警示一:政府、金融、運(yùn)營商、互聯(lián)網(wǎng)行業(yè)成為Bots攻擊重災(zāi)區(qū)
報(bào)告顯示,政府、金融、運(yùn)營商和互聯(lián)網(wǎng)行業(yè)是Bots自動化攻擊的重災(zāi)區(qū),政府行業(yè)以超過65%的Bots請求占比位居第一,緊隨其后的金融、運(yùn)營商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過了60%。
從Bots攻擊來源來看,Bots攻擊來源最多的省份是江蘇,河南、浙江,廣東緊隨其后。這和當(dāng)?shù)氐腎DC、ISP提供商的營銷策略不無關(guān)系。而來自境外的攻擊中,美國以超過75%的占比高居榜首。
警示二:難以直接封殺的IP秒撥
作為互聯(lián)網(wǎng)空間最基礎(chǔ)的身份標(biāo)識,IP一直是黑產(chǎn)和企業(yè)爭奪對抗最激烈的攻防點(diǎn)。隨著黑產(chǎn)技術(shù)的快速升級和攻防節(jié)奏的加快,秒撥IP資源成為了當(dāng)下主流的黑產(chǎn)IP資源,被廣泛用于批量注冊、登錄、投票、刷量等短時(shí)間內(nèi)需要大量IP資源的風(fēng)險(xiǎn)場景,而且由于其難以識別的特性,也已經(jīng)對當(dāng)前的互聯(lián)網(wǎng)安全造成了巨大危害。
報(bào)告指出,雖然來自IDC機(jī)房的IP依然是攻擊的主力,但隨著對抗的升級,在一些高級別對抗中,IP地址已經(jīng)在向更為隱蔽、難以直接封殺的家庭IP、基站IP轉(zhuǎn)移。相比傳統(tǒng)的IDC代理技術(shù),這些IP地址隱藏在真實(shí)的用戶中,使得IP信譽(yù)檢測的效果大打折扣,基于IP的攔截也會投鼠忌器。
警示三:更隱蔽的Bots身份聲明
為提高攻擊效率,Bots攻擊者不斷在嘗試?yán)酶鞣N各樣的手段來繞過檢測措施,比如通過修改User-Agent來隱藏自己真實(shí)的身份信息。
通過對Bots的UA進(jìn)行分析,可以發(fā)現(xiàn)Windows是半數(shù)以上Bots的首選操作系統(tǒng)(52.3%),而Chrome則是它們最喜歡使用的"馬甲"。
警示四:高歌猛進(jìn)的APBs
隨著各種Bots對抗技術(shù)的涌現(xiàn),很多場景下簡單的腳本工具已經(jīng)沒有用武之地,為了繞過各種防護(hù)手段,Bots也正由簡單腳本向高級持續(xù)性機(jī)器人(APBs)不斷演進(jìn)。根據(jù)觀察,APBs產(chǎn)生的流量在總Bots流量中的占比已經(jīng)達(dá)到23.16%,隨著對抗的升級,這一比例還會繼續(xù)上升。
相對于普通Bots,APBs具備多種多樣的"反反自動化攻擊"能力,自動更換IP、特征隱藏、擬人化操作、驗(yàn)證碼識別等技術(shù)已然成為標(biāo)配。在一些對抗比較激烈的場景,例如薅羊毛、爬蟲、搶報(bào)名等,APBs已經(jīng)大規(guī)模應(yīng)用。
APBs進(jìn)化路線
為了繞過客戶端的檢測,并對網(wǎng)頁中JS等程序進(jìn)行執(zhí)行,攻擊者會通過自動化框架來完全模擬真實(shí)瀏覽器。據(jù)瑞數(shù)信息監(jiān)測統(tǒng)計(jì),目前應(yīng)用最廣泛的是WebDriver類框架,Headless Chrome、PhantomJS、NodeJS等也在大量應(yīng)用。
同時(shí),通過瑞數(shù)信息動態(tài)安全Botgate對客戶端真實(shí)環(huán)境的驗(yàn)證發(fā)現(xiàn),Chrome內(nèi)核仍然是APBs的首選。
警示五:更高的0day/Nday漏洞探測利用效率
漏洞的快速曝光和利用給企業(yè)帶來了極大的威脅。漏洞公布之后,隨之而來的漏洞探測會迅速在互聯(lián)網(wǎng)上批量嘗試,幾乎所有漏洞利用會在1天之內(nèi)就被廣泛傳播。而作為發(fā)現(xiàn)后即可立即被利用的安全漏洞,0day漏洞往往具有更大的突發(fā)性和破壞性。
隨著開源和商業(yè)漏洞利用工具的發(fā)展,0day/Nday漏洞利用工具的獲取難度在持續(xù)降低,但工具發(fā)布更新的頻率卻在迅速提升。尤其對于一些重量級的0day漏洞,首次探測高峰已經(jīng)由POC披露后1周,提前到POC披露之前,這也讓企業(yè)更加難以有效應(yīng)對。
警示六:移動端攻擊的崛起
隨著企業(yè)越來越多的業(yè)務(wù)系統(tǒng)向移動端遷移,黑客的攻擊重心也必須向移動端轉(zhuǎn)移,各類改機(jī)工具、破解框架、模擬器、群控、云控、IMEI偽造、GPS偽造等攻擊手段層出不窮。
報(bào)告顯示,移動平臺的Bots最大來源城市為成都,南方城市總體較北方城市發(fā)起了更多移動端Bots攻擊。
就移動端的攻擊載體而言,Bots攻擊呈現(xiàn)出對經(jīng)濟(jì)成本、系統(tǒng)破解難易度等方面的依賴。市場占有率更高、價(jià)格更低廉、破解難度更低的Android系統(tǒng)明顯比iOS得到更多Bots攻擊者的偏愛。
移動端Bots攻擊來源平臺分布
移動端Bots攻擊來源手機(jī)品牌分布
目前,Bots自動化攻擊正在日益成為攻擊者最青睞的攻擊形式,免費(fèi)、簡單、高效,是攻擊者越來越偏愛自動化的主要原因。黑客論壇或網(wǎng)站上發(fā)布的免費(fèi)自動化腳本工具,以及破壞力極強(qiáng)但卻不需要攻擊者擁有深厚代碼功底的自動化攻擊工具都可以為攻擊者所用,發(fā)起越來越復(fù)雜且成功率更高的自動化攻擊。
在未來的攻防對抗中,企業(yè)也將會面臨越來越多的自動化攻擊。因此企業(yè)在應(yīng)用及業(yè)務(wù)安全的防御策略上,除了加強(qiáng)基礎(chǔ)風(fēng)控的建設(shè),也應(yīng)當(dāng)將Bots管理納入其中,借助動態(tài)安全防護(hù)、AI人工智能、威脅態(tài)勢感知等新技術(shù),高效防御各類數(shù)字時(shí)代的新興威脅。
