拼多多、抖音、優衣庫、Facebook……過去的一年中,越來越多的公司加入了“Bots自動化攻擊受害者”的名單。盡管當前人們都認可網絡安全比以往任何時候都更重要,企業也在為網絡安全投入更多的資金和資源,但是毫無疑問,網絡安全仍然是企業CIO們的頭等大事。
日前,瑞數信息重磅發布《2020 Bots自動化威脅報告》,基于公司多年來在金融、政務、電信、電商等行業的數百例防護案例,及對各類自動化攻擊事件的整理回溯,瑞數信息提出了2020年Bots自動化威脅的七大發展趨勢。
01 移動端成為下一戰場
在移動互聯網高度發展和普及的今天,企業越來越多地將業務從PC端遷移到移動端。在業務遷移的同時,黑客的攻擊重心也會隨著業務的遷移而轉移,企業面臨的攻擊也比以往更復雜和多元化。除了傳統的漏洞掃描、APP客戶端逆向破解外,還會有大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業務相關的攻擊,移動端的對抗也將進入下一階段。
02 前端對抗持續增強
前端作為整個系統的大門,是Bots 攻防中雙方必爭之地,各種對抗手段不斷涌現,可以預見后續前端對抗依然會持續,在以下幾個領域的對抗將會持續升級:
JS保護
前端是一個非常透明的領域,所有JS代碼均被下載到用戶本地,JS代碼防護手段已經由靜態混淆發展到更高級別的動態混淆、虛擬機等技術防護,對于JS代碼的保護和破解是接下來攻防雙方重點關注的領域。
設備指紋
在人機識別和風控領域,穩定唯一的設備指紋是一個重要元素,攻擊者會嘗試各種手段來破壞指紋的穩定性,圍繞設備指紋的爭奪也會升級。
操作行為
無論是驗證碼還是無感驗證,都是利用用戶在頁面的操作行為進行判斷,例如鍵盤操作、 鼠標操作、頁面停留時間等,Bots則會在這些方面盡可能地去模擬正常人的操作,如何有效地對模擬行為進行識別需要持續分析升級。
03 IoT 系統成為新興攻擊目標
智能家電、攝像頭、路由器、車載系統等物聯網 (IoT) 設備正在深入人們的生活,黑客利用自動化批量攻擊的工具,可以快速獲取大量IoT設備的控制權,IoT已然成為信息泄漏和DDOS攻擊的生力軍。根據相關數據顯示,2019年全球IoT設備數量已經超過80億臺,預計2020年設備數量將會達到百億臺。一方面是設備數量的劇增,一方面是跟不上腳步的安全防護,這些設備自然也就成為了黑客眼中的肥羊。
04 API 濫用的推手
API 安全性早已躋身OWASP十大排行榜,并且仍有極大可能蟬聯。據調查,目前每個企業平均管理超過350種不同的API,其中69%的企業會將這些API開放給公眾和他們的合作伙伴。雖然開放API承擔了拓寬企業技術和服務生態系統的責任,但同時也給了攻擊者可乘之機。在Bots幫助下攻擊者對API接口進行暴力破解、非法調用、代碼注入等攻擊的效率將會大提升,API接口濫用行為的防護需求將愈加凸顯。
05 “內鬼”防不勝防
實際上,雖然企業多將大量資源集中用于應對來自外部的網絡攻擊,但相當多的安全事件卻是由內網安全風險引發的。企業內部員工無意或蓄意地利用自動化工具及內網合法權限,拖取內部信息,操縱內網交易,進行、建立垃圾賬號的事件屢見不鮮。我們有理由相信,在當前的經濟環境中,面對高價值的企業數據,“內鬼”造成的惡性安全事件會越來越多,而Bots充當了“內鬼”們利用其合法身份,模擬合法業務操作進行竊密的利器。
06 云中斗爭愈發激烈
云技術的發展對Bots的攻防產生著深刻的影響。一方面云資源成本的降低,讓部署在云上的Bots成本也隨之降低,進而帶動攻擊者部署更多的Bots;另一方面企業在上云之后,相比自建機房的環境更為開放,攻擊面暴露得更多,遭受攻擊的可能性也大大增加。因此在Bots數量上升和更多弱點暴露的兩難境地之中,企業在上云之后如何進行有效的Bots防護管理將成為一個關注點。
07 AI 深度介入攻防過程
人工智能(AI)已經是網絡安全屆最熱門的熱點話題之一。一方面,過去勞動密集型和成本高昂的攻擊,已經在基于AI的對抗學習以及自動化工具的應用下找到新的轉型模式。另一方面,過去一年中以AI為基礎的攻擊檢測工具得到長足發展,相比傳統的策略,新型基于AI的攻擊檢測,可以發現更為隱蔽的攻擊。可以預見,在自動化攻防領域基于AI的對抗也會越來越激烈。
Bots攻擊已經日益成為了攻擊主流,同時,伴隨AI技術及平臺化趨勢的加強,越來越復雜的高級機器人攻擊為網絡安全行業帶來了更為嚴峻的挑戰。2019年圍繞Bots攻防展開的對抗技術得到了長足發展,在接下來的時間里這一對抗依然會持續并增強。安全就像一場永無休止的攻防戰,攻防兩端永遠在博弈,此消彼此,沒有完結的一天。
掃碼二維碼 下載完整報告