隨著Bots自動化工具平臺化和AI化趨勢的加強(qiáng)，Bots攻擊的手段和覆蓋范圍在不斷增加，攻擊也變得更為高效和具有侵略性，由自動化工具發(fā)起的高效大規(guī)模攻擊大幅增加了行業(yè)和機(jī)構(gòu)在業(yè)務(wù)、應(yīng)用和數(shù)據(jù)層面的安全風(fēng)險(xiǎn)。

瑞數(shù)信息在《2021年Bots自動化威脅報(bào)告》中，對自動化威脅進(jìn)行了多角度分析，總結(jié)了自動化威脅呈現(xiàn)出的4大特征和5大典型場景。

一、2020年自動化威脅具備4大特征

相比2019年，2020年國內(nèi)Bots攻擊狀況依然十分嚴(yán)峻，攻擊者的工具、手段、效率都有了比較大的發(fā)展。尤其在疫情的影響下，遠(yuǎn)程辦公模式興起，直接增大了企業(yè)的攻擊面，借助自動化工具，攻擊者可在短時(shí)間內(nèi)以更高效、更隱蔽的方式對企業(yè)系統(tǒng)進(jìn)行漏洞探測，這就對企業(yè)安全防護(hù)提出了更高的要求。

特征一：API是攻擊者重點(diǎn)關(guān)注目標(biāo)

隨著企業(yè)業(yè)務(wù)的發(fā)展，訪問方式融合了 Web、APP、小程序等多種方式，而作為融合訪問基礎(chǔ)支撐的API也成為了攻擊者重點(diǎn)關(guān)注的目標(biāo)。Gartner預(yù)測，到2022年，API濫用將會是數(shù)據(jù)泄漏的主要渠道之一。同時(shí)OWASP也針對API推出了安全威脅排名和安全指導(dǎo)，API將會成為下一個(gè)攻擊熱點(diǎn)。毋庸置疑，API濫用和API攻擊問題將成為企業(yè)Web應(yīng)用數(shù)據(jù)泄露和業(yè)務(wù)風(fēng)險(xiǎn)的重大威脅。

特征二：應(yīng)用攻擊門檻進(jìn)一步降低

2020年各類掃描器、攻擊平臺層出不窮。在AI的輔助下，無論是在漏洞檢測的深度還是廣度上都有很大的提升。 尤其各類攻擊平臺集漏洞發(fā)現(xiàn)、利用、后門植入于一體，極大地提升了攻擊者的效率，應(yīng)用攻擊的門檻進(jìn)一步降低。

特征三：醫(yī)療衛(wèi)生部門攻擊明顯上升

疫情影響下, 針對國內(nèi)醫(yī)療衛(wèi)⽣部⻔的攻擊呈明顯上升趨勢 , 其中針對系統(tǒng)的漏洞掃描、DDoS、公示信息高頻度抓取等方面表現(xiàn)突出，來自境外攻擊量上升明顯，這也是去年疫情期間出現(xiàn)的一個(gè)安全熱點(diǎn)。

特征四：急速推進(jìn)數(shù)字化的風(fēng)險(xiǎn)

疫情之下，企業(yè)急速推進(jìn)業(yè)務(wù)數(shù)字化和遠(yuǎn)程化，但相應(yīng)的安全防護(hù)措施并未及時(shí)跟上，暴露面的增加為黑客開辟了更多可以獲取敏感數(shù)據(jù)的途徑，暗網(wǎng)中售賣的個(gè)人隱私數(shù)據(jù)和企業(yè)數(shù)據(jù)的事件呈指數(shù)級增長。

二、國內(nèi)Bots自動化威脅涉及5大場景

雖然OWASP對于自動化威脅的分類超過20種，但是瑞數(shù)信息根據(jù)國內(nèi)的情況進(jìn)行匯總分析，總結(jié)出了國內(nèi)政企機(jī)構(gòu)主要面臨的五類場景。

場景一：漏洞探測利用

對目標(biāo)系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞之后自動進(jìn)行利用。借助自動化工具，攻擊者可以在短時(shí)間內(nèi)以更高效、更隱蔽的方式對目標(biāo)進(jìn)行漏洞掃描和探測，尤其是對于0day/Nday漏洞的全網(wǎng)探測，將會更為頻繁和高效。

場景二：資源搶占

利用Bots自動化工具快速的優(yōu)勢，對有限的資源進(jìn)行搶占。比較常見的資源搶占包括：掛號、報(bào)名、購票、秒殺、薅羊毛等等。

場景三：數(shù)據(jù)搜刮

對公開和非公開數(shù)據(jù)進(jìn)行拖庫式抓取。例如各類公示信息、公民個(gè)人信息、信用信息等，抓取之后對數(shù)據(jù)進(jìn)行聚合收集，造成潛在大數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)由于數(shù)據(jù)的授權(quán)、來源、用途十分不透明，導(dǎo)致隱私侵權(quán)、數(shù)據(jù)濫用等問題越來越嚴(yán)重。

場景四：暴力破解

對登錄接口進(jìn)行高效的密碼破解，給系統(tǒng)信息安全帶來極大的危害。此類攻擊目標(biāo)范圍廣泛，除了我們熟知的各類電商、社交系統(tǒng)，還包括很多辦公系統(tǒng)，例如辦事網(wǎng)廳、企業(yè)郵箱、OA 系統(tǒng)、操作系統(tǒng)等等，幾乎所有具備登錄接口的系統(tǒng)都會成為攻擊目標(biāo)。

場景五：拒絕服務(wù)攻擊

常見的拒絕服務(wù)攻擊包括應(yīng)用DoS和業(yè)務(wù)DoS兩種類型，除了以往比較常見的分布式拒絕服務(wù)攻擊（DDoS）外，利用 Bots 來大量模擬正常人對系統(tǒng)的訪問，擠占系統(tǒng)資源，使得系統(tǒng)無法為正常用戶提供服務(wù)的業(yè)務(wù)層DoS也日漸興起。

結(jié)語
網(wǎng)絡(luò)安全攻防是一個(gè)持續(xù)的過程，面對猖獗的Bots自動化攻擊，“兵來將擋，水來土掩”的單一防護(hù)方法已力不從心。因此，瑞數(shù)信息建議將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅的管理架構(gòu)中，部署能夠針對自動化威脅進(jìn)行防護(hù)的新技術(shù)，借助動態(tài)安全防護(hù)、AI人工智能及威脅態(tài)勢感知等技術(shù)，提升Bots攻擊防護(hù)能力。