据应用安全厂商Imperva近期发布的2022 年恶意Bot流量报告显示,机器人流量占 2021 年所有互联网活动的 42.3%,高于 2020 年的 40.8%。其中,恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。
这些恶意机器流量正在被攻击者、竞争对手和网络欺诈犯罪分子们大肆利用,执行包括网络钓鱼、网页爬取、竞争性数据挖掘、个人和财务数据收集、分布式拒绝服务 (DDoS) 攻击、撞库攻击和交易欺诈等多项恶意活动。
该报告发现,恶意机器人流量总体上在频率、复杂性和强度上都在增长。
自2019年起恶意Bots 流量不断上升
Imperva威胁研究团队表示,早在2014年Bots流量就曾超过人为访问流量,这一数据在沉寂数年后,自2019年再次开始呈上升趋势,而2021年这一数据无限趋近,代表着恶意攻击流量即将对互联网健康生态造成严峻威胁。
报告指出,恶意Bots 流量的数量与网络犯罪率呈正相关的关系,利用恶意Bots访问通常是一次攻击计划中的最优先策略,其目的可能是试图监视目标网络,也可能是试图窃取用户凭证侵入企业内部。
在过去的十年里,恶意Bots攻击手段已经变得十分先进,他们将自身混合在正常业务的机器流量中以逃避规则检测,在某些情况下,恶意Bots还会利用非常复杂的技术方式伪装成人为访问,更高级的恶意Bots还可以使用经过修改的网络浏览器,模仿人类的鼠标移动和点击,定期更改IP地址以及时间请求等信息,来欺骗和绕过防火墙的检测。
2021年最大的恶意Bots攻击发生在 2022 年 1 月,该攻击利用超过 400,000 个 IP 地址在一段时间内以 4 亿次登录尝试淹没了一个工作列表网站。同时,恶意Bots背后的操纵者们也在寻找新的攻击途径,例如在一起攻击事件中,试图骗取学生们的助学金。
Imperva威胁研究团队发现,恶意Bots的活动还存在一些规律性。比如,恶意Bots流量在全年中是不断波动变化的,每年的12月份,恶意Bots流量会达到峰值,攻击者似乎会在元旦前大肆发起攻击,对消费者和购物平台展开交易欺诈。据统计,2021年12月,恶意Bots流量占所有互联网活动的 30%,高于年初的 24%,再次为这一规律现象提供了佐证。
在行业特征方面,恶意Bots活动也具备一定的规律性。与 2020 年的数据相比,体育、赌博和食品饮料网站的恶意Bots流量均增长了 20% 以上。最复杂的恶意Bots机器人则越来越多地将注意力转向旅游、零售、汽车、教育和政府网站。
在区域特征方面,美国是恶意Bots流量最大的国家,排在第二位的目标是澳大利亚,占比约为 6.8%。
恶意Bots瞄准用户凭证转向撞库攻击
该报告发现,2021年恶意Bots流量的增加大部分都指向撞库攻击活动,该类攻击在 2021 年增加了 148%,攻击手段已经从传统的暴力匹配发展到利用数据泄露事件中的凭证数据来尝试进行“凭证填充”。
统计数据显示,包括美国、新加坡、法国、波多黎各和智利都是遭遇恶意撞库攻击最多的国家;相比其他行业,金融服务和旅游网站更容易成为此类攻击的目标;最先进的恶意Bots表现出了对旅游和零售网站的强烈偏好。
但无论怎样,美国仍然是恶意Bots攻击最广泛的国家,据估计,该国 22% 的居民(超过 2400 万户家庭)都曾经历过账户被盗的事件。
Imperva 表示,种种迹象表明,恶意Bots攻击还将继续呈上升趋势,在短期内仍然是组织面临的安全难题。
应对自动化Bots 威胁需要更自动化的防御手段
安全419了解到,国内一家应用安全厂商瑞数信息在恶意Bots流量方面同样有着深入研究和洞察。针对不断升级的Bots自动化攻击威胁,瑞数信息提出了以动态技术管控Bots自动化威胁的防御理念。
基于该防御理念,瑞数信息此前曾推出下一代WAF - WAAP平台,以“动态安全引擎”+“智能威胁检测引擎”+“规则引擎”三大引擎协同工作,在提供传统Web安全防御能力的同时,助力客户应对新兴和快速变化的Bots攻击、0day攻击、应用DDoS攻击和API安全防护。突破了传统WAF难以应对复杂、隐蔽的自动化攻击的瓶颈,直指现阶段攻防对战的痛点。
该平台能够帮助企业组织高效抵御由自动化工具发起的高效大规模攻击,如恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等,保障在业务、应用和数据层面的安全升级。
随着企业对网络安全的愈加重视和新一代信息技术的深度应用,网络安全将是一场永无休止的全面战争。在未来的网络安全中,企业将面临越来越多和更加复杂的自动化攻击,同样也只有更智能、更主动的防御手段,才能在AI驱动的自动化攻击面前建立起坚实的防线。