拼多多、抖音、优衣库、Facebook……过去的一年中,越来越多的公司加入了“Bots自动化攻击受害者”的名单。尽管当前人们都认可网络安全比以往任何时候都更重要,企业也在为网络安全投入更多的资金和资源,但是毫无疑问,网络安全仍然是企业CIO们的头等大事。
日前,瑞数信息重磅发布《2020 Bots自动化威胁报告》,基于公司多年来在金融、政务、电信、电商等行业的数百例防护案例,及对各类自动化攻击事件的整理回溯,瑞数信息提出了2020年Bots自动化威胁的七大发展趋势。
01 移动端成为下一战场
在移动互联网高度发展和普及的今天,企业越来越多地将业务从PC端迁移到移动端。在业务迁移的同时,黑客的攻击重心也会随着业务的迁移而转移,企业面临的攻击也比以往更复杂和多元化。除了传统的漏洞扫描、APP客户端逆向破解外,还会有大量的非法第三方APP请求、API接口滥用、撞库、批量注册、刷单、薅羊毛等业务相关的攻击,移动端的对抗也将进入下一阶段。
02 前端对抗持续增强
前端作为整个系统的大门,是Bots 攻防中双方必争之地,各种对抗手段不断涌现,可以预见后续前端对抗依然会持续,在以下几个领域的对抗将会持续升级:
JS保护
前端是一个非常透明的领域,所有JS代码均被下载到用户本地,JS代码防护手段已经由静态混淆发展到更高级别的动态混淆、虚拟机等技术防护,对于JS代码的保护和破解是接下来攻防双方重点关注的领域。
设备指纹
在人机识别和风控领域,稳定唯一的设备指纹是一个重要元素,攻击者会尝试各种手段来破坏指纹的稳定性,围绕设备指纹的争夺也会升级。
操作行为
无论是验证码还是无感验证,都是利用用户在页面的操作行为进行判断,例如键盘操作、 鼠标操作、页面停留时间等,Bots则会在这些方面尽可能地去模拟正常人的操作,如何有效地对模拟行为进行识别需要持续分析升级。
03 IoT 系统成为新兴攻击目标
智能家电、摄像头、路由器、车载系统等物联网 (IoT) 设备正在深入人们的生活,黑客利用自动化批量攻击的工具,可以快速获取大量IoT设备的控制权,IoT已然成为信息泄漏和DDOS攻击的生力军。根据相关数据显示,2019年全球IoT设备数量已经超过80亿台,预计2020年设备数量将会达到百亿台。一方面是设备数量的剧增,一方面是跟不上脚步的安全防护,这些设备自然也就成为了黑客眼中的肥羊。
04 API 滥用的推手
API 安全性早已跻身OWASP十大排行榜,并且仍有极大可能蝉联。据调查,目前每个企业平均管理超过350种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴。虽然开放API承担了拓宽企业技术和服务生态系统的责任,但同时也给了攻击者可乘之机。在Bots帮助下攻击者对API接口进行暴力破解、非法调用、代码注入等攻击的效率将会大提升,API接口滥用行为的防护需求将愈加凸显。
05 “内鬼”防不胜防
实际上,虽然企业多将大量资源集中用于应对来自外部的网络攻击,但相当多的安全事件却是由内网安全风险引发的。企业内部员工无意或蓄意地利用自动化工具及内网合法权限,拖取内部信息,操纵内网交易,进行、建立垃圾账号的事件屡见不鲜。我们有理由相信,在当前的经济环境中,面对高价值的企业数据,“内鬼”造成的恶性安全事件会越来越多,而Bots充当了“内鬼”们利用其合法身份,模拟合法业务操作进行窃密的利器。
06 云中斗争愈发激烈
云技术的发展对Bots的攻防产生着深刻的影响。一方面云资源成本的降低,让部署在云上的Bots成本也随之降低,进而带动攻击者部署更多的Bots;另一方面企业在上云之后,相比自建机房的环境更为开放,攻击面暴露得更多,遭受攻击的可能性也大大增加。因此在Bots数量上升和更多弱点暴露的两难境地之中,企业在上云之后如何进行有效的Bots防护管理将成为一个关注点。
07 AI 深度介入攻防过程
人工智能(AI)已经是网络安全届最热门的热点话题之一。一方面,过去劳动密集型和成本高昂的攻击,已经在基于AI的对抗学习以及自动化工具的应用下找到新的转型模式。另一方面,过去一年中以AI为基础的攻击检测工具得到长足发展,相比传统的策略,新型基于AI的攻击检测,可以发现更为隐蔽的攻击。可以预见,在自动化攻防领域基于AI的对抗也会越来越激烈。
Bots攻击已经日益成为了攻击主流,同时,伴随AI技术及平台化趋势的加强,越来越复杂的高级机器人攻击为网络安全行业带来了更为严峻的挑战。2019年围绕Bots攻防展开的对抗技术得到了长足发展,在接下来的时间里这一对抗依然会持续并增强。安全就像一场永无休止的攻防战,攻防两端永远在博弈,此消彼此,没有完结的一天。