4月22日,瑞數信息重磅發布《2020Bots自動化威脅報告》(下稱“報告”),對2019年Bots自動化威脅的主要類別、攻擊來源、攻擊態勢、技術手段等進行了全面回溯與解讀,并對2020年Bots自動化威脅發展趨勢做出預測。
報告指出,Bots機器人攻擊在逐年增加,全球網絡流量中正常用戶發起的請求已經不足一半。國內的Bots攻擊形勢則更為嚴峻,尤其在一些資源搶占類和信息公示類系統中,Bots發起的訪問請求占比甚至超80%。同時,相對于傳統安全攻防,企業普遍缺乏對于Bots攻擊的認知和防護,這進一步加劇了Bots攻擊帶來的危害。
三大看點不容錯過
看點一:聚焦四大Bots核心問題
正如自動化能夠幫助企業有效地檢測和緩解網絡威脅一樣,自動化工具的加持也讓網絡犯罪分子“如虎添翼”。自動化、智能化的Bots攻擊正讓企業網絡的防線頻頻失守。
國家級大數據成為高級Bots的云集之地
“互聯網+政務服務”開放了大量數據查詢服務,這些數據經過聚合之后可以成為具有極高價值的國家級大數據,因此吸引了黑產和境外機構Bots的大規模數據拖取,如果被非法濫用,將會帶來巨大危害。在各行業中,政府行業的Bots請求比例據行業之首,超過65%;在高級持續性Bots手段使用上,政府行業依然首當其沖,占比超過30%。
龐大的IP資源已成為Bots流量產業的基礎設施
大規模廉價的IP資源大幅降低了繞過傳統Anti-Bot技術的成本,也成為Bots流量中最常用的手段,更換IP方式在繞過手段中的采用率高達90%以上,嚴重削弱了IP信譽庫的防御能力,高級組織每日使用IP數量可超過百萬,兩日IP重復率低于10%。
新興領域的漏洞探測利用效率提升
隨著開源和商業漏洞探測利用工具的發展,攻擊者對于新興領域的漏洞發現效率大幅度提升,IoT、API、云端應用等領域雖然興起時間不長,但暴露的安全問題卻有趕超傳統領域的趨勢,尤其在0day/Nday攻擊、接口濫用等方面表現突出。
Bots流量全面隱藏機器特征促使前端對抗升級
借助豐富而低成本的IP資源、平臺資源,Bots在流量層面的特征進一步被隱藏,這就要求防護系統能夠在前端提取到更多的Bots信息進行識別。JS保護與破解、設備指紋追蹤與反追蹤、模擬操作行為對抗、驗證碼對抗等將會更加激烈,AI技術也將會深入介入其中。
看點二:2019年Bots自動化威脅深度分析
隨著自動化攻擊手段的發展,業務系統面臨的攻擊類型也越來越多,OWASP最新發布的《AutomatedThreatHandbook》中提到的自動化威脅已達到21種之多。結合國內的業務系統和攻擊者的特點,報告對Bots自動化威脅的多個層面進行了歸納分析和解讀。
Bots攻擊類別
報告指出,從Bots攻擊流量最主要的關注點和對業務影響的角度,可以將Bots攻擊類別分為5大類:
-漏洞探測利用
-模擬正常業務操作邏輯搶占業務資源
-爬蟲獲取高價值數據
-暴力破解或者撞庫獲取賬號信息
-面向應用和業務的拒絕服務攻擊
Bots攻擊態勢
綜合來看,Bots發起的請求占比已經超過網站訪問總量的一半,達到55.35%,而對于某些提供公共信息查詢的政務系統,Bots請求比例甚至超過80%。
從行業上看,政府行業的Bots請求占比最高,超過65%;金融、運營商、互聯網行業的平均占比都超過了60%。除了通用的漏洞掃描外,不同行業遭受的Bots攻擊類型也不一樣。Bots訪問占比最高的政府行業,主要攻擊場景有爬蟲、信息搜刮等;其次為金融行業,主要攻擊場景有薅羊毛、批量進件、撞庫等;運營商行業則集中在批量繳費、通話記錄或賬單拖取等場景。
APBs透視
隨著各種Bots對抗技術的涌現,很多場景下簡單的腳本工具已經無法有效進行攻擊,為了繞過各種防護手段,Bots也由簡單腳本向高級持續性機器人(AdvancedPersistentBots,APBs)演進。不同行業面臨的APBs威脅也不一樣,攻防對抗會加速普通Bots向APBs進化的過程。
值得注意的是,APBs相比普通Bots,具備多種多樣的“反反自動化攻擊”能力,自動更換IP、特征隱藏、擬人化操作、驗證碼識別等技術已然成為標配。
移動端分析
企業越來越多的業務系統正在向移動端遷移,為了適應這種環境,攻擊平臺也必須向移動端轉移,多種多樣的攻擊手段也隨之出現,例如各類改機工具、破解框架、模擬器、root、群控、云控、IMEI偽造、GPS偽造、IP代理等。
除此之外,報告中還對攻擊來源分布、IP秒撥、Bots隱藏技術等進行了深入分析。
看點三:2020年Bots自動化威脅發展趨勢
2019年圍繞Bots攻防展開的對抗技術得到了長足發展,但未來這一對抗依然會持續并不斷增強。
移動端成為下一戰場
隨著企業業務不斷從PC端向移動端遷移,黑客的攻擊重心也在轉移。除了傳統的漏洞掃描、APP客戶端逆向破解外,大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業務相關的攻擊正在發生,移動端的對抗將進入下一階段。
前端對抗持續增強
前端作為整個系統的大門,是Bots攻防中雙方必爭之地,各種對抗手段不斷涌現,可以預見后續前端對抗依然會持續,在JS保護、設備指紋、操作行為等領域的對抗將會持續升級
IoT系統成為新興攻擊目標
智能家電、攝像頭、路由器、車載系統等物聯網(IoT)設備正深入人們的生活,黑客利用自動批量攻擊工具,可以快速獲取大量IoT設備的控制權,IoT已然成為信息泄漏和DDOS攻擊的生力軍。
Bots成為API濫用的推手
在Bots的幫助下,攻擊者對API接口進行暴力破解、非法調用、代碼注入等攻擊的效率將會大幅提升,API接口濫用行為的防護需求將愈加凸顯。
“內鬼”防不勝防
面對高價值的企業數據,企業內部員工無意或蓄意地利用自動化工具及內網合法權限,拖取內部信息、操縱內網交易、建立垃圾賬號的事件屢見不鮮,而Bots正充當了“內鬼”們竊密的利器。
云中斗爭愈發激烈
云技術的發展會對Bots攻防產生深刻影響。一方面云資源成本降低使得部署于云上的Bots成本也隨之降低,Bots數量因而上升;另一方面云上環境相比自建機房更為開放,攻擊面暴露更多,遭受攻擊的可能性也大大增加。
AI深度介入攻防過程
AI人工智能已經是網絡安全屆最熱門的話題之一。一方面,過去成本高昂的勞動密集型攻擊,已經在基于AI的對抗學習以及自動化工具的應用下找到新的轉型模式。另一方面,以AI為基礎的攻擊檢測工具迅速發展,相比傳統策略,基于AI的新型攻擊檢測,可以發現更為隱蔽的攻擊。
結語
安全就像一場永無休止的攻防戰,攻防兩端永遠在博弈,此消彼長,沒有完結的一天。未來,數字化將成為企業發展的“核心動能”,安全也將成為企業核心競爭優勢之一。有效防御Bots自動化攻擊是未來安全防護的趨勢,了解自動化Bots攻擊特點和系統安全態勢,強化安全防護的協同聯動,才是企業有效應對后續未知的自動化攻擊態勢,屹立于不敗之地的關鍵。
關于瑞數信息
作為Bots自動化攻防領域的引領者,瑞數信息以動態防護、AI人工智能、可編程對抗和業務威脅感知四大核心技術為基礎,將安全防御范疇由Web端進一步拓展到移動端、云端、API、IoT等領域,通過聯動應用與業務間的多維度安全手段,高效抵御各類自動化攻擊和模擬合法操作的交易欺詐行為,在當前復雜多變的網絡和應用環境下,為企業應用與業務提供了長期、有效、靈活的安全防護!
掃描二維碼,下載完整報告
