數(shù)字化時(shí)代,Bots自動(dòng)化攻擊已經(jīng)演變?yōu)榫W(wǎng)絡(luò)安全領(lǐng)域的頑疾,不斷升級(jí)的Bots自動(dòng)化工具持續(xù)牽動(dòng)著行業(yè)的神經(jīng)。為了讓各行業(yè)更好地應(yīng)對(duì)Bots自動(dòng)化威脅挑戰(zhàn),瑞數(shù)信息作為Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專業(yè)廠商,多年來持續(xù)輸出Bots自動(dòng)化威脅報(bào)告,為政企用戶做好Bots自動(dòng)化攻擊安全防護(hù)提供參考指南。
7月6日,瑞數(shù)信息正式發(fā)布《2022 Bots自動(dòng)化威脅報(bào)告》(以下簡(jiǎn)稱“報(bào)告”),從Bots威脅場(chǎng)景、發(fā)展態(tài)勢(shì)、攻擊特征等多個(gè)方面進(jìn)行深度分析,剖析多個(gè)行業(yè)的Bots自動(dòng)化攻擊案例,并對(duì)2022年Bots自動(dòng)化威脅發(fā)展趨勢(shì)做出了最新研判。
報(bào)告指出,2021年國(guó)內(nèi)Bots攻擊狀況依然十分嚴(yán)峻和突出,各個(gè)行業(yè)的各類自動(dòng)化攻擊和事件層出不窮,攻擊者的工具、手段、效率都有了較大的發(fā)展。隨著全球疫情的持續(xù)發(fā)展以及網(wǎng)絡(luò)技術(shù)的快速迭代和發(fā)展,企業(yè)數(shù)字化轉(zhuǎn)型步伐明顯加速,遠(yuǎn)程辦公的逐漸日常化,也給黑客組織和灰黑產(chǎn)行業(yè)創(chuàng)造了更多機(jī)會(huì)。API安全、勒索軟件、軟件供應(yīng)鏈、0day/Nday攻擊智能常態(tài)化、云安全、小程序安全等領(lǐng)域的危機(jī)日益凸顯,網(wǎng)絡(luò)安全和自動(dòng)化安全形式更加嚴(yán)峻。
2021年Bots自動(dòng)化威脅深度分析
隨著企業(yè)數(shù)字化進(jìn)程的加快和深入,Bots流量的攀升趨勢(shì)勢(shì)不可擋。報(bào)告指出,2021年Bots產(chǎn)生的流量明顯高于正常訪問流量,相比2019年的55%和2020年的57.62%,2021年Bots訪問占比為59.71%,惡意Bots比例進(jìn)一步提升。
同時(shí),2021年也是網(wǎng)絡(luò)安全全面深入發(fā)展之年,多項(xiàng)信息安全法律法規(guī)和指導(dǎo)意見的發(fā)布,將Bots自動(dòng)化威脅的防護(hù)要求上升到法律層面。
●API成為攻擊的優(yōu)選入口 攻防博弈的新熱點(diǎn)
API正在成為實(shí)現(xiàn)商業(yè)創(chuàng)新和數(shù)字化轉(zhuǎn)型的核心技術(shù)手段,其連接的已不僅是系統(tǒng)和數(shù)據(jù), 還有企業(yè)、客戶、合作伙伴,甚至整個(gè)商業(yè)生態(tài),成為當(dāng)下網(wǎng)絡(luò)應(yīng)用流量的重要出入口。而 API配置使用不當(dāng)和API漏洞利用引發(fā)的攻擊和數(shù)據(jù)安全風(fēng)險(xiǎn)也在迅速上升。API具備“程序”和自動(dòng)化屬性,可攜帶和透視重要數(shù)據(jù)的機(jī)制,由此獲得越來越多黑客的青睞,并成為黑客 實(shí)現(xiàn)自動(dòng)化“高效攻擊”的首選。
●自動(dòng)化手段的加持 勒索攻擊呈現(xiàn)平臺(tái)化和服務(wù)化
2021年以來勒索軟件攻擊最為猖獗,已經(jīng)成為數(shù)據(jù)層面最嚴(yán)重的“病毒”。勒索軟件漏洞數(shù)量迅速上升,大量的勒索軟件開始結(jié)合更廣范圍的漏洞發(fā)現(xiàn)和零日漏洞,實(shí)現(xiàn)攻擊感染自動(dòng)化和一體化。通過平臺(tái)提供勒索軟件即服務(wù)的方法開始涌現(xiàn),使得勒索攻擊組織更加專業(yè)化,高效率,對(duì)全球制造業(yè)、服務(wù)業(yè)、醫(yī)療、金融、工控和政府機(jī)構(gòu)等產(chǎn)生嚴(yán)重影響。
●0day 攻擊更具殺傷力 供應(yīng)鏈安全問題升級(jí)
2021 年,全球安全漏洞數(shù)量依舊保持快速上漲,尤其針對(duì)供應(yīng)鏈組件的0day/Nday漏洞攻擊也在進(jìn)一步泛濫。2021年12月爆發(fā)的Log4j核彈級(jí)漏洞,已經(jīng)成為全年最嚴(yán)重的漏洞應(yīng)急響應(yīng)事件之一,0day攻擊、供應(yīng)鏈、自動(dòng)化,當(dāng)這三要素疊加時(shí),帶來的后果不容小覷。
●自動(dòng)化威脅防護(hù)要求 逐漸上升到法律高度
2021年《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》正式發(fā)布實(shí)施,更多數(shù)據(jù)安全操作層面的規(guī)范條例也在加快制定和出臺(tái)。對(duì)于可能對(duì)網(wǎng)絡(luò)正常服務(wù)帶來影響的自動(dòng)化工具的訪問,以及造成數(shù)據(jù)安全風(fēng)險(xiǎn)的自動(dòng)化工具收集數(shù)據(jù)行為的要求,也首次在《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(征求意見稿)的相關(guān)要求中出現(xiàn)。多起惡意爬蟲對(duì)企業(yè)造成影響的司法判例的曝光,也在進(jìn)一步加快數(shù)據(jù)安全法律法規(guī)的普及教育和落地執(zhí)行。
2022年Bots自動(dòng)化威脅六大趨勢(shì)
基于Bots攻擊不斷升級(jí)的嚴(yán)峻形勢(shì),2022年Bots自動(dòng)化威脅還會(huì)呈現(xiàn)出怎樣的新趨勢(shì)?報(bào)告給出了六大趨勢(shì),從漏洞挖掘、供應(yīng)鏈攻擊、勒索軟件、數(shù)據(jù)安全、API安全、業(yè)務(wù)欺詐六個(gè)方面進(jìn)行了重點(diǎn)解析。
●安全漏洞挖掘和探測(cè)持續(xù)增加 - 攻擊者加強(qiáng)0day漏洞偵查能力
網(wǎng)絡(luò)空間中,大部分的安全問題都源自Web。攻擊者普遍會(huì)利用Web應(yīng)用漏洞對(duì)企業(yè)進(jìn)行滲透,以達(dá)到控制整個(gè)網(wǎng)絡(luò)、獲取大量有價(jià)值信息的目的。2022年,安全漏洞數(shù)量還將不斷增加,甚至變得越來越復(fù)雜。攻擊者利用安全漏洞的攻擊行為將變本加厲,尤其借助自動(dòng)化的工具,在短時(shí)間內(nèi)以更高效、隱蔽的方式對(duì)Web進(jìn)行漏洞掃描和探測(cè),使得企業(yè)面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)和損失。
同時(shí),攻擊者會(huì)進(jìn)一步加大事前的努力,在攻擊準(zhǔn)備階段花費(fèi)更多的時(shí)間和精力來搜尋0day 漏洞,特別是攻擊影響力更大、投入產(chǎn)出更高的軟件供應(yīng)鏈漏洞,并利用新的技術(shù)將攻擊擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境,無疑加大了企業(yè)應(yīng)用防護(hù)的難度。
●供應(yīng)鏈安全告急 - 第三方組件造成的供應(yīng)鏈漏洞攻擊加劇,供應(yīng)鏈惡意軟件數(shù)量上升
隨著開源、云原生等技術(shù)的大范圍應(yīng)用,下一代軟件供應(yīng)鏈威脅也正在逐漸爆發(fā)。據(jù)Forrester研究表明,應(yīng)用軟件80%-90%的代碼來自開源組件。全球?qū)﹂_源代碼的旺盛需求,將導(dǎo)致Web應(yīng)用供應(yīng)鏈攻擊在2022年進(jìn)一步成熟,范圍擴(kuò)大,并且更加復(fù)雜,預(yù)計(jì)使用惡意軟件進(jìn)行Web應(yīng)用供應(yīng)鏈攻擊的數(shù)量將不斷攀升。
同時(shí),下一代Web應(yīng)用供應(yīng)鏈攻擊正在到來,其顯著特點(diǎn)是刻意針對(duì)“上游”開源組件,進(jìn)行更主動(dòng)的攻擊,攻擊者會(huì)主動(dòng)將新的漏洞注入為供應(yīng)鏈提供支持的開源項(xiàng)目中。因此,下一代Web應(yīng)用供應(yīng)鏈攻擊將更加隱蔽,也將有更多的時(shí)間對(duì)下游企業(yè)展開攻擊,危險(xiǎn)性將更高。
●勒索軟件數(shù)量繼續(xù)上升 - 勒索軟件成為最大的安全威脅,對(duì)醫(yī)療行業(yè)的攻擊加劇
2022年勒索軟件數(shù)量還將顯著增長(zhǎng),攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí),勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面,勒索軟件威脅將無處不在。從行業(yè)影響看,勒索軟件攻擊對(duì)金融、教育、醫(yī)療等各行各業(yè)構(gòu)成了嚴(yán)重威脅,但醫(yī)療機(jī)構(gòu)因其豐富的醫(yī)療設(shè)備和患者信息成為了攻擊者的最佳目標(biāo)。據(jù)FBI發(fā)布的安全通告顯示,在過去一年內(nèi)至少發(fā)現(xiàn)了16起針對(duì)美國(guó)醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)的Conti勒索軟件攻擊,該勒索軟件在全球攻擊了超過400家醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)。2022年,勒索軟件對(duì)醫(yī)療行業(yè)的攻擊還將持續(xù)加劇。在這種形勢(shì)下,醫(yī)療機(jī)構(gòu)的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。
●數(shù)據(jù)安全風(fēng)險(xiǎn)加劇 - 數(shù)據(jù)泄露的規(guī)模更大、成本更高,應(yīng)用數(shù)據(jù)安全 面臨更大挑戰(zhàn)
2022年,數(shù)據(jù)泄露還將繼續(xù)增加,規(guī)模會(huì)更大,各國(guó)政府和企業(yè)將付出更多的代價(jià)來進(jìn)行恢復(fù),損失的成本不僅限于事件響應(yīng)成本、數(shù)據(jù)備份成本、系統(tǒng)升級(jí)成本,還包括聲譽(yù)損失成本、法律風(fēng)險(xiǎn)成本等隱性成本,其損失甚至數(shù)倍、數(shù)十倍于顯性損失。數(shù)據(jù)泄露的主要原因源于 Web 應(yīng)用程序攻擊、網(wǎng)絡(luò)釣魚和勒索軟件。其中,對(duì)Web應(yīng)用程序的攻擊仍是黑客行為的主要攻擊方向。2022年,應(yīng)用安全依然面臨挑戰(zhàn),尤其是數(shù)據(jù)在應(yīng)用中的安全值得企業(yè)重點(diǎn)關(guān)注。
●API攻擊成為惡意攻擊首選 - 利用API欺詐是黑產(chǎn)首選,API 濫用是最常見攻擊方式
在萬物互聯(lián)的數(shù)字時(shí)代,API承載著企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù),支撐著用戶早已習(xí)慣的互動(dòng)式數(shù)字體驗(yàn)。根據(jù)Akamai的一項(xiàng)統(tǒng)計(jì),API請(qǐng)求已占所有應(yīng)用請(qǐng)求的83%,預(yù)計(jì)2024年API請(qǐng)求命中數(shù)將達(dá)到42萬億次。與此同時(shí),針對(duì)API的攻擊成為了惡意攻擊者的首選,相對(duì)于傳統(tǒng)Web頁面,API的攻擊成本更低, 越來越多的黑客開始利用API進(jìn)行業(yè)務(wù)欺詐。
事實(shí)上,很多企業(yè)并不清楚自己擁有多少API,也并不能保證每個(gè)API都具有良好的訪問控制,被遺忘的影子API和僵尸API會(huì)帶來重大的未知風(fēng)險(xiǎn)。據(jù)Gartner預(yù)測(cè),到2022年API濫用將是最常見的攻擊方式,為API構(gòu)建安全防護(hù)體系勢(shì)在必行。
●業(yè)務(wù)欺詐變本加厲 - AI技術(shù)廣泛用于欺詐,新型團(tuán)伙欺詐頻出
在社會(huì)高度智能化、技術(shù)應(yīng)用門檻越來越低的今天,AI也成為詐騙者的目標(biāo)和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術(shù)的業(yè)務(wù)欺詐手段層出不窮,反AI欺詐已經(jīng)成為一個(gè)社會(huì)性的問題。隨著互聯(lián)網(wǎng)行業(yè)快速發(fā)展,新型業(yè)務(wù)欺詐來勢(shì)洶洶,呈現(xiàn)出團(tuán)伙化、跨境化、精準(zhǔn)化、多樣化等特征,出現(xiàn)了如公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機(jī)構(gòu)黑產(chǎn)、投資理財(cái)類詐騙、虛假交易網(wǎng)站詐騙、虛假中獎(jiǎng)?lì)惖榷喾N欺詐案例,給企業(yè)和個(gè)人造成了巨大的損失。據(jù)Juniper Research研究發(fā)現(xiàn),在2021年至2025年期間,在線支付欺詐造成的商家損失將累計(jì)超過2060億美元,這個(gè)數(shù)字相當(dāng)于亞馬遜2020財(cái)年凈收入的近10倍。在未來,如何以“魔法打敗魔法”,用技術(shù)手段來解決新型業(yè)務(wù)欺詐問題,將成為市場(chǎng)和行業(yè)共同努力的方向。
2022年網(wǎng)絡(luò)安全兩大防護(hù)建議
基于2022年惡意Bots自動(dòng)化威脅可能帶來的安全風(fēng)險(xiǎn),報(bào)告從兩大方面為政企機(jī)構(gòu)提供了防護(hù)建議。
●由WAF走向WAAP
隨著企業(yè)數(shù)字化進(jìn)程的不斷加速,更多的門戶網(wǎng)站、核心業(yè)務(wù)、交易平臺(tái)等日益依賴Web、APP、H5、微信等多渠道開展。與此同時(shí),越來越多的開放性API業(yè)務(wù)也正在蓬勃發(fā)展。伴隨流量的提升,API業(yè)務(wù)帶來的Web敞口風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管控鏈條的擴(kuò)大,不僅各種利用Web應(yīng)用漏洞進(jìn)行攻擊的事件正在與日俱增,各類工具化、智能化、擬人化的Bots攻擊對(duì)數(shù)字化業(yè)務(wù)的影響也在快速攀升。
然而,現(xiàn)有的Web安全服務(wù)彼此之間常常出現(xiàn)難以融合的局面,無法實(shí)現(xiàn)統(tǒng)一的安全服務(wù)閉環(huán)。Gartner指出,到2023年,30%以上面向公眾的Web應(yīng)用程序和API將受到云Web應(yīng)用程序和API保護(hù)(WAAP)服務(wù)的保護(hù),WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。
瑞數(shù)信息專家認(rèn)為,傳統(tǒng)WAF技術(shù)面臨各種挑戰(zhàn),單一的WAF產(chǎn)品已不足以解決無處不在的安全風(fēng)險(xiǎn),防御新的威脅需要一種整體的、集成的安全方法,即從WAF走向WAAP,將本地、各類云端充分整合,支持WAF、Bots管理、API防護(hù)獨(dú)立或聯(lián)合部署,提供多層級(jí)的聯(lián)動(dòng)防御機(jī)制,令企業(yè)安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中,實(shí)現(xiàn)Web安全一體化防御。
●深化基于AI的行為檢測(cè)
傳統(tǒng)安全主要基于攻擊特征與行為規(guī)則實(shí)行被動(dòng)式防御,在靈活的黑客面前已逐漸失效,不僅是0day攻擊、各類應(yīng)用和業(yè)務(wù)欺詐,在數(shù)據(jù)泄露和勒索層面更是堪憂;同時(shí)攻防對(duì)抗水漲船高,防守方規(guī)則的構(gòu)造和維護(hù)門檻高、成本大。
瑞數(shù)信息專家認(rèn)為,基于AI技術(shù)對(duì)用戶行為模式進(jìn)行智能分析與識(shí)別,將不再受制于復(fù)雜繁瑣的攻擊特征與行為規(guī)則,應(yīng)進(jìn)一步擴(kuò)大使用場(chǎng)景,不僅應(yīng)用于攻擊趨勢(shì)預(yù)判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析,也可以加強(qiáng)對(duì)于數(shù)據(jù)的破壞、篡改、加密勒索等數(shù)據(jù)威脅行為的識(shí)別檢測(cè),并通過更實(shí)時(shí)的安全預(yù)警及安全聯(lián)防進(jìn)一步縮短響應(yīng)時(shí)間,提升了攻擊門檻,在攻防格局中處于主動(dòng)位置。
