2020 Bots自動化威脅報告深度解讀
責編:gltian |2020-06-02 17:25:34當今社會的科技發展和未來的發展創新都離不開自動化技術的支持。然而,一旦自動化技術為不法分子所用,造成的損失也是不可估量的。從網站應用攻擊、用戶信息泄露到業務交易欺詐,無處不在的自動化攻擊考驗著每個行業的安全水準。
日前,《2020 Bots自動化威脅報告》(下稱“報告”),對2019年Bots自動化威脅的主要類別、攻擊來源、攻擊態勢、技術手段等進行了全面回溯與解讀,并對2020年Bots自動化威脅發展趨勢做出預測。
瑞數信息首席安全顧問周浩來為我們解讀最新的《2020 Bots自動化威脅報告》,并對Bot自動化攻擊的現狀、核心問題、主要的Bot攻擊類型,以及如何讓對抗Bot自動化攻擊幾個方面來為大家分享他的經驗。
瑞數信息首席安全顧問 周浩
報告指出,Bots機器人攻擊在逐年增加,全球網絡流量中正常用戶發起的請求已經不足一半。國內的Bots攻擊形勢則更為嚴峻,尤其在一些資源搶占類和信息公示類系統中,Bots發起的訪問請求占比甚至超80%。同時,相對于傳統安全攻防,企業普遍缺乏對于Bots攻擊的認知和防護,這進一步加劇了Bots攻擊帶來的危害。
一、四大Bots核心問題
正如自動化能夠幫助企業有效地檢測和緩解網絡威脅一樣,自動化工具的加持也讓網絡犯罪分子“如虎添翼”。自動化、智能化的Bots攻擊正讓企業網絡的防線頻頻失守。
01、國家級大數據成為高級Bots的云集之地
“互聯網+政務服務”開放了大量數據查詢服務,這些數據經過聚合之后可以成為具有極高價值的國家級大數據,因此吸引了黑產和境外機構Bots的大規模數據拖取,如果被非法濫用,將會帶來巨大危害。在各行業中,政府行業的Bots請求比例居行業之首,超過65%;在高級持續性Bots手段使用上,政府行業依然首當其沖,占比超過30%。
02、龐大的IP資源已成為Bots流量產業的基礎設施
大規模廉價的IP資源大幅降低了繞過傳統Anti-Bot技術的成本,也成為Bots流量中最常用的手段,更換IP方式在繞過手段中的采用率高達90%以上,嚴重削弱了IP信譽庫的防御能力,高級組織每日使用IP數量可超過百萬,兩日IP重復率低于10%。
03、新興領域的漏洞探測利用效率提升
隨著開源和商業漏洞探測利用工具的發展,攻擊者對于新興領域的漏洞發現效率大幅度提升,IoT、API、云端應用等領域雖然興起時間不長,但暴露的安全問題卻有趕超傳統領域的趨勢,尤其在0day/Nday攻擊、接口濫用等方面表現突出。
04、Bots流量全面隱藏機器特征促使前端對抗升級
借助豐富而低成本的IP資源、平臺資源,Bots在流量層面的特征進一步被隱藏,這就要求防護系統能夠在前端提取到更多的Bots信息進行識別。JS保護與破解、設備指紋追蹤與反追蹤、模擬操作行為對抗、驗證碼對抗等將會更加激烈,AI技術也將會深入介入其中。
二、五大Bots自動化威脅主要場景
隨著自動化攻擊手段的發展,業務系統面臨的攻擊類型也越來越多,OWASP最新發布的《Automated Threat Handbook》中提到的自動化威脅已達到21種之多。但同時,相對于傳統安全攻防,企業普遍缺乏對于Bots攻擊的認知和防護,這就進一步加劇了Bots攻擊帶來的危害。
《2020 Bots自動化威脅報告》結合國內的業務系統和攻擊者的特點,從Bots攻擊最主要的關注點和對業務影響的角度,提取出了五大Bots自動化威脅場景,為企業應對Bots自動化威脅及評估業務安全防護能力提供了極具意義的見解。
場景一:漏洞探測利用
隨著Bots自動化工具的強勢發展和應用,漏洞攻擊不再是高級黑客組織的專屬,而開始趨向“低成本、高效率”的模式。365*24全年無休的高強度漏洞掃描不會放過任何系統中的薄弱環節,無論是已知漏洞,還是零日漏洞,自動化Bots工具都可以隨時隨地進行探測,往往他們比企業自己還更了解系統的安全態勢。
同時,漏洞的快速曝光和利用給企業帶來了極大威脅。一個漏洞公布之后,隨之而來的漏洞探測會迅速在互聯網上批量嘗試,幾乎所有漏洞利用會在1天之內就被廣泛傳播。與此同時,對于0day漏洞,首次探測高峰已經由POC發布后的一周,提前到POC發布之前,這也令企業難以有效應對。
場景二:資源搶占
醫院掛號、學校報名、網絡購票、優惠秒殺……需要“搶”資源的場景幾乎可以出現在人們日常生活中的方方面面。但是當Bots自動化工具出現,這場競爭的性質就截然不同了。Bots自動化工具不僅可以模擬正常操作邏輯,還憑借“批量、快速”的優勢,使得普通用戶全無勝算,從而大量搶占有限的社會資源,扭曲了社會資源的公平分配,嚴重擾亂了企業的正常運營和人們的日常生活。
某報名活動,在開啟報名通道后的10分鐘內,即被黑產組織利用自動化工具發起超過200萬次搶占請求。
某企業在促銷期間,APP異常下載請求總數超過42.9萬,每小時請求數十分平均,使用工具發起的請求特征明顯。
場景三:數據聚合
近年來,由于大數據處理和數據挖掘技術的發展,數據資產價值的概念深入人心。越來越多的公司或組織對公開和非公開的數據進行拖庫式抓取,對數據進行聚合收集,造成潛在的大數據安全風險。同時,數據授權、來源、用途不透明,隱私侵權、數據濫用等問題也越來越嚴重。
以政府行業為例,“互聯網+政務”服務開放了大量數據查詢服務,而這些數據經過聚合之后,可以成為具有極高價值的國家級大數據,因此大量黑產和境外機構利用Bots自動化工具進行大規模數據拖取,國家級大數據已然成為高級Bots的云集之地。一旦這些數據被非法濫用,將會帶來巨大危害。
某公示系統,全體24小時遭受爬蟲的高強度訪問,爬蟲訪問占比超過78%。
場景四:暴力破解
“賬號密碼”是系統防護措施中的重要一環,也一直高居攻擊者最想竊取的內容榜首,而破解密碼的一個最簡單的方法就是暴力破解。目前網上泄漏的各類賬號密碼庫基本都以TB為單位,而借助泛濫的Bots自動化工具,字典破解或撞庫的成功率則大幅上升,電商、社交媒體、企業郵箱、OA系統、操作系統等具有登錄接口的系統都是此類攻擊的目標。
攻擊者可以輕松利用被曝光的包括登錄名/密碼組合在內的個人數據,在短時間內對數百個不同的網站不斷進行登錄驗證,試圖盜用賬號,乃至發起進一步攻擊并從中獲利或者獲取更多的個人身份關聯信息等有價數據。
場景五:拒絕服務攻擊
拒絕服務攻擊(DOS)已經是一個老生常談的問題,傳統針對DOS的防護主要集中在流量層面的分布式拒絕服務攻擊(DDOS)對抗上,這一類攻擊由于攻擊特征相對明顯,危害雖大,但企業也大多已經具備了相對完善的應對措施。
然而近些年興起的業務層DOS攻擊,則是攻擊者利用Bots自動化工具來大量模擬正常人對系統的訪問,從而大量消耗系統資源,使得系統無法為正常用戶提供服務。由于業務層的DOS攻擊從流量上看完全是正常的請求,沒有明顯的攻擊特征,因此給企業防護帶來了很大的難度。攻擊者利用自動化Bots工具,通過對車票、機票進行循環下單但不付款的方式霸占所有座位,造成無票可售的現象就是一個典型案例。
未來隨著Bots對抗的不斷升級,我們相信,越來越多的攻擊場景會給企業帶來更大挑戰,攻防也將是一個持續的過程。因此瑞數信息建議企業將Bots管理納入到企業應用和業務威脅的管理架構中,部署能夠針對自動化威脅進行防護的新技術,借助動態安全防護、AI人工智能及威脅態勢感知等技術,提升Bots攻擊防護能力,構建基于業務邏輯、用戶、數據和應用的可信安全架構。
三、2019年Bots自動化威脅深度分析
隨著自動化攻擊手段的發展,業務系統面臨的攻擊類型也越來越多,OWASP最新發布的《Automated Threat Handbook》中提到的自動化威脅已達到21種之多。結合國內的業務系統和攻擊者的特點,報告對Bots自動化威脅的多個層面進行了歸納分析和解讀,并提出六大警示,為企業深入了解Bots威脅及提升相應的安全防御能力提供了參考。
報告指出,從Bots攻擊流量最主要的關注點和對業務影響的角度,可以將Bots攻擊類別分為5大類:
- 漏洞探測利用
- 模擬正常業務操作邏輯搶占業務資源
- 爬蟲獲取高價值數據
- 暴力破解或者撞庫獲取賬號信息
- 面向應用和業務的拒絕服務攻擊
警示一:政府、金融、運營商、互聯網行業成為Bots攻擊重災區
綜合來看,Bots發起的請求占比已經超過網站訪問總量的一半,達到55.35%,而對于某些提供公共信息查詢的政務系統,Bots請求比例甚至超過80%。
從行業上看,政府行業的Bots請求占比最高,超過65%;金融、運營商、互聯網行業的平均占比都超過了60%。除了通用的漏洞掃描外,不同行業遭受的Bots攻擊類型也不一樣。Bots 訪問占比最高的政府行業,主要攻擊場景有爬蟲、信息搜刮等;其次為金融行業,主要攻擊場景有薅羊毛、批量進件、撞庫等;運營商行業則集中在批量繳費、通話記錄或賬單拖取等場景。
從Bots攻擊來源來看,Bots攻擊來源最多的省份是江蘇,河南、浙江,廣東緊隨其后。這和當地的IDC、ISP提供商的營銷策略不無關系。而來自境外的攻擊中,美國以超過75%的占比高居榜首。
警示二:難以直接封殺的IP秒撥
作為互聯網空間最基礎的身份標識,IP一直是黑產和企業爭奪對抗最激烈的攻防點。隨著黑產技術的快速升級和攻防節奏的加快,秒撥IP資源成為了當下主流的黑產IP資源,被廣泛用于批量注冊、登錄、投票、刷量等短時間內需要大量IP資源的風險場景,而且由于其難以識別的特性,也已經對當前的互聯網安全造成了巨大危害。
報告指出,雖然來自IDC機房的IP依然是攻擊的主力,但隨著對抗的升級,在一些高級別對抗中,IP地址已經在向更為隱蔽、難以直接封殺的家庭IP、基站IP轉移。相比傳統的IDC代理技術,這些IP地址隱藏在真實的用戶中,使得IP信譽檢測的效果大打折扣,基于IP的攔截也會投鼠忌器。
警示三:更隱蔽的Bots身份聲明
為提高攻擊效率,Bots攻擊者不斷在嘗試利用各種各樣的手段來繞過檢測措施,比如通過修改User-Agent來隱藏自己真實的身份信息。
通過對Bots的UA進行分析,可以發現Windows是半數以上Bots的首選操作系統(52.3%),而Chrome則是它們最喜歡使用的“馬甲”。
警示四:高歌猛進的APBs
隨著各種Bots對抗技術的涌現,很多場景下簡單的腳本工具已經沒有用武之地,為了繞過各種防護手段,Bots也正由簡單腳本向高級持續性機器人(APBs)不斷演進。根據觀察,APBs產生的流量在總Bots流量中的占比已經達到23.16%,隨著對抗的升級,這一比例還會繼續上升。
相對于普通Bots,APBs具備多種多樣的“反反自動化攻擊”能力,自動更換IP、特征隱藏、擬人化操作、驗證碼識別等技術已然成為標配。在一些對抗比較激烈的場景,例如薅羊毛、爬蟲、搶報名等,APBs已經大規模應用。
APBs進化路線
為了繞過客戶端的檢測,并對網頁中JS等程序進行執行,攻擊者會通過自動化框架來完全模擬真實瀏覽器。據瑞數信息監測統計,目前應用最廣泛的是WebDriver類框架,Headless Chrome、PhantomJS、NodeJS等也在大量應用。同時,通過瑞數信息動態安全Botgate對客戶端真實環境的驗證發現,Chrome內核仍然是APBs的首選。
警示五:移動端攻擊的崛起
隨著企業越來越多的業務系統向移動端遷移,黑客的攻擊重心也必須向移動端轉移,各類改機工具、破解框架、模擬器、群控、云控、IMEI偽造、GPS偽造等攻擊手段層出不窮。
報告顯示,移動平臺的Bots最大來源城市為成都,南方城市總體較北方城市發起了更多移動端Bots攻擊。
就移動端的攻擊載體而言,Bots攻擊呈現出對經濟成本、系統破解難易度等方面的依賴。市場占有率更高、價格更低廉、破解難度更低的Android系統明顯比iOS得到更多Bots攻擊者的偏愛。
移動端Bots攻擊來源平臺分布
移動端Bots攻擊來源手機品牌分布
警示六:更高的0day/Nday漏洞探測利用效率
漏洞的快速曝光和利用給企業帶來了極大的威脅。漏洞公布之后,隨之而來的漏洞探測會迅速在互聯網上批量嘗試,幾乎所有漏洞利用會在1天之內就被廣泛傳播。而作為發現后即可立即被利用的安全漏洞,0day漏洞往往具有更大的突發性和破壞性。
隨著開源和商業漏洞利用工具的發展,0day/Nday漏洞利用工具的獲取難度在持續降低,但工具發布更新的頻率卻在迅速提升。尤其對于一些重量級的0day漏洞,首次探測高峰已經由POC披露后1周,提前到POC披露之前,這也讓企業更加難以有效應對。
目前,Bots自動化攻擊正在日益成為攻擊者最青睞的攻擊形式,免費、簡單、高效,是攻擊者越來越偏愛自動化的主要原因。黑客論壇或網站上發布的免費自動化腳本工具,以及破壞力極強但卻不需要攻擊者擁有深厚代碼功底的自動化攻擊工具都可以為攻擊者所用,發起越來越復雜且成功率更高的自動化攻擊。
在未來的攻防對抗中,企業也將會面臨越來越多的自動化攻擊。因此企業在應用及業務安全的防御策略上,除了加強基礎風控的建設,也應當將Bots管理納入其中,借助動態安全防護、AI人工智能、威脅態勢感知等新技術,高效防御各類數字時代的新興威脅。
四、2020年Bots自動化威脅七大趨勢
2019年圍繞Bots攻防展開的對抗技術得到了長足發展,但未來這一對抗依然會持續并不斷增強。
移動端成為下一戰場
隨著企業業務不斷從PC端向移動端遷移,黑客的攻擊重心也在轉移。除了傳統的漏洞掃描、APP客戶端逆向破解外,大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業務相關的攻擊正在發生,移動端的對抗將進入下一階段。
前端對抗持續增強
前端作為整個系統的大門,是Bots攻防中雙方必爭之地,各種對抗手段不斷涌現,可以預見后續前端對抗依然會持續,在JS保護、設備指紋、操作行為等領域的對抗將會持續升級
IoT系統成為新興攻擊目標
智能家電、攝像頭、路由器、車載系統等物聯網(IoT)設備正深入人們的生活,黑客利用自動批量攻擊工具,可以快速獲取大量IoT設備的控制權,IoT已然成為信息泄漏和 DDOS攻擊的生力軍。
Bots成為API濫用的推手
在Bots的幫助下,攻擊者對API接口進行暴力破解、非法調用、代碼注入等攻擊的效率將會大幅提升,API接口濫用行為的防護需求將愈加凸顯。
“內鬼”防不勝防
面對高價值的企業數據,企業內部員工無意或蓄意地利用自動化工具及內網合法權限,拖取內部信息、操縱內網交易、建立垃圾賬號的事件屢見不鮮,而Bots正充當了“內鬼”們竊密的利器。
云中斗爭愈發激烈
云技術的發展會對Bots攻防產生深刻影響。一方面云資源成本降低使得部署于云上的Bots成本也隨之降低,Bots數量因而上升;另一方面云上環境相比自建機房更為開放,攻擊面暴露更多,遭受攻擊的可能性也大大增加。
AI 深度介入攻防過程
AI人工智能已經是網絡安全屆最熱門的話題之一。一方面,過去成本高昂的勞動密集型攻擊,已經在基于AI的對抗學習以及自動化工具的應用下找到新的轉型模式。另一方面,以AI為基礎的攻擊檢測工具迅速發展,相比傳統策略,基于AI的新型攻擊檢測,可以發現更為隱蔽的攻擊。
五、應對Bots自動化攻擊的八條防護建議
01、部署針對Bots自動化威脅的防御新技術
將Bots管理納入到企業應用和業務威脅管理架構中,部署能針對自動化威脅進行防護的新技術,結合多重變幻的動態安全防護、威脅態勢感知及人工智能技術,防止漏洞利用、擬人化攻擊等多類應用安全問題,構建集中于商業邏輯、用戶、數據和應用的可信安全架構。
02、以動態技術構建主動防御
通過對網頁底層代碼的動態變幻和實時人機識別技術,隱藏可能的攻擊入口,增加服務器行為的不可預測性。同時,需要保證應用邏輯的正確運行,高效甄別偽裝和假冒正常行為的已知和未知自動化攻擊,直接從來源端阻斷自動化攻擊。
03、AI技術助力自動化威脅行為的深度分析和挖掘
融入涵蓋機器學習、智能人機識別、智能威脅檢測、全息設備指紋、智能響應等的AI技術,對客戶端到服務器端所有的請求日志進行全訪問記錄,持續監控并分析流量行為,實現精準攻擊定位和追蹤溯源,并對潛在和更加隱蔽的攻擊行為進行更深層次的分析和挖掘。
04、可編程對抗技術實現靈活便捷的攻防對抗
為企業使用者和用戶構建了一個開放式的簡單編程環境,提供上百個字段用于規則編寫,讓具備一定編程基礎的客戶能夠根據企業自身的情況,實現自我防護需求定制和靈活、便捷的攻防對抗。
05、基于大數據分析的自動化威脅情報
通過大數據分析能力,結合業務威脅的特征,對流量進行實時監控。全方位感知透視自動化攻擊的來源、工具、目的和行為,并對攻擊者進行畫像,建立IP信譽庫、指紋信譽庫和賬號信譽庫,實現安全無死角。
06、從等保合規的角度制定網絡安全防護策略
結合《網絡安全法》、等保2.0等網絡安全相關的法律法規,將風險評估、安全監測、數據防護、應急處置、自主可控等納入企業網絡安全防護策略,提高應對網絡攻擊的防御能力,降低工作流程中的數據泄漏和其他安全風險。
07、強化內網縱深安全保護
從技術層面而言,企業可以通過APT解決方案、內網陷阱等方式,并引入“零信任機制”,強化內網縱深安全保護。此外,內網的Web應用及數據庫服務器更是重點防護對象,以杜絕內部人員或外部滲透黑客竊取或篡改企業的敏感關鍵數據。而從管理層面看,嚴格制定并安全執行各類IT使用規范必不可少。
08、重視IoT及工控設備安全
重視物聯網及工控設備安全,提供設備的資產清查、安全管理、預警與聯防,整體防護物設備、網絡傳輸及云端,避免物聯網及工控設備成為企業信息安全的重大隱患。
結語
安全就像一場永無休止的攻防戰,攻防兩端永遠在博弈,此消彼長,沒有完結的一天。未來,數字化將成為企業發展的“核心動能”,安全也將成為企業核心競爭優勢之一。有效防御Bots自動化攻擊是未來安全防護的趨勢,了解自動化Bots攻擊特點和系統安全態勢,強化安全防護的協同聯動,才是企業有效應對后續未知的自動化攻擊態勢,屹立于不敗之地的關鍵。