當(dāng)今社會(huì)的科技發(fā)展和未來(lái)的發(fā)展創(chuàng)新都離不開(kāi)自動(dòng)化技術(shù)的支持。然而,一旦自動(dòng)化技術(shù)為不法分子所用,造成的損失也是不可估量的。從網(wǎng)站應(yīng)用攻擊、用戶信息泄露到業(yè)務(wù)交易欺詐,無(wú)處不在的自動(dòng)化攻擊考驗(yàn)著每個(gè)行業(yè)的安全水準(zhǔn)。

4月22日,瑞數(shù)信息重磅發(fā)布《2020Bots自動(dòng)化威脅報(bào)告》(下稱“報(bào)告”),對(duì)2019年Bots自動(dòng)化威脅的主要類別、攻擊來(lái)源、攻擊態(tài)勢(shì)、技術(shù)手段等進(jìn)行了全面回溯與解讀,并對(duì)2020年Bots自動(dòng)化威脅發(fā)展趨勢(shì)做出預(yù)測(cè)。


2020Bots自動(dòng)化威脅報(bào)告
2020Bots自動(dòng)化威脅報(bào)告

報(bào)告指出,Bots機(jī)器人攻擊在逐年增加,全球網(wǎng)絡(luò)流量中正常用戶發(fā)起的請(qǐng)求已經(jīng)不足一半。國(guó)內(nèi)的Bots攻擊形勢(shì)則更為嚴(yán)峻,尤其在一些資源搶占類和信息公示類系統(tǒng)中,Bots發(fā)起的訪問(wèn)請(qǐng)求占比甚至超80%。同時(shí),相對(duì)于傳統(tǒng)安全攻防,企業(yè)普遍缺乏對(duì)于Bots攻擊的認(rèn)知和防護(hù),這進(jìn)一步加劇了Bots攻擊帶來(lái)的危害。

三大看點(diǎn)不容錯(cuò)過(guò)

看點(diǎn)一:聚焦四大Bots核心問(wèn)題

正如自動(dòng)化能夠幫助企業(yè)有效地檢測(cè)和緩解網(wǎng)絡(luò)威脅一樣,自動(dòng)化工具的加持也讓網(wǎng)絡(luò)犯罪分子“如虎添翼”。自動(dòng)化、智能化的Bots攻擊正讓企業(yè)網(wǎng)絡(luò)的防線頻頻失守。

國(guó)家級(jí)大數(shù)據(jù)成為高級(jí)Bots的云集之地

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”開(kāi)放了大量數(shù)據(jù)查詢服務(wù),這些數(shù)據(jù)經(jīng)過(guò)聚合之后可以成為具有極高價(jià)值的國(guó)家級(jí)大數(shù)據(jù),因此吸引了黑產(chǎn)和境外機(jī)構(gòu)Bots的大規(guī)模數(shù)據(jù)拖取,如果被非法濫用,將會(huì)帶來(lái)巨大危害。在各行業(yè)中,政府行業(yè)的Bots請(qǐng)求比例據(jù)行業(yè)之首,超過(guò)65%;在高級(jí)持續(xù)性Bots手段使用上,政府行業(yè)依然首當(dāng)其沖,占比超過(guò)30%。

龐大的IP資源已成為Bots流量產(chǎn)業(yè)的基礎(chǔ)設(shè)施

大規(guī)模廉價(jià)的IP資源大幅降低了繞過(guò)傳統(tǒng)Anti-Bot技術(shù)的成本,也成為Bots流量中最常用的手段,更換IP方式在繞過(guò)手段中的采用率高達(dá)90%以上,嚴(yán)重削弱了IP信譽(yù)庫(kù)的防御能力,高級(jí)組織每日使用IP數(shù)量可超過(guò)百萬(wàn),兩日IP重復(fù)率低于10%。

新興領(lǐng)域的漏洞探測(cè)利用效率提升

隨著開(kāi)源和商業(yè)漏洞探測(cè)利用工具的發(fā)展,攻擊者對(duì)于新興領(lǐng)域的漏洞發(fā)現(xiàn)效率大幅度提升,IoT、API、云端應(yīng)用等領(lǐng)域雖然興起時(shí)間不長(zhǎng),但暴露的安全問(wèn)題卻有趕超傳統(tǒng)領(lǐng)域的趨勢(shì),尤其在0day/Nday攻擊、接口濫用等方面表現(xiàn)突出。

Bots流量全面隱藏機(jī)器特征促使前端對(duì)抗升級(jí)

借助豐富而低成本的IP資源、平臺(tái)資源,Bots在流量層面的特征進(jìn)一步被隱藏,這就要求防護(hù)系統(tǒng)能夠在前端提取到更多的Bots信息進(jìn)行識(shí)別。JS保護(hù)與破解、設(shè)備指紋追蹤與反追蹤、模擬操作行為對(duì)抗、驗(yàn)證碼對(duì)抗等將會(huì)更加激烈,AI技術(shù)也將會(huì)深入介入其中。

看點(diǎn)二:2019年Bots自動(dòng)化威脅深度分析

隨著自動(dòng)化攻擊手段的發(fā)展,業(yè)務(wù)系統(tǒng)面臨的攻擊類型也越來(lái)越多,OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動(dòng)化威脅已達(dá)到21種之多。結(jié)合國(guó)內(nèi)的業(yè)務(wù)系統(tǒng)和攻擊者的特點(diǎn),報(bào)告對(duì)Bots自動(dòng)化威脅的多個(gè)層面進(jìn)行了歸納分析和解讀。

Bots攻擊類別

報(bào)告指出,從Bots攻擊流量最主要的關(guān)注點(diǎn)和對(duì)業(yè)務(wù)影響的角度,可以將Bots攻擊類別分為5大類:

-漏洞探測(cè)利用

-模擬正常業(yè)務(wù)操作邏輯搶占業(yè)務(wù)資源

-爬蟲獲取高價(jià)值數(shù)據(jù)

-暴力破解或者撞庫(kù)獲取賬號(hào)信息

-面向應(yīng)用和業(yè)務(wù)的拒絕服務(wù)攻擊

Bots攻擊態(tài)勢(shì)

綜合來(lái)看,Bots發(fā)起的請(qǐng)求占比已經(jīng)超過(guò)網(wǎng)站訪問(wèn)總量的一半,達(dá)到55.35%,而對(duì)于某些提供公共信息查詢的政務(wù)系統(tǒng),Bots請(qǐng)求比例甚至超過(guò)80%。

從行業(yè)上看,政府行業(yè)的Bots請(qǐng)求占比最高,超過(guò)65%;金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過(guò)了60%。除了通用的漏洞掃描外,不同行業(yè)遭受的Bots攻擊類型也不一樣。Bots訪問(wèn)占比最高的政府行業(yè),主要攻擊場(chǎng)景有爬蟲、信息搜刮等;其次為金融行業(yè),主要攻擊場(chǎng)景有薅羊毛、批量進(jìn)件、撞庫(kù)等;運(yùn)營(yíng)商行業(yè)則集中在批量繳費(fèi)、通話記錄或賬單拖取等場(chǎng)景。

APBs透視

隨著各種 Bots對(duì)抗技術(shù)的涌現(xiàn),很多場(chǎng)景下簡(jiǎn)單的腳本工具已經(jīng)無(wú)法有效進(jìn)行攻擊,為了繞過(guò)各種防護(hù)手段, Bots也由簡(jiǎn)單腳本向高級(jí)持續(xù)性機(jī)器人(Advanced Persistent Bots,APBs)演進(jìn)。不同行業(yè)面臨的APBs威脅也不一樣,攻防對(duì)抗會(huì)加速普通Bots向APBs進(jìn)化的過(guò)程。

值得注意的是,APBs相比普通Bots,具備多種多樣的“反反自動(dòng)化攻擊”能力,自動(dòng)更換IP、特征隱藏、擬人化操作、驗(yàn)證碼識(shí)別等技術(shù)已然成為標(biāo)配。

移動(dòng)端分析

企業(yè)越來(lái)越多的業(yè)務(wù)系統(tǒng)正在向移動(dòng)端遷移,為了適應(yīng)這種環(huán)境,攻擊平臺(tái)也必須向移動(dòng)端轉(zhuǎn)移,多種多樣的攻擊手段也隨之出現(xiàn),例如各類改機(jī)工具、破解框架、模擬器、root、群控、云控、IMEI偽造、GPS偽造、IP代理等。

除此之外,報(bào)告中還對(duì)攻擊來(lái)源分布、IP秒撥、Bots隱藏技術(shù)等進(jìn)行了深入分析。

看點(diǎn)三:2020年Bots自動(dòng)化威脅發(fā)展趨勢(shì)

2019年圍繞Bots攻防展開(kāi)的對(duì)抗技術(shù)得到了長(zhǎng)足發(fā)展,但未來(lái)這一對(duì)抗依然會(huì)持續(xù)并不斷增強(qiáng)。