隨著自動化攻擊手段的發展，業務系統面臨的攻擊類型也越來越多，OWASP最新發布的《Automated Threat Handbook》中提到的自動化威脅已達到21種之多。但同時，相對于傳統安全攻防，企業普遍缺乏對于Bots攻擊的認知和防護，這就進一步加劇了Bots攻擊帶來的危害。

日前，瑞數信息重磅發布了《2020Bots自動化威脅報告》，其中結合國內的業務系統和攻擊者的特點，從Bots攻擊最主要的關注點和對業務影響的角度，提取出了五大Bots自動化威脅場景，為企業應對Bots自動化威脅及評估業務安全防護能力提供了極具意義的見解。

場景一：漏洞探測利用

隨著Bots自動化工具的強勢發展和應用，漏洞攻擊不再是高級黑客組織的專屬，而開始趨向“低成本、高效率”的模式。365*24全年無休的高強度漏洞掃描不會放過任何系統中的薄弱環節，無論是已知漏洞，還是零日漏洞，自動化Bots工具都可以隨時隨地進行探測，往往他們比企業自己還更了解系統的安全態勢。

同時，漏洞的快速曝光和利用給企業帶來了極大威脅。一個漏洞公布之后，隨之而來的漏洞探測會迅速在互聯網上批量嘗試，幾乎所有漏洞利用會在1天之內就被廣泛傳播。與此同時，對于0day漏洞，首次探測高峰已經由POC發布后的一周，提前到POC發布之前，這也令企業難以有效應對。

場景二：資源搶占

醫院掛號、學校報名、網絡購票、優惠秒殺……需要“搶”資源的場景幾乎可以出現在人們日常生活中的方方面面。但是當Bots自動化工具出現，這場競爭的性質就截然不同了。Bots自動化工具不僅可以模擬正常操作邏輯，還憑借“批量、快速”的優勢，使得普通用戶全無勝算，從而大量搶占有限的社會資源，扭曲了社會資源的公平分配，嚴重擾亂了企業的正常運營和人們的日常生活。

某報名活動，在開啟報名通道后的10分鐘內，即被黑產組織利用自動化工具發起超過200萬次搶占請求。

某企業在促銷期間，APP異常下載請求總數超過42.9萬，每小時請求數十分平均，使用工具發起的請求特征明顯。

場景三：數據聚合

近年來，由于大數據處理和數據挖掘技術的發展，數據資產價值的概念深入人心。越來越多的公司或組織對公開和非公開的數據進行拖庫式抓取，對數據進行聚合收集，造成潛在的大數據安全風險。同時，數據授權、來源、用途不透明，隱私侵權、數據濫用等問題也越來越嚴重。

以政府行業為例，“互聯網+政務”服務開放了大量數據查詢服務，而這些數據經過聚合之后，可以成為具有極高價值的國家級大數據，因此大量黑產和境外機構利用Bots自動化工具進行大規模數據拖取，國家級大數據已然成為高級Bots的云集之地。一旦這些數據被非法濫用，將會帶來巨大危害。

某公示系統，全體24小時遭受爬蟲的高強度訪問，爬蟲訪問占比超過78%。

場景四：暴力破解

“賬號密碼”是系統防護措施中的重要一環，也一直高居攻擊者最想竊取的內容榜首，而破解密碼的一個最簡單的方法就是暴力破解。目前網上泄漏的各類賬號密碼庫基本都以TB為單位，而借助泛濫的Bots自動化工具，字典破解或撞庫的成功率則大幅上升，電商、社交媒體、企業郵箱、OA系統、操作系統等具有登錄接口的系統都是此類攻擊的目標。

攻擊者可以輕松利用被曝光的包括登錄名/密碼組合在內的個人數據，在短時間內對數百個不同的網站不斷進行登錄驗證，試圖盜用賬號，乃至發起進一步攻擊并從中獲利或者獲取更多的個人身份關聯信息等有價數據。

場景五：拒絕服務攻擊

拒絕服務攻擊(DOS)已經是一個老生常談的問題，傳統針對DOS的防護主要集中在流量層面的分布式拒絕服務攻擊(DDOS)對抗上，這一類攻擊由于攻擊特征相對明顯，危害雖大，但企業也大多已經具備了相對完善的應對措施。

然而近些年興起的業務層DOS攻擊，則是攻擊者利用Bots自動化工具來大量模擬正常人對系統的訪問，從而大量消耗系統資源，使得系統無法為正常用戶提供服務。由于業務層的DOS攻擊從流量上看完全是正常的請求，沒有明顯的攻擊特征，因此給企業防護帶來了很大的難度。攻擊者利用自動化Bots工具，通過對車票、機票進行循環下單但不付款的方式霸占所有座位，造成無票可售的現象就是一個典型案例。

未來隨著Bots對抗的不斷升級，我們相信，越來越多的攻擊場景會給企業帶來更大挑戰，攻防也將是一個持續的過程。因此瑞數信息建議企業將Bots管理納入到企業應用和業務威脅的管理架構中，部署能夠針對自動化威脅進行防護的新技術，借助動態安全防護、AI人工智能及威脅態勢感知等技術，提升Bots攻擊防護能力，構建基于業務邏輯、用戶、數據和應用的可信安全架構。