日前，瑞數(shù)信息重磅發(fā)布了《2020Bots自動(dòng)化威脅報(bào)告》，其中結(jié)合國(guó)內(nèi)的業(yè)務(wù)系統(tǒng)和攻擊者的特點(diǎn)，從Bots攻擊最主要的關(guān)注點(diǎn)和對(duì)業(yè)務(wù)影響的角度，提取出了五大Bots自動(dòng)化威脅場(chǎng)景，為企業(yè)應(yīng)對(duì)Bots自動(dòng)化威脅及評(píng)估業(yè)務(wù)安全防護(hù)能力提供了極具意義的見(jiàn)解。

　　隨著B(niǎo)ots自動(dòng)化工具的強(qiáng)勢(shì)發(fā)展和應(yīng)用，漏洞攻擊不再是高級(jí)黑客組織的專(zhuān)屬，而開(kāi)始趨向"低成本、高效率"的模式。365*24全年無(wú)休的高強(qiáng)度漏洞掃描不會(huì)放過(guò)任何系統(tǒng)中的薄弱環(huán)節(jié)，無(wú)論是已知漏洞，還是零日漏洞，自動(dòng)化Bots工具都可以隨時(shí)隨地進(jìn)行探測(cè)，往往他們比企業(yè)自己還更了解系統(tǒng)的安全態(tài)勢(shì)。

　　同時(shí)，漏洞的快速曝光和利用給企業(yè)帶來(lái)了極大威脅。一個(gè)漏洞公布之后，隨之而來(lái)的漏洞探測(cè)會(huì)迅速在互聯(lián)網(wǎng)上批量嘗試，幾乎所有漏洞利用會(huì)在1天之內(nèi)就被廣泛傳播。與此同時(shí)，對(duì)于0day漏洞，首次探測(cè)高峰已經(jīng)由POC發(fā)布后的一周，提前到POC發(fā)布之前，這也令企業(yè)難以有效應(yīng)對(duì)。

　　醫(yī)院掛號(hào)、學(xué)校報(bào)名、網(wǎng)絡(luò)購(gòu)票、優(yōu)惠秒殺……需要"搶"資源的場(chǎng)景幾乎可以出現(xiàn)在人們?nèi)粘Ｉ�活中的方方面面。但是�?dāng)Bots自動(dòng)化工具出現(xiàn)，這場(chǎng)競(jìng)爭(zhēng)的性質(zhì)就截然不同了。Bots自動(dòng)化工具不僅可以模擬正常操作邏輯，還憑借"批量、快速"的優(yōu)勢(shì)，使得普通用戶(hù)全無(wú)勝算，從而大量搶占有限的社會(huì)資源，扭曲了社會(huì)資源的公平分配，嚴(yán)重?cái)_亂了企業(yè)的正常運(yùn)營(yíng)和人們的日常生活。

　　某報(bào)名活動(dòng)，在開(kāi)啟報(bào)名通道后的10分鐘內(nèi)，即被黑產(chǎn)組織利用自動(dòng)化工具發(fā)起超過(guò)200萬(wàn)次搶占請(qǐng)求。

　　某企業(yè)在促銷(xiāo)期間，APP異常下載請(qǐng)求總數(shù)超過(guò)42.9萬(wàn)，每小時(shí)請(qǐng)求數(shù)十分平均，使用工具發(fā)起的請(qǐng)求特征明顯。

　　近年來(lái)，由于大數(shù)據(jù)處理和數(shù)據(jù)挖掘技術(shù)的發(fā)展，數(shù)據(jù)資產(chǎn)價(jià)值的概念深入人心。越來(lái)越多的公司或組織對(duì)公開(kāi)和非公開(kāi)的數(shù)據(jù)進(jìn)行拖庫(kù)式抓取，對(duì)數(shù)據(jù)進(jìn)行聚合收集，造成潛在的大數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)，數(shù)據(jù)授權(quán)、來(lái)源、用途不透明，隱私侵權(quán)、數(shù)據(jù)濫用等問(wèn)題也越來(lái)越嚴(yán)重。

　　以政府行業(yè)為例，"互聯(lián)網(wǎng)+政務(wù)"服務(wù)開(kāi)放了大量數(shù)據(jù)查詢(xún)服務(wù)，而這些數(shù)據(jù)經(jīng)過(guò)聚合之后，可以成為具有極高價(jià)值的國(guó)家級(jí)大數(shù)據(jù)，因此大量黑產(chǎn)和境外機(jī)構(gòu)利用Bots自動(dòng)化工具進(jìn)行大規(guī)模數(shù)據(jù)拖取，國(guó)家級(jí)大數(shù)據(jù)已然成為高級(jí)Bots的云集之地。一旦這些數(shù)據(jù)被非法濫用，將會(huì)帶來(lái)巨大危害。

　　某公示系統(tǒng)，全體24小時(shí)遭受爬蟲(chóng)的高強(qiáng)度訪問(wèn)，爬蟲(chóng)訪問(wèn)占比超過(guò)78%。

　　"賬號(hào)密碼"是系統(tǒng)防護(hù)措施中的重要一環(huán)，也一直高居攻擊者最想竊取的內(nèi)容榜首，而破解密碼的一個(gè)最簡(jiǎn)單的方法就是暴力破解。目前網(wǎng)上泄漏的各類(lèi)賬號(hào)密碼庫(kù)基本都以TB為單位，而借助泛濫的Bots自動(dòng)化工具，字典破解或撞庫(kù)的成功率則大幅上升，電商、社交媒體、企業(yè)郵箱、OA系統(tǒng)、操作系統(tǒng)等具有登錄接口的系統(tǒng)都是此類(lèi)攻擊的目標(biāo)。

　　攻擊者可以輕松利用被曝光的包括登錄名/密碼組合在內(nèi)的個(gè)人數(shù)據(jù)，在短時(shí)間內(nèi)對(duì)數(shù)百個(gè)不同的網(wǎng)站不斷進(jìn)行登錄驗(yàn)證，試圖盜用賬號(hào)，乃至發(fā)起進(jìn)一步攻擊并從中獲利或者獲取更多的個(gè)人身份關(guān)聯(lián)信息等有價(jià)數(shù)據(jù)。

　　拒絕服務(wù)攻擊（DOS）已經(jīng)是一個(gè)老生常談的問(wèn)題，傳統(tǒng)針對(duì)DOS的防護(hù)主要集中在流量層面的分布式拒絕服務(wù)攻擊（DDOS）對(duì)抗上，這一類(lèi)攻擊由于攻擊特征相對(duì)明顯，危害雖大，但企業(yè)也大多已經(jīng)具備了相對(duì)完善的應(yīng)對(duì)措施。

　　然而近些年興起的業(yè)務(wù)層DOS攻擊，則是攻擊者利用Bots自動(dòng)化工具來(lái)大量模擬正常人對(duì)系統(tǒng)的訪問(wèn)，從而大量消耗系統(tǒng)資源，使得系統(tǒng)無(wú)法為正常用戶(hù)提供服務(wù)。由于業(yè)務(wù)層的DOS攻擊從流量上看完全是正常的請(qǐng)求，沒(méi)有明顯的攻擊特征，因此給企業(yè)防護(hù)帶來(lái)了很大的難度。攻擊者利用自動(dòng)化Bots工具，通過(guò)對(duì)車(chē)票、機(jī)票進(jìn)行循環(huán)下單但不付款的方式霸占所有座位，造成無(wú)票可售的現(xiàn)象就是一個(gè)典型案例。

　　未來(lái)隨著B(niǎo)ots對(duì)抗的不斷升級(jí)，我們相信，越來(lái)越多的攻擊場(chǎng)景會(huì)給企業(yè)帶來(lái)更大挑戰(zhàn)，攻防也將是一個(gè)持續(xù)的過(guò)程。因此瑞數(shù)信息建議企業(yè)將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅的管理架構(gòu)中，部署能夠針對(duì)自動(dòng)化威脅進(jìn)行防護(hù)的新技術(shù)，借助動(dòng)態(tài)安全防護(hù)、AI人工智能及威脅態(tài)勢(shì)感知等技術(shù)，提升Bots攻擊防護(hù)能力，構(gòu)建基于業(yè)務(wù)邏輯、用戶(hù)、數(shù)據(jù)和應(yīng)用的可信安全架構(gòu)。
 

　　掃碼二維碼 下載完整報(bào)告
 

　　瑞數(shù)信息創(chuàng)新的"動(dòng)態(tài)安全"技術(shù)，完全顛覆了當(dāng)前基于攻擊特征和行為規(guī)則的被動(dòng)式防御技術(shù)，可對(duì)已知和未知的自動(dòng)化攻擊，及各種利用自動(dòng)化工具發(fā)起的惡意行為做到及時(shí)、高效攔截，防護(hù)范圍覆蓋業(yè)務(wù)反欺詐、Web安全、App安全、API安全、業(yè)務(wù)威脅感知、數(shù)據(jù)透視與分析以及物聯(lián)網(wǎng)等眾多領(lǐng)域，高效防御各類(lèi)數(shù)字時(shí)代的新興威脅。