《2021 Bots自動化威脅報告》深度解讀之 自動化威脅4大特征 & 5大場景
隨著Bots自動化工具平臺化和AI化趨勢的加強,Bots攻擊的手段和覆蓋范圍在不斷增加,攻擊也變得更為高效和具有侵略性,由自動化工具發(fā)起的高效大規(guī)模攻擊大幅增加了行業(yè)和機構(gòu)在業(yè)務、應用和數(shù)據(jù)層面的安全風險。
瑞數(shù)信息在《2021年Bots自動化威脅報告》中,對自動化威脅進行了多角度分析,總結(jié)了自動化威脅呈現(xiàn)出的4大特征和5大典型場景。
一、2020年自動化威脅具備4大特征
相比2019年,2020年國內(nèi)Bots攻擊狀況依然十分嚴峻,攻擊者的工具、手段、效率都有了比較大的發(fā)展。尤其在疫情的影響下,遠程辦公模式興起,直接增大了企業(yè)的攻擊面,借助自動化工具,攻擊者可在短時間內(nèi)以更高效、更隱蔽的方式對企業(yè)系統(tǒng)進行漏洞探測,這就對企業(yè)安全防護提出了更高的要求。
特征一:API是攻擊者重點關(guān)注目標
隨著企業(yè)業(yè)務的發(fā)展,訪問方式融合了 Web、APP、小程序等多種方式,而作為融合訪問基礎(chǔ)支撐的API也成為了攻擊者重點關(guān)注的目標。Gartner預測,到2022年,API濫用將會是數(shù)據(jù)泄漏的主要渠道之一。同時OWASP也針對API推出了安全威脅排名和安全指導,API將會成為下一個攻擊熱點。毋庸置疑,API濫用和API攻擊問題將成為企業(yè)Web應用數(shù)據(jù)泄露和業(yè)務風險的重大威脅。
特征二:應用攻擊門檻進一步降低
2020年各類掃描器、攻擊平臺層出不窮。在AI的輔助下,無論是在漏洞檢測的深度還是廣度上都有很大的提升。 尤其各類攻擊平臺集漏洞發(fā)現(xiàn)、利用、后門植入于一體,極大地提升了攻擊者的效率,應用攻擊的門檻進一步降低。
特征三:醫(yī)療衛(wèi)生部門攻擊明顯上升
疫情影響下, 針對國內(nèi)醫(yī)療衛(wèi)⽣部⻔的攻擊呈明顯上升趨勢 , 其中針對系統(tǒng)的漏洞掃描、DDoS、公示信息高頻度抓取等方面表現(xiàn)突出,來自境外攻擊量上升明顯,這也是去年疫情期間出現(xiàn)的一個安全熱點。
特征四:急速推進數(shù)字化的風險
疫情之下,企業(yè)急速推進業(yè)務數(shù)字化和遠程化,但相應的安全防護措施并未及時跟上,暴露面的增加為黑客開辟了更多可以獲取敏感數(shù)據(jù)的途徑,暗網(wǎng)中售賣的個人隱私數(shù)據(jù)和企業(yè)數(shù)據(jù)的事件呈指數(shù)級增長。
二、國內(nèi)Bots自動化威脅涉及5大場景
雖然OWASP對于自動化威脅的分類超過20種,但是瑞數(shù)信息根據(jù)國內(nèi)的情況進行匯總分析,總結(jié)出了國內(nèi)政企機構(gòu)主要面臨的五類場景。
場景一:漏洞探測利用
對目標系統(tǒng)進行漏洞掃描,發(fā)現(xiàn)漏洞之后自動進行利用。借助自動化工具,攻擊者可以在短時間內(nèi)以更高效、更隱蔽的方式對目標進行漏洞掃描和探測,尤其是對于0day/Nday漏洞的全網(wǎng)探測,將會更為頻繁和高效。
場景二:資源搶占
利用Bots自動化工具快速的優(yōu)勢,對有限的資源進行搶占。比較常見的資源搶占包括:掛號、報名、購票、秒殺、薅羊毛等等。
場景三:數(shù)據(jù)搜刮
對公開和非公開數(shù)據(jù)進行拖庫式抓取。例如各類公示信息、公民個人信息、信用信息等,抓取之后對數(shù)據(jù)進行聚合收集,造成潛在大數(shù)據(jù)安全風險。同時由于數(shù)據(jù)的授權(quán)、來源、用途十分不透明,導致隱私侵權(quán)、數(shù)據(jù)濫用等問題越來越嚴重。
場景四:暴力破解
對登錄接口進行高效的密碼破解,給系統(tǒng)信息安全帶來極大的危害。此類攻擊目標范圍廣泛,除了我們熟知的各類電商、社交系統(tǒng),還包括很多辦公系統(tǒng),例如辦事網(wǎng)廳、企業(yè)郵箱、OA 系統(tǒng)、操作系統(tǒng)等等,幾乎所有具備登錄接口的系統(tǒng)都會成為攻擊目標。
場景五:拒絕服務攻擊
常見的拒絕服務攻擊包括應用DoS和業(yè)務DoS兩種類型,除了以往比較常見的分布式拒絕服務攻擊(DDoS)外,利用 Bots 來大量模擬正常人對系統(tǒng)的訪問,擠占系統(tǒng)資源,使得系統(tǒng)無法為正常用戶提供服務的業(yè)務層DoS也日漸興起。
結(jié)語
網(wǎng)絡(luò)安全攻防是一個持續(xù)的過程,面對猖獗的Bots自動化攻擊,“兵來將擋,水來土掩”的單一防護方法已力不從心。因此,瑞數(shù)信息建議將Bots管理納入到企業(yè)應用和業(yè)務威脅的管理架構(gòu)中,部署能夠針對自動化威脅進行防護的新技術(shù),借助動態(tài)安全防護、AI人工智能及威脅態(tài)勢感知等技術(shù),提升Bots攻擊防護能力。
