隨著自動化攻擊手段的發(fā)展，業(yè)務系統(tǒng)面臨的攻擊類型也越來越多，OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動化威脅已達到21種之多。但同時，相對于傳統(tǒng)安全攻防，企業(yè)普遍缺乏對于Bots攻擊的認知和防護，這就進一步加劇了Bots攻擊帶來的危害。

日前，瑞數(shù)信息重磅發(fā)布了《2020Bots自動化威脅報告》，其中結合國內(nèi)的業(yè)務系統(tǒng)和攻擊者的特點，從Bots攻擊最主要的關注點和對業(yè)務影響的角度，提取出了五大Bots自動化威脅場景，為企業(yè)應對Bots自動化威脅及評估業(yè)務安全防護能力提供了極具意義的見解。

場景一：漏洞探測利用

隨著Bots自動化工具的強勢發(fā)展和應用，漏洞攻擊不再是高級黑客組織的專屬，而開始趨向“低成本、高效率”的模式。365*24全年無休的高強度漏洞掃描不會放過任何系統(tǒng)中的薄弱環(huán)節(jié)，無論是已知漏洞，還是零日漏洞，自動化Bots工具都可以隨時隨地進行探測，往往他們比企業(yè)自己還更了解系統(tǒng)的安全態(tài)勢。

同時，漏洞的快速曝光和利用給企業(yè)帶來了極大威脅。一個漏洞公布之后，隨之而來的漏洞探測會迅速在互聯(lián)網(wǎng)上批量嘗試，幾乎所有漏洞利用會在1天之內(nèi)就被廣泛傳播。與此同時，對于0day漏洞，首次探測高峰已經(jīng)由POC發(fā)布后的一周，提前到POC發(fā)布之前，這也令企業(yè)難以有效應對。

場景二：資源搶占

醫(yī)院掛號、學校報名、網(wǎng)絡購票、優(yōu)惠秒殺……需要“搶”資源的場景幾乎可以出現(xiàn)在人們?nèi)粘Ｉ钪械姆椒矫婷?。但是當Bots自動化工具出現(xiàn)，這場競爭的性質(zhì)就截然不同了。Bots自動化工具不僅可以模擬正常操作邏輯，還憑借“批量、快速”的優(yōu)勢，使得普通用戶全無勝算，從而大量搶占有限的社會資源，扭曲了社會資源的公平分配，嚴重擾亂了企業(yè)的正常運營和人們的日常生活。

某報名活動，在開啟報名通道后的10分鐘內(nèi)，即被黑產(chǎn)組織利用自動化工具發(fā)起超過200萬次搶占請求。

某企業(yè)在促銷期間，APP異常下載請求總數(shù)超過42.9萬，每小時請求數(shù)十分平均，使用工具發(fā)起的請求特征明顯。

場景三：數(shù)據(jù)聚合

近年來，由于大數(shù)據(jù)處理和數(shù)據(jù)挖掘技術的發(fā)展，數(shù)據(jù)資產(chǎn)價值的概念深入人心。越來越多的公司或組織對公開和非公開的數(shù)據(jù)進行拖庫式抓取，對數(shù)據(jù)進行聚合收集，造成潛在的大數(shù)據(jù)安全風險。同時，數(shù)據(jù)授權、來源、用途不透明，隱私侵權、數(shù)據(jù)濫用等問題也越來越嚴重。

以政府行業(yè)為例，“互聯(lián)網(wǎng)+政務”服務開放了大量數(shù)據(jù)查詢服務，而這些數(shù)據(jù)經(jīng)過聚合之后，可以成為具有極高價值的國家級大數(shù)據(jù)，因此大量黑產(chǎn)和境外機構利用Bots自動化工具進行大規(guī)模數(shù)據(jù)拖取，國家級大數(shù)據(jù)已然成為高級Bots的云集之地。一旦這些數(shù)據(jù)被非法濫用，將會帶來巨大危害。

某公示系統(tǒng)，全體24小時遭受爬蟲的高強度訪問，爬蟲訪問占比超過78%。

場景四：暴力破解

“賬號密碼”是系統(tǒng)防護措施中的重要一環(huán)，也一直高居攻擊者最想竊取的內(nèi)容榜首，而破解密碼的一個最簡單的方法就是暴力破解。目前網(wǎng)上泄漏的各類賬號密碼庫基本都以TB為單位，而借助泛濫的Bots自動化工具，字典破解或撞庫的成功率則大幅上升，電商、社交媒體、企業(yè)郵箱、OA系統(tǒng)、操作系統(tǒng)等具有登錄接口的系統(tǒng)都是此類攻擊的目標。

攻擊者可以輕松利用被曝光的包括登錄名/密碼組合在內(nèi)的個人數(shù)據(jù)，在短時間內(nèi)對數(shù)百個不同的網(wǎng)站不斷進行登錄驗證，試圖盜用賬號，乃至發(fā)起進一步攻擊并從中獲利或者獲取更多的個人身份關聯(lián)信息等有價數(shù)據(jù)。

場景五：拒絕服務攻擊

拒絕服務攻擊(DOS)已經(jīng)是一個老生常談的問題，傳統(tǒng)針對DOS的防護主要集中在流量層面的分布式拒絕服務攻擊(DDOS)對抗上，這一類攻擊由于攻擊特征相對明顯，危害雖大，但企業(yè)也大多已經(jīng)具備了相對完善的應對措施。

然而近些年興起的業(yè)務層DOS攻擊，則是攻擊者利用Bots自動化工具來大量模擬正常人對系統(tǒng)的訪問，從而大量消耗系統(tǒng)資源，使得系統(tǒng)無法為正常用戶提供服務。由于業(yè)務層的DOS攻擊從流量上看完全是正常的請求，沒有明顯的攻擊特征，因此給企業(yè)防護帶來了很大的難度。攻擊者利用自動化Bots工具，通過對車票、機票進行循環(huán)下單但不付款的方式霸占所有座位，造成無票可售的現(xiàn)象就是一個典型案例。

未來隨著Bots對抗的不斷升級，我們相信，越來越多的攻擊場景會給企業(yè)帶來更大挑戰(zhàn)，攻防也將是一個持續(xù)的過程。因此瑞數(shù)信息建議企業(yè)將Bots管理納入到企業(yè)應用和業(yè)務威脅的管理架構中，部署能夠針對自動化威脅進行防護的新技術，借助動態(tài)安全防護、AI人工智能及威脅態(tài)勢感知等技術，提升Bots攻擊防護能力，構建基于業(yè)務邏輯、用戶、數(shù)據(jù)和應用的可信安全架構。