瑞数信息重磅发布《Bots自动化威胁报告》

  • 时间:
  • 浏览:58
  • 来源:期货入门网

  当今社会的科技发展和未来的发展创新都离不开自动化技术的支持。然而,一旦自动化技术为不法分子所用,造成的损失也是不可估量的。从网站应用攻击、用户信息泄露到业务交易欺诈,无处不在的自动化攻击考验着每个行业的安全水准。



  4月22日,瑞数信息重磅发布《2020Bots自动化威胁报告》(下称“报告”),对2019年Bots自动化威胁的主要类别、攻击来源、攻击态势、技术手段等进行了全面回溯与解读,并对2020年Bots自动化威胁发展趋势做出预测。



  报告指出,Bots机器人攻击在逐年增加,全球网络流量中正常用户发起的请求已经不足一半。国内的Bots攻击形势则更为严峻,尤其在一些资源抢占类和信息公示类系统中,Bots发起的访问请求占比甚至超80%。同时,相对于传统安全攻防,企业普遍缺乏对于Bots攻击的认知和防护,这进一步加剧了Bots攻击带来的危害。

    三大看点不容错过



  看点一:聚焦四大Bots核心问题



  正如自动化能够帮助企业有效地检测和缓解网络威胁一样,自动化工具的加持也让网络犯罪分子“如虎添翼”。自动化、智能化的Bots攻击正让企业网络的防线频频失守。



  国家级大数据成为高级Bots的云集之地



  “互联网+政务服务”开放了大量数据查询服务,这些数据经过聚合之后可以成为具有极高价值的国家级大数据,因此吸引了黑产和境外机构Bots的大规模数据拖取,如果被非法滥用,将会带来巨大危害。在各行业中,政府行业的Bots请求比例据行业之首,超过65%;在高级持续性Bots手段使用上,政府行业依然首当其冲,占比超过30%。



  庞大的IP资源已成为Bots流量产业的基础设施



  大规模廉价的IP资源大幅降低了绕过传统Anti-Bot技术的成本,也成为Bots流量中最常用的手段,更换IP方式在绕过手段中的采用率高达90%以上,严重削弱了IP信誉库的防御能力,高级组织每日使用IP数量可超过百万,两日IP重复率低于10%。



  新兴领域的漏洞探测利用效率提升



  随着开源和商业漏洞探测利用工具的发展,攻击者对于新兴领域的漏洞发现效率大幅度提升,IoT、API、云端应用等领域虽然兴起时间不长,但暴露的安全问题却有赶超传统领域的趋势,尤其在0day/Nday攻击、接口滥用等方面表现突出。



  Bots流量全面隐藏机器特征促使前端对抗升级



  借助丰富而低成本的IP资源、平台资源,Bots在流量层面的特征进一步被隐藏,这就要求防护系统能够在前端提取到更多的Bots信息进行识别。JS保护与破解、设备指纹追踪与反追踪、模拟操作行为对抗、验证码对抗等将会更加激烈,AI技术也将会深入介入其中。



  看点二:2019年Bots自动化威胁深度分析



  随着自动化攻击手段的发展,业务系统面临的攻击类型也越来越多,OWASP最新发布的《Automated Threat Handbook》中提到的自动化威胁已达到21种之多。结合国内的业务系统和攻击者的特点,报告对Bots自动化威胁的多个层面进行了归纳分析和解读。



  Bots攻击类别



  报告指出,从Bots攻击流量最主要的关注点和对业务影响的角度,可以将Bots攻击类别分为5大类:



  - 漏洞探测利用



  - 模拟正常业务操作逻辑抢占业务资源 



  - 爬虫获取高价值数据 



  - 暴力破解或者撞库获取账号信息 



  - 面向应用和业务的拒绝服务攻击 



  Bots攻击态势



  综合来看,Bots发起的请求占比已经超过网站访问总量的一半,达到55.35%,而对于某些提供公共信息查询的政务系统,Bots请求比例甚至超过80%。 

    从行业上看,政府行业的Bots请求占比最高,超过65%;金融、运营商、互联网行业的平均占比都超过了60%。除了通用的漏洞扫描外,不同行业遭受的Bots攻击类型也不一样。Bots 访问占比最高的政府行业,主要攻击场景有爬虫、信息搜刮等;其次为金融行业,主要攻击场景有薅羊毛、批量进件、撞库等;运营商行业则集中在批量缴费、通话记录或账单拖取等场景。 

    APBs透视



  随着各种 Bots 对抗技术的涌现,很多场景下简单的脚本工具已经无法有效进行攻击,为了绕过各种防护手段, Bots 也由简单脚本向高级持续性机器人(Advanced Persistent Bots,APBs)演进。不同行业面临的APBs威胁也不一样,攻防对抗会加速普通Bots向APBs进化的过程。

    值得注意的是,APBs相比普通Bots,具备多种多样的“反反自动化攻击”能力,自动更换IP、特征隐藏、拟人化操作、验证码识别等技术已然成为标配。 



  移动端分析



  企业越来越多的业务系统正在向移动端迁移,为了适应这种环境,攻击平台也必须向移动端转移,多种多样的攻击手段也随之出现,例如各类改机工具、破解框架、模拟器、root、群控、云控、IMEI伪造、GPS伪造、IP代理等。

    除此之外,报告中还对攻击来源分布、IP秒拨、Bots隐藏技术等进行了深入分析。



  看点三:2020年Bots自动化威胁发展趋势



  2019年围绕Bots攻防展开的对抗技术得到了长足发展,但未来这一对抗依然会持续并不断增强。



  移动端成为下一战场



  随着企业业务不断从PC端向移动端迁移,黑客的攻击重心也在转移。除了传统的漏洞扫描、APP客户端逆向破解外,大量的非法第三方APP请求、API接口滥用、撞库、批量注册、刷单、薅羊毛等业务相关的攻击正在发生,移动端的对抗将进入下一阶段。



  前端对抗持续增强



  前端作为整个系统的大门,是Bots攻防中双方必争之地,各种对抗手段不断涌现,可以预见后续前端对抗依然会持续,在JS保护、设备指纹、操作行为等领域的对抗将会持续升级 



  IoT系统成为新兴攻击目标



  智能家电、摄像头、路由器、车载系统等物联网(IoT)设备正深入人们的生活,黑客利用自动批量攻击工具,可以快速获取大量IoT设备的控制权,IoT已然成为信息泄漏和 DDOS攻击的生力军。



  Bots成为API滥用的推手 



  在Bots的帮助下,攻击者对API接口进行暴力破解、非法调用、代码注入等攻击的效率将会大幅提升,API接口滥用行为的防护需求将愈加凸显。



  “内鬼”防不胜防 



  面对高价值的企业数据,企业内部员工无意或蓄意地利用自动化工具及内网合法权限,拖取内部信息、操纵内网交易、建立垃圾账号的事件屡见不鲜,而Bots正充当了“内鬼”们窃密的利器。



  云中斗争愈发激烈



  云技术的发展会对Bots攻防产生深刻影响。一方面云资源成本降低使得部署于云上的Bots成本也随之降低,Bots数量因而上升;另一方面云上环境相比自建机房更为开放,攻击面暴露更多,遭受攻击的可能性也大大增加。



  AI 深度介入攻防过程 



  AI人工智能已经是网络安全届最热门的话题之一。一方面,过去成本高昂的劳动密集型攻击,已经在基于AI的对抗学习以及自动化工具的应用下找到新的转型模式。另一方面,以AI为基础的攻击检测工具迅速发展,相比传统策略,基于AI的新型攻击检测,可以发现更为隐蔽的攻击。 



  结语



  安全就像一场永无休止的攻防战,攻防两端永远在博弈,此消彼长,没有完结的一天。未来,数字化将成为企业发展的“核心动能”,安全也将成为企业核心竞争优势之一。有效防御Bots自动化攻击是未来安全防护的趋势,了解自动化Bots攻击特点和系统安全态势,强化安全防护的协同联动,才是企业有效应对后续未知的自动化攻击态势,屹立于不败之地的关键。



  关于瑞数信息



  作为Bots自动化攻防领域的引领者,瑞数信息以动态防护、AI人工智能、可编程对抗和业务威胁感知四大核心技术为基础,将安全防御范畴由Web端进一步拓展到移动端、云端、API、IoT等领域,通过联动应用与业务间的多维度安全手段,高效抵御各类自动化攻击和模拟合法操作的交易欺诈行为,在当前复杂多变的网络和应用环境下,为企业应用与业务提供了长期、有效、灵活的安全防护!









猜你喜欢

期货历史上最大跌幅和涨幅

期货市场中的最大跌幅和最大涨幅可以因不同的期货合约、市场和时间段而异。这些波动通常取决于标的资产的特性、市场情绪、供需因素和宏观经济事件等因素。在过去的历史中,一些特定期货合约

2023-09-08

期权期货及其他衍生产品 cfa

CFA是指特许金融分析师(CharteredFinancialAnalyst),是全球金融行业公认的最高资格之一。涵盖金融分析、投资管理、投资组合、风险管理等领域的知识,对金融

2023-05-11

安粮期货股份有限公司

安粮期货股份有限公司成立于1996年7月9日,是经中国证监会批准设立的专业期货经营机构,公司拥有期货行业全部牌照业务,包括:商品期货经纪、金融期货经纪、资产管理、基金销售、投资

2023-04-14

期货经济和非经济业务 有什么区别

期货是一种金融工具,被广泛应用于风险管理、投机和套利等领域。在期货市场中,可以区分出经济业务和非经济业务两种类型。经济业务是指期货合约所代表的实物商品在未来交割的过程中,参与者

2023-04-14

期货怎么开户?期货在哪里开户

期货开户一般需要以下步骤:选择期货公司:首先需要选择一家有合法资质的期货公司,并查看其是否符合自己的需求和预算。准备开户所需材料:通常需要提供有效的身份证件、银行卡、税务登记证

2023-04-13

期货公司标签