)習以及自動(dòng)化工具的應用下找到新的轉型模式。另一方面,過(guò)去一年中以AI為基礎的攻擊檢測工具得到長(cháng)足發(fā)展,相比傳統的策略,新型基于A(yíng)I的攻擊檢測,可以發(fā)現更為隱蔽的攻擊。可以預見(jiàn),在自動(dòng)化攻防領(lǐng)域基于A(yíng)I的對抗也會(huì )越來(lái)越激烈。
Bots攻擊已經(jīng)日益成為了攻擊主流,同時(shí),伴隨AI技術(shù)及平臺化趨勢的加強,越來(lái)越復雜的高級機器人攻擊為網(wǎng)絡(luò )安全行業(yè)帶來(lái)了更為嚴峻的挑戰。2019年圍繞Bots攻防展開(kāi)的對抗技術(shù)得到了長(cháng)足發(fā)展,在接下來(lái)的時(shí)間里這一對抗依然會(huì )持續并增強。安全就像一場(chǎng)永無(wú)休止的攻防戰,攻防兩端永遠在博弈,此消彼此,沒(méi)有完結的一天。
掃碼二維碼 下載完整報告
