2018年全球各地各產(chǎn)業(yè)對(duì)外數(shù)據(jù)泄露事件頻傳，總計(jì)超過(guò)17億次的數(shù)據(jù)外泄使得后續(xù)欺詐問(wèn)題無(wú)孔不入。我們必須意識(shí)到，攻擊者目前手中持有的數(shù)據(jù)信息比以往任何時(shí)候都多，手機(jī)號(hào)、銀行卡號(hào)等都可以成為攻擊者的可信武器。據(jù)統(tǒng)計(jì)，全球中大型網(wǎng)站目前每分鐘遭受超過(guò)7,000次賬戶嘗試登錄攻擊，造成每年高達(dá)160億美元的線上詐騙損失，并且這一數(shù)字在未來(lái)5年內(nèi)有機(jī)會(huì)超過(guò)480億美元。

同時(shí)，伴隨著AI技術(shù)、自動(dòng)化工具的應(yīng)用及平臺(tái)化趨勢(shì)的加強(qiáng)，無(wú)論是老生常談的漏洞利用、DDoS攻擊、內(nèi)網(wǎng)安全問(wèn)題，還是新興涌現(xiàn)的身份欺詐、API濫用、物聯(lián)網(wǎng)設(shè)備安全風(fēng)險(xiǎn)，都在為2019年的動(dòng)蕩埋下伏筆。我們相信，2019年必將是網(wǎng)絡(luò)安全領(lǐng)域的又一個(gè)重要年份。

[[258693]]

（圖片來(lái)自包圖網(wǎng)）

2019八大Bots自動(dòng)化攻擊新趨勢(shì)

一、Bots - 加速漏洞曝光和利用

盡管目前存在大量已知漏洞，但實(shí)際上真正被黑客利用的只有大約6%。未來(lái)隨著自動(dòng)化工具(Bots)的強(qiáng)勢(shì)發(fā)展和應(yīng)用，這一比例必將大幅提高。借助自動(dòng)化工具，漏洞利用攻擊將不再是高級(jí)黑客組織的“專屬”，而開始向“低成本、高效率”的趨勢(shì)發(fā)展。網(wǎng)絡(luò)罪犯可以在短時(shí)間內(nèi)，以更高效、更隱蔽的方式對(duì)大量不同網(wǎng)站進(jìn)行漏洞掃描和探測(cè)，尤其對(duì)于0day/Nday漏洞的全網(wǎng)探測(cè)，將會(huì)更為頻繁和高效。與漏洞快速曝光，和漏洞被快速利用相對(duì)應(yīng)，則顯現(xiàn)出企業(yè)的開發(fā)和安全運(yùn)維人員幾乎無(wú)法在合理的短時(shí)間內(nèi)完成打補(bǔ)丁，補(bǔ)漏洞的安全應(yīng)對(duì)。

【瑞數(shù)觀察：2018年，在對(duì)上百個(gè)運(yùn)營(yíng)商、金融及政府客戶的網(wǎng)站及重要web應(yīng)用安全監(jiān)控發(fā)現(xiàn)，90%的系統(tǒng)都被經(jīng)常性的探測(cè)漏洞和掃描。對(duì)于0day/Nday漏洞，探測(cè)高峰已經(jīng)由POC發(fā)布后1周，提前到POC發(fā)布前3天。】

二、Bots – 助力人工智能(AI)這把雙刃劍

2019年，人工智能(AI)仍然會(huì)是網(wǎng)絡(luò)安全屆的熱點(diǎn)話題之一。過(guò)去勞動(dòng)密集型和成本高昂的攻擊，已經(jīng)在基于AI的對(duì)抗學(xué)習(xí)，以及自動(dòng)化工具的應(yīng)用下找到新的轉(zhuǎn)型模式。AI有益于數(shù)據(jù)挖掘和分析的算法和模型，以及由此帶來(lái)的智能化服務(wù)，也會(huì)被黑產(chǎn)利用，借由自動(dòng)化的助力，形成更為擬人化和精密化的自動(dòng)化攻擊趨勢(shì)，這類機(jī)器人模擬真人的行為會(huì)更聰明、更大膽，也更難以追蹤和區(qū)別于真人的行為。日前，由中國(guó)西北大學(xué)、北京大學(xué)和英國(guó)蘭開斯特大學(xué)共同開發(fā)的一種人工智能，已經(jīng)可以在短短0.5秒內(nèi)破解文本CAPTCHA系統(tǒng)，這或許會(huì)成為終結(jié)驗(yàn)證碼時(shí)代(人機(jī)識(shí)別重要技術(shù))的標(biāo)志，也或許會(huì)在未來(lái)為網(wǎng)絡(luò)罪犯提供新的助力。

【瑞數(shù)觀察：某擁有約1200萬(wàn)活躍用戶數(shù)的電商客戶，在其為期5天的App營(yíng)銷活動(dòng)中，累計(jì)發(fā)現(xiàn)異常訪問(wèn)的設(shè)備約84萬(wàn)個(gè)，涉及約120萬(wàn)個(gè)賬號(hào)，約占總參與賬號(hào)的10%，這些設(shè)備和賬號(hào)通過(guò)模擬器、Android偽裝iPhone、iPhone改機(jī)工具、單設(shè)備多IMEI號(hào)的分身軟件等手段從操作行為、設(shè)備特征、手機(jī)使用行為特征等各方面模擬真人操作，躲避安全防御手段。該客戶保守估計(jì)，若黑產(chǎn)的每個(gè)賬號(hào)假設(shè)可套現(xiàn)10元，如果沒(méi)有有力的識(shí)別和控制手段，那么黑產(chǎn)可非法獲利金額占營(yíng)銷總投入達(dá)1/3以上。】

三、Bots - 身份信息不再只屬于自己

每個(gè)人都必須承認(rèn)，頻繁的數(shù)據(jù)外泄事件后，特別是酒店、商旅、票務(wù)等與個(gè)人生活、出行息息相關(guān)的應(yīng)用中的身份信息的大規(guī)模泄露事件，我們的身份信息遭暴露、被販賣，并且極易受到進(jìn)一步的攻擊。但對(duì)于網(wǎng)絡(luò)罪犯而言，假冒合法身份、建立虛假賬號(hào)卻變得十分簡(jiǎn)單。結(jié)合自動(dòng)化腳本或工具，網(wǎng)絡(luò)罪犯可以輕松利用被曝光的包括登錄名/密碼組合在內(nèi)的個(gè)人數(shù)據(jù)，在短時(shí)間內(nèi)對(duì)數(shù)百個(gè)不同的網(wǎng)站不斷進(jìn)行登錄驗(yàn)證，試圖盜用賬號(hào)，乃至發(fā)起進(jìn)一步攻擊并從中獲利或者獲取更多的個(gè)人身份關(guān)聯(lián)信息等有價(jià)數(shù)據(jù)。據(jù)統(tǒng)計(jì)，自2017年11月初至2018年6月底的8個(gè)月內(nèi)，惡意登錄嘗試總計(jì)超過(guò)300億次此外，這類攻擊方式本身的變化——從海量易察覺(jué)攻擊，轉(zhuǎn)向由專業(yè)化自動(dòng)工具發(fā)起的“低頻率多IP源”的隱形逃避檢測(cè)的攻擊——也會(huì)給企業(yè)機(jī)構(gòu)的安全應(yīng)對(duì)帶來(lái)更多難題。

【瑞數(shù)觀察：某客戶業(yè)務(wù)的SSO單點(diǎn)登錄系統(tǒng)，在被保護(hù)的750萬(wàn)請(qǐng)求中，撞庫(kù)請(qǐng)求比例高達(dá)86%，僅14%為正常的用戶登錄行為，其中，撞庫(kù)請(qǐng)求一半以上是通過(guò)更換代理IP，或Web_Driver、PhantomJS等高級(jí)瀏覽器模擬工具，甚至結(jié)合云打碼平臺(tái)，進(jìn)行驗(yàn)證碼繞過(guò)。】

四、Bots - “內(nèi)鬼”悄無(wú)聲息的利器

實(shí)際上，雖然企業(yè)多將大量資源集中用于應(yīng)對(duì)來(lái)自外部的網(wǎng)絡(luò)攻擊，但相當(dāng)多的安全事件卻是由內(nèi)網(wǎng)安全風(fēng)險(xiǎn)引發(fā)的。企業(yè)內(nèi)部員工無(wú)意或蓄意地利用自動(dòng)化工具及內(nèi)網(wǎng)合法權(quán)限，拖取內(nèi)部信息，操縱內(nèi)網(wǎng)交易，進(jìn)行大規(guī)模數(shù)據(jù)盜取、建立垃圾賬號(hào)的事件屢見不鮮。我們有理由相信，在當(dāng)前的經(jīng)濟(jì)環(huán)境中，面對(duì)高價(jià)值的企業(yè)數(shù)據(jù)，“內(nèi)鬼”造成的惡性安全事件會(huì)越來(lái)越多，而Bots充當(dāng)了“內(nèi)鬼”們利用其合法身份，模擬合法業(yè)務(wù)操作進(jìn)行竊密的利器。

【瑞數(shù)觀察：某省級(jí)運(yùn)營(yíng)商客戶的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，有8000多個(gè)企業(yè)及合作伙伴賬號(hào)，發(fā)現(xiàn)近2000個(gè)業(yè)務(wù)賬號(hào)有工具化的業(yè)務(wù)操作、數(shù)據(jù)查詢等行為，這些采取外掛方式進(jìn)行的業(yè)務(wù)訪問(wèn)常常通過(guò)虛擬專用網(wǎng)方式接入訪問(wèn)，從IP上難以識(shí)別和控制，具有隱蔽性，是有高風(fēng)險(xiǎn)和違規(guī)的行為。】

五、Bots - API濫用的推手

API安全性早已躋身OWASP十大排行榜，并且仍有極大可能蟬聯(lián)。據(jù)調(diào)查，目前每個(gè)企業(yè)平均管理363種不同的API，其中69%的企業(yè)會(huì)將這些API開放給公眾和他們的合作伙伴。盡管開放API、統(tǒng)一API接口等模式承擔(dān)著拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任，但這同時(shí)也為攻擊者利用自動(dòng)化工具大量調(diào)用API提供了更簡(jiǎn)單、更高效的途徑，甚至能被用于暴力攻擊、非法第三方App、網(wǎng)絡(luò)釣魚和代碼注入等一系列威脅，并借由統(tǒng)一平臺(tái)產(chǎn)生倍數(shù)級(jí)的破壞。對(duì)于API接口濫用行為的監(jiān)測(cè)發(fā)現(xiàn)需求將愈加凸顯。

【瑞數(shù)觀察：某省級(jí)運(yùn)營(yíng)商的一個(gè)互聯(lián)網(wǎng)業(yè)務(wù)，有300-500個(gè)API接口;某省級(jí)政府的60多個(gè)網(wǎng)站應(yīng)用中，涉及各類API接口竟達(dá)到上萬(wàn)個(gè)，而這些龐大的API接口都存在這API濫用的巨大風(fēng)險(xiǎn)。】

六、Bots - DDoS攻擊更大規(guī)模、更快速度

盡管DDoS攻擊是一個(gè)非常古老的安全威脅，但它從未停止。2018年12月間，由黑客組織“匿名者(Anonymous)“發(fā)起的代號(hào)為”Oplcarus2018”的DDoS攻擊行動(dòng)，波及全球各國(guó)金融機(jī)構(gòu);企業(yè)仍然很難保護(hù)他們的在線資源免受攻擊。更令人不安的是，2019年，隨著自動(dòng)化攻擊工具的廣泛散播和大量物聯(lián)網(wǎng)設(shè)備成為攻擊跳板，DDoS攻擊的體量規(guī)模和蔓延速度都會(huì)上升到一個(gè)新的水平。

【瑞數(shù)觀察：以某大銀行遭遇的DDoS攻擊為例，在30分鐘之內(nèi)遭到近500萬(wàn)次的應(yīng)用層DDoS攻擊;抗D設(shè)備因無(wú)法處理SSL/TLS流量，幾乎毫無(wú)防護(hù)效果;WAF設(shè)備雖能阻擋部分攻擊，但由于攻擊來(lái)源極為分散，防護(hù)效果并不顯著。當(dāng)Bots發(fā)起的DDoS攻擊，從網(wǎng)路層轉(zhuǎn)向加密的應(yīng)用層流量時(shí)，為企業(yè)網(wǎng)站的安全防護(hù)帶來(lái)了巨大挑戰(zhàn)】

七、Bots – 智能家電成為藏在每個(gè)人家中的安全隱患

2018年下半年，數(shù)千臺(tái)MikroTik路由器遭到攻擊，悄然變成挖掘數(shù)字加密貨幣的礦工。但這只是一個(gè)開始。ACIConsumerGram分析顯示83%的路由器設(shè)備均存在安全漏洞問(wèn)題，因此我們相信，在新的一年中，越來(lái)越多的家庭路由器將會(huì)被攻擊者利用，提供如捕獲敏感數(shù)據(jù)、安裝惡意程序、DDoS攻擊、挖礦等服務(wù)。隨著物聯(lián)網(wǎng)設(shè)備的多樣化，網(wǎng)絡(luò)罪犯者還會(huì)利用被感染的路由器，將攻擊范圍延伸至所有與其相關(guān)聯(lián)的IoT設(shè)備，形成跨平臺(tái)攻擊，被感染的IoT設(shè)備甚至可被當(dāng)作向內(nèi)網(wǎng)發(fā)動(dòng)竊密、挖礦劫持等進(jìn)一步攻擊的跳板。這類破壞比計(jì)算機(jī)本身受到攻擊更難修復(fù)。此外，設(shè)備一旦被感染，用戶往往難以察覺(jué)。

【瑞數(shù)觀察：某部署于外網(wǎng)的物聯(lián)網(wǎng)設(shè)備，部署后的第一天即遭到100余次的掃描探測(cè)，第二天遭到上千次的密碼猜測(cè)及漏洞攻擊，該設(shè)備于上線40小時(shí)后被Bot攻陷并被植入惡意代碼。此外，瑞數(shù)也觀察到跨平臺(tái)的攻擊正在高速增長(zhǎng)，Bot通過(guò)內(nèi)網(wǎng)的電腦或手機(jī)，攻擊在內(nèi)網(wǎng)的物聯(lián)網(wǎng)設(shè)備;使得不再只有部署在外網(wǎng)的物聯(lián)網(wǎng)設(shè)備會(huì)受到攻擊，在內(nèi)網(wǎng)的物聯(lián)網(wǎng)設(shè)備也正在成為黑客的攻擊熱點(diǎn)】

八、Bots - 安全對(duì)抗升級(jí)促使攻擊手段進(jìn)化

隨著自動(dòng)化攻擊與安全防護(hù)之間對(duì)抗的不斷升級(jí)，提供各類對(duì)抗服務(wù)的黑灰產(chǎn)組織也越來(lái)越多，各類服務(wù)例如代理IP服務(wù)、圖形驗(yàn)證碼識(shí)別、短信驗(yàn)證碼代收、群控設(shè)備池、賬號(hào)提供商等等，可以輕易獲取。大部分傳統(tǒng)Bots防護(hù)手段被輕松穿透，與此同時(shí)又催生了更具擬人特點(diǎn)的全新Bots攻擊，這些惡意Bots會(huì)通過(guò)使用模擬器、偽造瀏覽器環(huán)境、UA、分布式IP等給系統(tǒng)安全帶來(lái)極大威脅。

【瑞數(shù)觀察：對(duì)多家信息公開查詢類系統(tǒng)用戶日志分析，發(fā)現(xiàn)單一爬蟲組織每天可以使用的IP超過(guò)100萬(wàn)，單一IP在使用數(shù)十次后即丟棄;圖形驗(yàn)證碼識(shí)別時(shí)間少于0.5秒】

瑞數(shù)安全專家建議

部署針對(duì)Bots自動(dòng)化威脅的防御新技術(shù)

將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中，部署能針對(duì)自動(dòng)化威脅進(jìn)行防護(hù)的新技術(shù)，結(jié)合多重變幻的動(dòng)態(tài)安全防護(hù)、威脅態(tài)勢(shì)感知及人工智能技術(shù)，防止漏洞利用、擬人化攻擊等多類應(yīng)用安全問(wèn)題，構(gòu)建集中于商業(yè)邏輯、用戶、數(shù)據(jù)和應(yīng)用的可信安全架構(gòu)。

加強(qiáng)Bots管理

Bots的出現(xiàn)，一方面為企業(yè)提供了便利的服務(wù)，例如搜索引擎、應(yīng)用可用性和性監(jiān)測(cè)服務(wù)、信息內(nèi)容監(jiān)控服務(wù)等。另一方面也會(huì)有一些組織、機(jī)構(gòu)、個(gè)人，借助互聯(lián)網(wǎng)、手機(jī)、物聯(lián)網(wǎng)等形成的Bots，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行惡意抓取，給企業(yè)安全、信譽(yù)造成潛在威脅。大量游走在Good和Bad之間的Bots不容忽視，通過(guò)Bots識(shí)別、提高成本、可視化展示等多維度對(duì)各類Bots進(jìn)行管理。

強(qiáng)化內(nèi)網(wǎng)縱深安全保護(hù)

從技術(shù)層面而言，企業(yè)可以通過(guò)APT解決方案、內(nèi)網(wǎng)陷阱等方式，并引入“零信任機(jī)制”，強(qiáng)化內(nèi)網(wǎng)縱深安全保護(hù)。此外，內(nèi)網(wǎng)的Web應(yīng)用及數(shù)據(jù)庫(kù)服務(wù)器更是重點(diǎn)防護(hù)對(duì)象，以杜絕內(nèi)部人員或外部滲透黑客竊取或篡改企業(yè)的敏感關(guān)鍵數(shù)據(jù)。而從管理層面看，嚴(yán)格制定并安全執(zhí)行各類IT使用規(guī)范必不可少。

重視IoT及工控設(shè)備安全

重視物聯(lián)網(wǎng)及工控設(shè)備安全，提供設(shè)備的資產(chǎn)清查、安全管理、預(yù)警與聯(lián)防，整體防護(hù)物設(shè)備、網(wǎng)絡(luò)傳輸及云端，避免物聯(lián)網(wǎng)及工控設(shè)備成為企業(yè)信息安全的重大隱患。

從等保合規(guī)的角度制定網(wǎng)絡(luò)安全防護(hù)策略

結(jié)合《網(wǎng)絡(luò)安全法》、等保2.0等網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、數(shù)據(jù)防護(hù)、應(yīng)急處置、自主可控等納入企業(yè)網(wǎng)絡(luò)安全防護(hù)策略，提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊的防御能力，降低工作流程中的數(shù)據(jù)泄漏和其他安全風(fēng)險(xiǎn)。