日前,瑞數(shù)信息重磅發(fā)布《2020 Bots自動化威脅報告》,基于公司多年來在金融、政務(wù)、電信、電商等行業(yè)的數(shù)百例防護案例,及對各類自動化攻擊事件的整理回溯,瑞數(shù)信息提出了2020年Bots自動化威脅的七大發(fā)展趨勢。
01 移動端成為下一戰(zhàn)場
在移動互聯(lián)網(wǎng)高度發(fā)展和普及的今天,企業(yè)越來越多地將業(yè)務(wù)從PC端遷移到移動端。在業(yè)務(wù)遷移的同時,黑客的攻擊重心也會隨著業(yè)務(wù)的遷移而轉(zhuǎn)移,企業(yè)面臨的攻擊也比以往更復(fù)雜和多元化。除了傳統(tǒng)的漏洞掃描、APP客戶端逆向破解外,還會有大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業(yè)務(wù)相關(guān)的攻擊,移動端的對抗也將進入下一階段。
02 前端對抗持續(xù)增強
前端作為整個系統(tǒng)的大門,是Bots 攻防中雙方必爭之地,各種對抗手段不斷涌現(xiàn),可以預(yù)見后續(xù)前端對抗依然會持續(xù),在以下幾個領(lǐng)域的對抗將會持續(xù)升級:
JS保護
前端是一個非常透明的領(lǐng)域,所有JS代碼均被下載到用戶本地,JS代碼防護手段已經(jīng)由靜態(tài)混淆發(fā)展到更高級別的動態(tài)混淆、虛擬機等技術(shù)防護,對于JS代碼的保護和破解是接下來攻防雙方重點關(guān)注的領(lǐng)域。
設(shè)備指紋
在人機識別和風(fēng)控領(lǐng)域,穩(wěn)定唯一的設(shè)備指紋是一個重要元素,攻擊者會嘗試各種手段來破壞指紋的穩(wěn)定性,圍繞設(shè)備指紋的爭奪也會升級。
操作行為
無論是驗證碼還是無感驗證,都是利用用戶在頁面的操作行為進行判斷,例如鍵盤操作、 鼠標(biāo)操作、頁面停留時間等,Bots則會在這些方面盡可能地去模擬正常人的操作,如何有效地對模擬行為進行識別需要持續(xù)分析升級。
03 IoT 系統(tǒng)成為新興攻擊目標(biāo)
智能家電、攝像頭、路由器、車載系統(tǒng)等物聯(lián)網(wǎng) (IoT) 設(shè)備正在深入人們的生活,黑客利用自動化批量攻擊的工具,可以快速獲取大量IoT設(shè)備的控制權(quán),IoT已然成為信息泄漏和DDOS攻擊的生力軍。根據(jù)相關(guān)數(shù)據(jù)顯示,2019年全球IoT設(shè)備數(shù)量已經(jīng)超過80億臺,預(yù)計2020年設(shè)備數(shù)量將會達到百億臺。一方面是設(shè)備數(shù)量的劇增,一方面是跟不上腳步的安全防護,這些設(shè)備自然也就成為了黑客眼中的肥羊。
04 API 濫用的推手
API 安全性早已躋身OWASP十大排行榜,并且仍有極大可能蟬聯(lián)。據(jù)調(diào)查,目前每個企業(yè)平均管理超過350種不同的API,其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴。雖然開放API承擔(dān)了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任,但同時也給了攻擊者可乘之機。在Bots幫助下攻擊者對API接口進行暴力破解、非法調(diào)用、代碼注入等攻擊的效率將會大提升,API接口濫用行為的防護需求將愈加凸顯。
05 "內(nèi)鬼"防不勝防
實際上,雖然企業(yè)多將大量資源集中用于應(yīng)對來自外部的網(wǎng)絡(luò)攻擊,但相當(dāng)多的安全事件卻是由內(nèi)網(wǎng)安全風(fēng)險引發(fā)的。企業(yè)內(nèi)部員工無意或蓄意地利用自動化工具及內(nèi)網(wǎng)合法權(quán)限,拖取內(nèi)部信息,操縱內(nèi)網(wǎng)交易,進行、建立垃圾賬號的事件屢見不鮮。我們有理由相信,在當(dāng)前的經(jīng)濟環(huán)境中,面對高價值的企業(yè)數(shù)據(jù),"內(nèi)鬼"造成的惡性安全事件會越來越多,而Bots充當(dāng)了"內(nèi)鬼"們利用其合法身份,模擬合法業(yè)務(wù)操作進行竊密的利器。
06 云中斗爭愈發(fā)激烈
云技術(shù)的發(fā)展對Bots的攻防產(chǎn)生著深刻的影響。一方面云資源成本的降低,讓部署在云上的Bots成本也隨之降低,進而帶動攻擊者部署更多的Bots;另一方面企業(yè)在上云之后,相比自建機房的環(huán)境更為開放,攻擊面暴露得更多,遭受攻擊的可能性也大大增加。因此在Bots數(shù)量上升和更多弱點暴露的兩難境地之中,企業(yè)在上云之后如何進行有效的Bots防護管理將成為一個關(guān)注點。
07 AI 深度介入攻防過程
人工智能(AI)已經(jīng)是網(wǎng)絡(luò)安全屆最熱門的熱點話題之一。一方面,過去勞動密集型和成本高昂的攻擊,已經(jīng)在基于AI的對抗學(xué)習(xí)以及自動化工具的應(yīng)用下找到新的轉(zhuǎn)型模式。另一方面,過去一年中以AI為基礎(chǔ)的攻擊檢測工具得到長足發(fā)展,相比傳統(tǒng)的策略,新型基于AI的攻擊檢測,可以發(fā)現(xiàn)更為隱蔽的攻擊?梢灶A(yù)見,在自動化攻防領(lǐng)域基于AI的對抗也會越來越激烈。
Bots攻擊已經(jīng)日益成為了攻擊主流,同時,伴隨AI技術(shù)及平臺化趨勢的加強,越來越復(fù)雜的高級機器人攻擊為網(wǎng)絡(luò)安全行業(yè)帶來了更為嚴峻的挑戰(zhàn)。2019年圍繞Bots攻防展開的對抗技術(shù)得到了長足發(fā)展,在接下來的時間里這一對抗依然會持續(xù)并增強。安全就像一場永無休止的攻防戰(zhàn),攻防兩端永遠在博弈,此消彼此,沒有完結(jié)的一天。
掃碼二維碼 下載完整報告
