7月6日，瑞數信息正式發布《2022 Bots自動化威脅報告》(以下簡稱“報告”)，從Bots威脅場景、發展態勢、攻擊特征等多個方面進行深度分析，剖析多個行業的Bots自動化攻擊案例，并對2022年Bots自動化威脅發展趨勢做出了最新研判。

 

報告指出，2021年國內Bots攻擊狀況依然十分嚴峻和突出，各個行業的各類自動化攻擊和事件層出不窮，攻擊者的工具、手段、效率都有了較大的發展。隨著全球疫情的持續發展以及網絡技術的快速迭代和發展，企業數字化轉型步伐明顯加速，遠程辦公的逐漸日常化，也給黑客組織和灰黑產行業創造了更多機會。API安全、勒索軟件、軟件供應鏈、0day/Nday攻擊智能常態化、云安全、小程序安全等領域的危機日益凸顯，網絡安全和自動化安全形式更加嚴峻。

 

2021年Bots自動化威脅深度分析

 

隨著企業數字化進程的加快和深入，Bots流量的攀升趨勢勢不可擋。報告指出，2021年Bots產生的流量明顯高于正常訪問流量，相比2019年的55%和2020年的57.62%，2021年Bots訪問占比為59.71%，惡意Bots比例進一步提升。

 

同時，2021年也是網絡安全全面深入發展之年，多項信息安全法律法規和指導意見的發布，將Bots自動化威脅的防護要求上升到法律層面。

 

API成為攻擊的優選入口 攻防博弈的新熱點

 

API正在成為實現商業創新和數字化轉型的核心技術手段，其連接的已不僅是系統和數據， 還有企業、客戶、合作伙伴，甚至整個商業生態，成為當下網絡應用流量的重要出入口。而 API配置使用不當和API漏洞利用引發的攻擊和數據安全風險也在迅速上升。API具備“程序”和自動化屬性，可攜帶和透視重要數據的機制，由此獲得越來越多黑客的青睞，并成為黑客 實現自動化“高效攻擊”的首選。

 

自動化手段的加持 勒索攻擊呈現平臺化和服務化

 

2021年以來勒索軟件攻擊最為猖獗，已經成為數據層面最嚴重的“病毒”。勒索軟件漏洞數量迅速上升，大量的勒索軟件開始結合更廣范圍的漏洞發現和零日漏洞，實現攻擊感染自動化和一體化。通過平臺提供勒索軟件即服務的方法開始涌現，使得勒索攻擊組織更加專業化，高效率，對全球制造業、服務業、醫療、金融、工控和政府機構等產生嚴重影響。

 

0day 攻擊更具殺傷力 供應鏈安全問題升級

 

2021 年，全球安全漏洞數量依舊保持快速上漲，尤其針對供應鏈組件的0day/Nday漏洞攻擊也在進一步泛濫。2021年12月爆發的Log4j核彈級漏洞，已經成為全年最嚴重的漏洞應急響應事件之一，0day攻擊、供應鏈、自動化，當這三要素疊加時，帶來的后果不容小覷。

 

自動化威脅防護要求 逐漸上升到法律高度

 

2021年《數據安全法》《個人信息保護法》正式發布實施，更多數據安全操作層面的規范條例也在加快制定和出臺。對于可能對網絡正常服務帶來影響的自動化工具的訪問，以及造成數據安全風險的自動化工具收集數據行為的要求，也首次在《網絡數據安全管理條例》(征求意見稿)的相關要求中出現。多起惡意爬蟲對企業造成影響的司法判例的曝光，也在進一步加快數據安全法律法規的普及教育和落地執行。

 

2022年Bots自動化威脅六大趨勢

 

基于Bots攻擊不斷升級的嚴峻形勢，2022年Bots自動化威脅還會呈現出怎樣的新趨勢?報告給出了六大趨勢，從漏洞挖掘、供應鏈攻擊、勒索軟件、數據安全、API安全、業務欺詐六個方面進行了重點解析。

 

安全漏洞挖掘和探測持續增加 - 攻擊者加強0day漏洞偵查能力

 

網絡空間中，大部分的安全問題都源自Web。攻擊者普遍會利用Web應用漏洞對企業進行滲透，以達到控制整個網絡、獲取大量有價值信息的目的。2022年，安全漏洞數量還將不斷增加，甚至變得越來越復雜。攻擊者利用安全漏洞的攻擊行為將變本加厲，尤其借助自動化的工具，在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測，使得企業面臨更為嚴重的安全風險和損失。

 

同時，攻擊者會進一步加大事前的努力，在攻擊準備階段花費更多的時間和精力來搜尋0day 漏洞，特別是攻擊影響力更大、投入產出更高的軟件供應鏈漏洞，并利用新的技術將攻擊擴展到更廣泛的網絡環境，無疑加大了企業應用防護的難度。

 

供應鏈安全告急 - 第三方組件造成的供應鏈漏洞攻擊加劇，供應鏈惡意軟件數量上升

 

隨著開源、云原生等技術的大范圍應用，下一代軟件供應鏈威脅也正在逐漸爆發。據Forrester研究表明，應用軟件80%-90%的代碼來自開源組件。全球對開源代碼的旺盛需求，將導致Web應用供應鏈攻擊在2022年進一步成熟，范圍擴大，并且更加復雜，預計使用惡意軟件進行Web應用供應鏈攻擊的數量將不斷攀升。

 

同時，下一代Web應用供應鏈攻擊正在到來，其顯著特點是刻意針對“上游”開源組件，進行更主動的攻擊，攻擊者會主動將新的漏洞注入為供應鏈提供支持的開源項目中。因此，下一代Web應用供應鏈攻擊將更加隱蔽，也將有更多的時間對下游企業展開攻擊，危險性將更高。

 

勒索軟件數量繼續上升 - 勒索軟件成為最大的安全威脅，對醫療行業的攻擊加劇

 

2022年勒索軟件數量還將顯著增長，攻擊者的數量也將達到空前的程度。同時，勒索軟件攻擊也將迅速蔓延至整個攻擊面，勒索軟件威脅將無處不在。從行業影響看，勒索軟件攻擊對金融、教育、醫療等各行各業構成了嚴重威脅，但醫療機構因其豐富的醫療設備和患者信息成為了攻擊者的最佳目標。據FBI發布的安全通告顯示，在過去一年內至少發現了16起針對美國醫療和應急響應機構的Conti勒索軟件攻擊，該勒索軟件在全球攻擊了超過400家醫療和應急響應機構。2022年，勒索軟件對醫療行業的攻擊還將持續加劇。在這種形勢下，醫療機構的IT團隊將面臨空前挑戰。

 

數據安全風險加劇 - 數據泄露的規模更大、成本更高，應用數據安全 面臨更大挑戰

 

2022年，數據泄露還將繼續增加，規模會更大，各國政府和企業將付出更多的代價來進行恢復，損失的成本不僅限于事件響應成本、數據備份成本、系統升級成本，還包括聲譽損失成本、法律風險成本等隱性成本，其損失甚至數倍、數十倍于顯性損失。數據泄露的主要原因源于 Web 應用程序攻擊、網絡釣魚和勒索軟件。其中，對Web應用程序的攻擊仍是黑客行為的主要攻擊方向。2022年，應用安全依然面臨挑戰，尤其是數據在應用中的安全值得企業重點關注。

 

API攻擊成為惡意攻擊首選 - 利用API欺詐是黑產首選，API 濫用是最常見攻擊方式

 

在萬物互聯的數字時代，API承載著企業核心業務邏輯和敏感數據，支撐著用戶早已習慣的互動式數字體驗。根據Akamai的一項統計，API請求已占所有應用請求的83%，預計2024年API請求命中數將達到42萬億次。與此同時，針對API的攻擊成為了惡意攻擊者的首選，相對于傳統Web頁面，API的攻擊成本更低， 越來越多的黑客開始利用API進行業務欺詐。

 

事實上，很多企業并不清楚自己擁有多少API，也并不能保證每個API都具有良好的訪問控制，被遺忘的影子API和僵尸API會帶來重大的未知風險。據Gartner預測，到2022年API濫用將是最常見的攻擊方式，為API構建安全防護體系勢在必行。

 

業務欺詐變本加厲 - AI技術廣泛用于欺詐，新型團伙欺詐頻出

 

在社會高度智能化、技術應用門檻越來越低的今天，AI也成為詐騙者的目標和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術的業務欺詐手段層出不窮，反AI欺詐已經成為一個社會性的問題。隨著互聯網行業快速發展，新型業務欺詐來勢洶洶，呈現出團伙化、跨境化、精準化、多樣化等特征，出現了如公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機構黑產、投資理財類詐騙、虛假交易網站詐騙、虛假中獎類等多種欺詐案例，給企業和個人造成了巨大的損失。據Juniper Research研究發現，在2021年至2025年期間，在線支付欺詐造成的商家損失將累計超過2060億美元，這個數字相當于亞馬遜2020財年凈收入的近10倍。在未來，如何以“魔法打敗魔法”，用技術手段來解決新型業務欺詐問題，將成為市場和行業共同努力的方向。

 

2022年網絡安全兩大防護建議

 

基于2022年惡意Bots自動化威脅可能帶來的安全風險，報告從兩大方面為政企機構提供了防護建議。

 

由WAF走向WAAP

 

隨著企業數字化進程的不斷加速，更多的門戶網站、核心業務、交易平臺等日益依賴Web、APP、H5、微信等多渠道開展。與此同時，越來越多的開放性API業務也正在蓬勃發展。伴隨流量的提升，API業務帶來的Web敞口風險和風險管控鏈條的擴大，不僅各種利用Web應用漏洞進行攻擊的事件正在與日俱增，各類工具化、智能化、擬人化的Bots攻擊對數字化業務的影響也在快速攀升。

 

然而，現有的Web安全服務彼此之間常常出現難以融合的局面，無法實現統一的安全服務閉環。Gartner指出，到2023年，30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護，WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。

 

瑞數信息專家認為，傳統WAF技術面臨各種挑戰，單一的WAF產品已不足以解決無處不在的安全風險，防御新的威脅需要一種整體的、集成的安全方法，即從WAF走向WAAP，將本地、各類云端充分整合，支持WAF、Bots管理、API防護獨立或聯合部署，提供多層級的聯動防御機制，令企業安全地將各類Web業務和應用交付在混合架構中，實現Web安全一體化防御。

 

深化基于AI的行為檢測

 

傳統安全主要基于攻擊特征與行為規則實行被動式防御，在靈活的黑客面前已逐漸失效，不僅是0day攻擊、各類應用和業務欺詐，在數據泄露和勒索層面更是堪憂;同時攻防對抗水漲船高，防守方規則的構造和維護門檻高、成本大。

 

瑞數信息專家認為，基于AI技術對用戶行為模式進行智能分析與識別，將不再受制于復雜繁瑣的攻擊特征與行為規則，應進一步擴大使用場景，不僅應用于攻擊趨勢預判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析，也可以加強對于數據的破壞、篡改、加密勒索等數據威脅行為的識別檢測，并通過更實時的安全預警及安全聯防進一步縮短響應時間，提升了攻擊門檻，在攻防格局中處于主動位置。