随着Bots自动化工具平台化和AI化趋势的加强,Bots攻击的手段和覆盖范围在不断增加,攻击也变得更为高效和具有侵略性,由自动化工具发起的高效大规模攻击大幅增加了行业和机构在业务、应用和数据层面的安全风险。
瑞数信息在《2021年Bots自动化威胁报告》中,对自动化威胁进行了多角度分析,总结了自动化威胁呈现出的4大特征和5大典型场景。
一、2020年自动化威胁具备4大特征
相比2019年,2020年国内Bots攻击状况依然十分严峻,攻击者的工具、手段、效率都有了比较大的发展。尤其在疫情的影响下,远程办公模式兴起,直接增大了企业的攻击面,借助自动化工具,攻击者可在短时间内以更高效、更隐蔽的方式对企业系统进行漏洞探测,这就对企业安全防护提出了更高的要求。
特征一:API是攻击者重点关注目标
随着企业业务的发展,访问方式融合了 Web、APP、小程序等多种方式,而作为融合访问基础支撑的API也成为了攻击者重点关注的目标。Gartner预测,到2022年,API滥用将会是数据泄漏的主要渠道之一。同时OWASP也针对API推出了安全威胁排名和安全指导,API将会成为下一个攻击热点。毋庸置疑,API滥用和API攻击问题将成为企业Web应用数据泄露和业务风险的重大威胁。
特征二:应用攻击门槛进一步降低
2020年各类扫描器、攻击平台层出不穷。在AI的辅助下,无论是在漏洞检测的深度还是广度上都有很大的提升。 尤其各类攻击平台集漏洞发现、利用、后门植入于一体,极大地提升了攻击者的效率,应用攻击的门槛进一步降低。
特征三:医疗卫生部门攻击明显上升
疫情影响下, 针对国内医疗卫⽣部⻔的攻击呈明显上升趋势 , 其中针对系统的漏洞扫描、DDoS、公示信息高频度抓取等方面表现突出,来自境外攻击量上升明显,这也是去年疫情期间出现的一个安全热点。
特征四:急速推进数字化的风险
疫情之下,企业急速推进业务数字化和远程化,但相应的安全防护措施并未及时跟上,暴露面的增加为黑客开辟了更多可以获取敏感数据的途径,暗网中售卖的个人隐私数据和企业数据的事件呈指数级增长。
二、国内Bots自动化威胁涉及5大场景
虽然OWASP对于自动化威胁的分类超过20种,但是瑞数信息根据国内的情况进行汇总分析,总结出了国内政企机构主要面临的五类场景。
场景一:漏洞探测利用
对目标系统进行漏洞扫描,发现漏洞之后自动进行利用。借助自动化工具,攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测,尤其是对于0day/Nday漏洞的全网探测,将会更为频繁和高效。
场景二:资源抢占
利用Bots自动化工具快速的优势,对有限的资源进行抢占。比较常见的资源抢占包括:挂号、报名、购票、秒杀、薅羊毛等等。
场景三:数据搜刮
对公开和非公开数据进行拖库式抓取。例如各类公示信息、公民个人信息、信用信息等,抓取之后对数据进行聚合收集,造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明,导致隐私侵权、数据滥用等问题越来越严重。
场景四:暴力破解
对登录接口进行高效的密码破解,给系统信息安全带来极大的危害。此类攻击目标范围广泛,除了我们熟知的各类电商、社交系统,还包括很多办公系统,例如办事网厅、企业邮箱、OA 系统、操作系统等等,几乎所有具备登录接口的系统都会成为攻击目标。
场景五:拒绝服务攻击
常见的拒绝服务攻击包括应用DoS和业务DoS两种类型,除了以往比较常见的分布式拒绝服务攻击(DDoS)外,利用 Bots 来大量模拟正常人对系统的访问,挤占系统资源,使得系统无法为正常用户提供服务的业务层DoS也日渐兴起。
结语
网络安全攻防是一个持续的过程,面对猖獗的Bots自动化攻击,“兵来将挡,水来土掩”的单一防护方法已力不从心。因此,瑞数信息建议将Bots管理纳入到企业应用和业务威胁的管理架构中,部署能够针对自动化威胁进行防护的新技术,借助动态安全防护、AI人工智能及威胁态势感知等技术,提升Bots攻击防护能力。