警示一:政府、金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)行業(yè)成為Bots攻擊重災(zāi)區(qū)
報(bào)告顯示,政府、金融、運(yùn)營(yíng)商和互聯(lián)網(wǎng)行業(yè)是Bots自動(dòng)化攻擊的重災(zāi)區(qū),政府行業(yè)以超過(guò)65%的Bots請(qǐng)求占比位居第一,緊隨其后的金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過(guò)了60%。
從Bots攻擊來(lái)源來(lái)看,Bots攻擊來(lái)源最多的省份是江蘇,河南、浙江,廣東緊隨其后。這和當(dāng)?shù)氐腎DC、ISP提供商的營(yíng)銷策略不無(wú)關(guān)系。而來(lái)自境外的攻擊中,美國(guó)以超過(guò)75%的占比高居榜首。
警示二:難以直接封殺的IP秒撥
作為互聯(lián)網(wǎng)空間最基礎(chǔ)的身份標(biāo)識(shí),IP一直是黑產(chǎn)和企業(yè)爭(zhēng)奪對(duì)抗最激烈的攻防點(diǎn)。隨著黑產(chǎn)技術(shù)的快速升級(jí)和攻防節(jié)奏的加快,秒撥IP資源成為了當(dāng)下主流的黑產(chǎn)IP資源,被廣泛用于批量注冊(cè)、登錄、投票、刷量等短時(shí)間內(nèi)需要大量IP資源的風(fēng)險(xiǎn)場(chǎng)景,而且由于其難以識(shí)別的特性,也已經(jīng)對(duì)當(dāng)前的互聯(lián)網(wǎng)安全造成了巨大危害。
報(bào)告指出,雖然來(lái)自IDC機(jī)房的IP依然是攻擊的主力,但隨著對(duì)抗的升級(jí),在一些高級(jí)別對(duì)抗中,IP地址已經(jīng)在向更為隱蔽、難以直接封殺的家庭IP、基站IP轉(zhuǎn)移。相比傳統(tǒng)的IDC代理技術(shù),這些IP地址隱藏在真實(shí)的用戶中,使得IP信譽(yù)檢測(cè)的效果大打折扣,基于IP的攔截也會(huì)投鼠忌器。
警示三:更隱蔽的Bots身份聲明
為提高攻擊效率,Bots攻擊者不斷在嘗試?yán)酶鞣N各樣的手段來(lái)繞過(guò)檢測(cè)措施,比如通過(guò)修改User-Agent來(lái)隱藏自己真實(shí)的身份信息。
通過(guò)對(duì)Bots的UA進(jìn)行分析,可以發(fā)現(xiàn)Windows是半數(shù)以上Bots的首選操作系統(tǒng)(52.3%),而Chrome則是它們最喜歡使用的"馬甲"。
警示四:高歌猛進(jìn)的APBs
隨著各種Bots對(duì)抗技術(shù)的涌現(xiàn),很多場(chǎng)景下簡(jiǎn)單的腳本工具已經(jīng)沒有用武之地,為了繞過(guò)各種防護(hù)手段,Bots也正由簡(jiǎn)單腳本向高級(jí)持續(xù)性機(jī)器人(APBs)不斷演進(jìn)。根據(jù)觀察,APBs產(chǎn)生的流量在總Bots流量中的占比已經(jīng)達(dá)到23.16%,隨著對(duì)抗的升級(jí),這一比例還會(huì)繼續(xù)上升。
相對(duì)于普通Bots,APBs具備多種多樣的"反反自動(dòng)化攻擊"能力,自動(dòng)更換IP、特征隱藏、擬人化操作、驗(yàn)證碼識(shí)別等技術(shù)已然成為標(biāo)配。在一些對(duì)抗比較激烈的場(chǎng)景,例如薅羊毛、爬蟲、搶報(bào)名等,APBs已經(jīng)大規(guī)模應(yīng)用。
APBs進(jìn)化路線
為了繞過(guò)客戶端的檢測(cè),并對(duì)網(wǎng)頁(yè)中JS等程序進(jìn)行執(zhí)行,攻擊者會(huì)通過(guò)自動(dòng)化框架來(lái)完全模擬真實(shí)瀏覽器。據(jù)瑞數(shù)信息監(jiān)測(cè)統(tǒng)計(jì),目前應(yīng)用最廣泛的是WebDriver類框架,Headless Chrome、PhantomJS、NodeJS等也在大量應(yīng)用。
同時(shí),通過(guò)瑞數(shù)信息動(dòng)態(tài)安全Botgate對(duì)客戶端真實(shí)環(huán)境的驗(yàn)證發(fā)現(xiàn),Chrome內(nèi)核仍然是APBs的首選。
警示五:更高的0day/Nday漏洞探測(cè)利用效率
漏洞的快速曝光和利用給企業(yè)帶來(lái)了極大的威脅。漏洞公布之后,隨之而來(lái)的漏洞探測(cè)會(huì)迅速在互聯(lián)網(wǎng)上批量嘗試,幾乎所有漏洞利用會(huì)在1天之內(nèi)就被廣泛傳播。而作為發(fā)現(xiàn)后即可立即被利用的安全漏洞,0day漏洞往往具有更大的突發(fā)性和破壞性。
隨著開源和商業(yè)漏洞利用工具的發(fā)展,0day/Nday漏洞利用工具的獲取難度在持續(xù)降低,但工具發(fā)布更新的頻率卻在迅速提升。尤其對(duì)于一些重量級(jí)的0day漏洞,首次探測(cè)高峰已經(jīng)由POC披露后1周,提前到POC披露之前,這也讓企業(yè)更加難以有效應(yīng)對(duì)。
警示六:移動(dòng)端攻擊的崛起
隨著企業(yè)越來(lái)越多的業(yè)務(wù)系統(tǒng)向移動(dòng)端遷移,黑客的攻擊重心也必須向移動(dòng)端轉(zhuǎn)移,各類改機(jī)工具、破解框架、模擬器、群控、云控、IMEI偽造、GPS偽造等攻擊手段層出不窮。
報(bào)告顯示,移動(dòng)平臺(tái)的Bots最大來(lái)源城市為成都,南方城市總體較北方城市發(fā)起了更多移動(dòng)端Bots攻擊。
就移動(dòng)端的攻擊載體而言,Bots攻擊呈現(xiàn)出對(duì)經(jīng)濟(jì)成本、系統(tǒng)破解難易度等方面的依賴。市場(chǎng)占有率更高、價(jià)格更低廉、破解難度更低的Android系統(tǒng)明顯比iOS得到更多Bots攻擊者的偏愛。
移動(dòng)端Bots攻擊來(lái)源平臺(tái)分布
移動(dòng)端Bots攻擊來(lái)源手機(jī)品牌分布
目前,Bots自動(dòng)化攻擊正在日益成為攻擊者最青睞的攻擊形式,免費(fèi)、簡(jiǎn)單、高效,是攻擊者越來(lái)越偏愛自動(dòng)化的主要原因。黑客論壇或網(wǎng)站上發(fā)布的免費(fèi)自動(dòng)化腳本工具,以及破壞力極強(qiáng)但卻不需要攻擊者擁有深厚代碼功底的自動(dòng)化攻擊工具都可以為攻擊者所用,發(fā)起越來(lái)越復(fù)雜且成功率更高的自動(dòng)化攻擊。
在未來(lái)的攻防對(duì)抗中,企業(yè)也將會(huì)面臨越來(lái)越多的自動(dòng)化攻擊。因此企業(yè)在應(yīng)用及業(yè)務(wù)安全的防御策略上,除了加強(qiáng)基礎(chǔ)風(fēng)控的建設(shè),也應(yīng)當(dāng)將Bots管理納入其中,借助動(dòng)態(tài)安全防護(hù)、AI人工智能、威脅態(tài)勢(shì)感知等新技術(shù),高效防御各類數(shù)字時(shí)代的新興威脅。
