7月6日,国内动态安全技术和Bots自动化攻击防护领域专业厂商瑞数信息发布了《2022 Bots自动化威胁报告》(以下简称“报告”)。该报告从Bots威胁场景、发展态势、攻击特征等多个方面进行深度分析,剖析多个行业的Bots(机器人)自动化攻击案例,并对2022年Bots自动化威胁发展趋势做出了最新研判。
该报告编写团队表示,作为Bots自动化威胁防护领域的专业安全厂商,瑞数信息发现,随着IT技术和应用的数智化,IT运营的自动化发展,Bots自动化威胁的发展也必将相伴而生,手段也会更加丰富、复杂、高级、智能。因此,瑞数信息希望希望把大家还没有关注到的Bots威胁和攻击手法引入行业视野,帮助各行业用户识别和防御新兴的网络威胁。
同时,瑞数信息希望通过这份报告向业界传递更多自身关于威胁变化的感知和理解,以提醒企业用户关注威胁变化和安全技术的创新,关注最佳实践,以思考新老技术如何在企业自身环境中的有效结合。同时也将相关的经验和研究成果输送给安全行业的厂商、服务商,充分利用各自所长,形成互补增强、充分融合、完整全面的解决方案,分享自身对企业安全建设的参考,合力应对复杂的网络攻击形势。
(识别二维码查看报告)
2021年国内Bots攻击状况依然十分严峻和突出,各个行业的各类自动化攻击和事件层出不穷,攻击者的工具、手段、效率都有了较大的发展。随着全球疫情的持续发展以及网络技术的快速迭代和发展,企业数字化转型步伐明显加速,远程办公的逐渐日常化,也给黑客组织和灰黑产行业创造了更多机会。API安全、勒索软件、软件供应链、0day/Nday攻击智能常态化、云安全、小程序安全等领域的危机日益凸显,网络安全和自动化安全形式更加严峻。
报告中提到,2021年Bots攻击隐蔽性达到了新高度。从Bots攻击发起的地理位置上分析,Bots 攻击来源相当分散,境内仍然以沿海经济发达地区为主,广东占比超过10%,成为国内Bots攻击来源地区Top1,其次分别为江苏、浙江、安徽、山东和北京。值得一提的是,随着全国各地加大对于网络、数字化、IT 基础设施的建设,四川、江西等地也正在成为IP代理的重要地区。
来自境外的攻击中,美国依然占据榜首,来自美国的攻击占比超过 60%,其次为日本、俄罗斯、韩国、新加坡。
根据2021年Bots自动化攻击趋势变化,报告重点提出了四点核心观察:
—、API 成为攻击的优选入口 攻防博弈的新热点
API正在成为实现商业创新和数字化转型的核心技术手段,其连接的已不仅是系统和数据,还有企业、客户、合作伙伴,甚至整个商业生态,成为当下网络应用流量的重要出入口。而API 配置使用不当和 API 漏洞利用引发的攻击和数据安全风险也在迅速上升。API 具备“程序”和自动化属性,可携带和透视重要数据的机制,获得越来越多黑客的青睐,并成为黑客实现自动化“高效攻击”的首选。
图:数据交换接口、登录接口、注册接口、验证码接口等是API攻击的重灾区
二、自动化手段的加持 勒索攻击呈现平台化和服务化
2021 年以来勒索软件攻击最为猖獗,已经成为数据层面最严重的“病毒”。勒索软件漏洞数量迅速上升,大量的勒索软件开始结合更广范围的漏洞发现和零日漏洞,实现攻击感染自动化和一体化。通过平台提供勒索软件即服务的方法开始涌现,使得勒索攻击组织更加专业化,高效率,对全球制造业、服务业、医疗、金融、工控和政府机构等产生严重影响。
三、0day 攻击更具杀伤力 供应链安全问题升级
2021 年,全球安全漏洞数量依旧保持快速上涨,尤其针对供应链组件的 0day/Nday漏洞攻击也在进一步泛滥。2021 年 12 月爆发的 Log4j 核弹级漏洞,已经成为全年最严重的漏洞应急响应事件之一,0day 攻击、供应链、自动化,当这三要素叠加时,带来的后果不容小觑。
四、自动化威胁防护要求 逐渐上升到法律高度
2021年,《数据安全法》、《个人信息保护法》正式发布实施,更多数据安全操作层面的规范条例也在加快制定和出台。对于可能对网络正常服务带来影响的自动化工具的访问,以及造成数据安全风险的自动化工具收集数据行为的要求,也首次在《网络数据安全管理条例》( 征求意见稿 ) 的相关要求中出现。多起恶意爬虫对企业造成影响的司法判例的曝光,也在进一步加快数据安全法律法规的普及教育和落地执行。
Bots攻击流量呈现明显的上升趋势
自动化攻击形势日趋严峻
数据显示,综合各行各业的网络请求流量来看, Bots 产生的流量明显高于正常访问流量,相比2019 年的 55.35%和2020年的 57.62%,2021 年 Bots 访问占比持续上升至59.71%,其中,公示类系统和服务提供类系统依然是 Bots 攻击的头号目标,恶意机器人比例进一步提升。
图: 2021年恶意Bots流量已高于正常人类访问流量
报告指出,在“十四五”规划以及数字化浪潮的驱动下,伴随着大数据、5G、云计算、人工智能等技术发展,各行各业都开始“互联网+”的服务。同时在疫情的持续影响下,远程办公、在线教育、在线医疗、直播带货、社区团购等产业快速崛起,Bots 的攻击态势也发生了变化,主要体现在:
· 0day/Nday 攻击持续增加,有了自动化和智能化的加持,精准高效、更高隐藏性的探测和攻击利用被实现。
· 攻击面不断扩大,隐藏在后端的 API 接口已经成为攻击焦点,大量的数据泄露事件由 API 攻击引发。
· 极具破坏性的勒索事件接二连三的发生,勒索软件结合安全漏洞实现自动化探测漏洞利用加感染,已经形成独有的攻击体系。
· 双云化,在越来越多的组织、系统和服务云化的同时,攻击者也在将攻击平台迁移上云,云原生服务的开发和应用为攻击方式增加了多样性,针对云服务和来自于云平台攻击的流量都明显增多。
图:恶意机器人针对不同行业的攻击态势
2022年Bots自动化威胁六大趋势
基于Bots攻击不断升级的严峻形势,报告针对Bots自动化威胁趋势给出了六大趋势预测,从漏洞挖掘、供应链攻击、勒索软件、数据安全、API安全、业务欺诈六个方面进行了重点解析。
安全漏洞挖掘和探测持续增加
攻击者加强0day漏洞侦查能力
网络空间中,大部分的安全问题都源自Web。攻击者普遍会利用Web应用漏洞对企业进行渗透,以达到控制整个网络、获取大量有价值信息的目的。2022年,安全漏洞数量还将不断增加,甚至变得越来越复杂。攻击者利用安全漏洞的攻击行为将变本加厉,尤其借助自动化的工具,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,使得企业面临更为严重的安全风险和损失。
同时,攻击者会进一步加大事前的努力,在攻击准备阶段花费更多的时间和精力来搜寻0day 漏洞,特别是攻击影响力更大、投入产出更高的软件供应链漏洞,并利用新的技术将攻击扩展到更广泛的网络环境,无疑加大了企业应用防护的难度。
供应链安全告急
下一代Web应用供应链攻击正在到来
随着开源、云原生等技术的大范围应用,下一代软件供应链威胁也正在逐渐爆发。据Forrester研究表明,应用软件80%-90%的代码来自开源组件。全球对开源代码的旺盛需求,将导致Web应用供应链攻击在2022年进一步成熟,范围扩大,并且更加复杂,预计使用恶意软件进行Web应用供应链攻击的数量将不断攀升。
同时,下一代Web应用供应链攻击正在到来,其显著特点是刻意针对“上游”开源组件,进行更主动的攻击,攻击者会主动将新的漏洞注入为供应链提供支持的开源项目中。因此,下一代Web应用供应链攻击将更加隐蔽,也将有更多的时间对下游企业展开攻击,危险性将更高。
勒索软件数量继续上升
勒索软件对医疗行业的攻击将持续加剧
2022年勒索软件数量还将显著增长,攻击者的数量也将达到空前的程度。同时,勒索软件攻击也将迅速蔓延至整个攻击面,勒索软件威胁将无处不在。从行业影响看,勒索软件攻击对金融、教育、医疗等各行各业构成了严重威胁,但医疗机构因其丰富的医疗设备和患者信息成为了攻击者的最佳目标。据FBI发布的安全通告显示,在过去一年内至少发现了16起针对美国医疗和应急响应机构的Conti勒索软件攻击,该勒索软件在全球攻击了超过400家医疗和应急响应机构。2022年,勒索软件对医疗行业的攻击还将持续加剧。在这种形势下,医疗机构的IT团队将面临空前挑战。
数据安全风险加剧
应用数据安全将面临更大挑战
2022年,数据泄露还将继续增加,规模会更大,各国政府和企业将付出更多的代价来进行恢复,损失的成本不仅限于事件响应成本、数据备份成本、系统升级成本,还包括声誉损失成本、法律风险成本等隐性成本,其损失甚至数倍、数十倍于显性损失。数据泄露的主要原因源于 Web 应用程序攻击、网络钓鱼和勒索软件。其中,对Web应用程序的攻击仍是黑客行为的主要攻击方向。2022年,应用安全依然面临挑战,尤其是数据在应用中的安全值得企业重点关注。
API攻击成为恶意攻击首选
利用API欺诈、API 滥用将成为最常见攻击方式
在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,支撑着用户早已习惯的互动式数字体验。根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统Web页面,API的攻击成本更低, 越来越多的黑客开始利用API进行业务欺诈。
事实上,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式,为API构建安全防护体系势在必行。
业务欺诈变本加厉
AI技术将广泛用于欺诈,新型团伙欺诈频出
在社会高度智能化、技术应用门槛越来越低的今天,AI也成为诈骗者的目标和帮凶。伪造邮件、克隆声音、电话诈骗、人脸伪造等利用AI技术的业务欺诈手段层出不穷,反AI欺诈已经成为一个社会性的问题。随着互联网行业快速发展,新型业务欺诈来势汹汹,呈现出团伙化、跨境化、精准化、多样化等特征,出现了如公共Wi-Fi欺诈、刷单薅羊毛、线下人力资源机构黑产、投资理财类诈骗、虚假交易网站诈骗、虚假中奖类等多种欺诈案例,给企业和个人造成了巨大的损失。据Juniper Research研究发现,在2021年至2025年期间,在线支付欺诈造成的商家损失将累计超过2060亿美元,这个数字相当于亚马逊2020财年净收入的近10倍。在未来,如何以“魔法打败魔法”,用技术手段来解决新型业务欺诈问题,将成为市场和行业共同努力的方向。
以WAAP平台+基于AI的行为检测双管齐下
全面管控Bots自动化安全风险
基于2022年恶意Bots自动化威胁可能带来的安全风险,报告从两大方面为政企机构提供了防护建议。
报告提到,随着企业数字化进程的不断加速,更多的门户网站、核心业务、交易平台等日益依赖Web、APP、H5、微信等多渠道开展。与此同时,越来越多的开放性API业务也正在蓬勃发展。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类工具化、智能化、拟人化的Bots攻击对数字化业务的影响也在快速攀升。然而,现有的Web安全服务彼此之间常常出现难以融合的局面,无法实现统一的安全服务闭环。
另一方面,传统安全主要基于攻击特征与行为规则实行被动式防御,在灵活的黑客面前已逐渐失效,不仅是0day攻击、各类应用和业务欺诈,在数据泄露和勒索层面更是堪忧;同时攻防对抗水涨船高,防守方规则的构造和维护门槛高、成本大。
因此,瑞数信息建议将Bots管理纳入到企业应用和业务威胁的管理架构中,部署能够针对自动化威胁进行防护的新技术,借助平台化的WAAP管控方案、AI人工智能及威胁态势感知等技术,提升Bots攻击防护能力。让安全能力从主动防御,提升到可持续安全对抗的新台阶,高效防护各类数字化时代的新兴威胁。
瑞数信息专家认为,传统WAF技术面临各种挑战,单一的WAF产品已不足以解决无处不在的安全风险,防御新的威胁需要一种整体的、集成的安全方法,即从WAF走向WAAP,将本地、各类云端充分整合,支持WAF、Bots管理、API防护独立或联合部署,提供多层级的联动防御机制,令企业安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御。
在AI人工智能技术增强方面,瑞数信息安全专家认为,基于AI技术对用户行为模式进行智能分析与识别,将不再受制于复杂繁琐的攻击特征与行为规则。因此应进一步扩大AI技术使用场景,不仅应用于攻击趋势预判、高隐蔽性异常行为透视、未知威胁行为溯源等更智能的安全分析,也可以加强对于数据的破坏、篡改、加密勒索等数据威胁行为的识别检测,并通过更实时的安全预警及安全联防进一步缩短响应时间,提升攻击门槛,在攻防格局中处于主动位置。