数字化时代,Bots自动化攻击已经演变为网络安全领域的顽疾,不断升级的Bots自动化工具持续牵动着行业的神经。为了让各行业更好地应对Bots自动化威胁挑战,瑞数信息作为Bots自动化攻击防护领域的专业厂商,多年来持续输出Bots自动化威胁报告,为政企用户做好Bots自动化攻击安全防护提供参考指南。
7月6日,瑞数信息正式发布《2022 Bots自动化威胁报告》(以下简称“报告”),从Bots威胁场景、发展态势、攻击特征等多个方面进行深度分析,剖析多个行业的Bots自动化攻击案例,并对2022年Bots自动化威胁发展趋势做出了最新研判。
报告指出,2021年国内Bots攻击状况依然十分严峻和突出,各个行业的各类自动化攻击和事件层出不穷,攻击者的工具、手段、效率都有了较大的发展。随着全球疫情的持续发展以及网络技术的快速迭代和发展,企业数字化转型步伐明显加速,远程办公的逐渐日常化,也给黑客组织和灰黑产行业创造了更多机会。API安全、勒索软件、软件供应链、0day/Nday攻击智能常态化、云安全、小程序安全等领域的危机日益凸显,网络安全和自动化安全形式更加严峻。
2021年Bots自动化威胁深度分析
随着企业数字化进程的加快和深入,Bots流量的攀升趋势势不可挡。报告指出,2021年Bots产生的流量明显高于正常访问流量,相比2019年的55%和2020年的57.62%,2021年Bots访问占比为59.71%,恶意Bots比例进一步提升。
同时,2021年也是网络安全全面深入发展之年,多项信息安全法律法规和指导意见的发布,将Bots自动化威胁的防护要求上升到法律层面。
●API成为攻击的优选入口 攻防博弈的新热点
API正在成为实现商业创新和数字化转型的核心技术手段,其连接的已不仅是系统和数据, 还有企业、客户、合作伙伴,甚至整个商业生态,成为当下网络应用流量的重要出入口。而 API配置使用不当和API漏洞利用引发的攻击和数据安全风险也在迅速上升。API具备“程序”和自动化属性,可携带和透视重要数据的机制,由此获得越来越多黑客的青睐,并成为黑客 实现自动化“高效攻击”的首选。
●自动化手段的加持 勒索攻击呈现平台化和服务化
2021年以来勒索软件攻击最为猖獗,已经成为数据层面最严重的“病毒”。勒索软件漏洞数量迅速上升,大量的勒索软件开始结合更广范围的漏洞发现和零日漏洞,实现攻击感染自动化和一体化。通过平台提供勒索软件即服务的方法开始涌现,使得勒索攻击组织更加专业化,高效率,对全球制造业、服务业、医疗、金融、工控和政府机构等产生严重影响。
●0day 攻击更具杀伤力 供应链安全问题升级
2021 年,全球安全漏洞数量依旧保持快速上涨,尤其针对供应链组件的0day/Nday漏洞攻击也在进一步泛滥。2021年12月爆发的Log4j核弹级漏洞,已经成为全年最严重的漏洞应急响应事件之一,0day攻击、供应链、自动化,当这三要素叠加时,带来的后果不容小觑。
●自动化威胁防护要求 逐渐上升到法律高度
2021年《数据安全法》《个人信息保护法》正式发布实施,更多数据安全操作层面的规范条例也在加快制定和出台。对于可能对网络正常服务带来影响的自动化工具的访问,以及造成数据安全风险的自动化工具收集数据行为的要求,也首次在《网络数据安全管理条例》(征求意见稿)的相关要求中出现。多起恶意爬虫对企业造成影响的司法判例的曝光,也在进一步加快数据安全法律法规的普及教育和落地执行。
2022年Bots自动化威胁六大趋势
基于Bots攻击不断升级的严峻形势,2022年Bots自动化威胁还会呈现出怎样的新趋势?报告给出了六大趋势,从漏洞挖掘、供应链攻击、勒索软件、数据安全、API安全、业务欺诈六个方面进行了重点解析。
●安全漏洞挖掘和探测持续增加 - 攻击者加强0day漏洞侦查能力
网络空间中,大部分的安全问题都源自Web。攻击者普遍会利用Web应用漏洞对企业进行渗透,以达到控制整个网络、获取大量有价值信息的目的。2022年,安全漏洞数量还将不断增加,甚至变得越来越复杂。攻击者利用安全漏洞的攻击行为将变本加厉,尤其借助自动化的工具,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,使得企业面临更为严重的安全风险和损失。
同时,攻击者会进一步加大事前的努力,在攻击准备阶段花费更多的时间和精力来搜寻0day 漏洞,特别是攻击影响力更大、投入产出更高的软件供应链漏洞,并利用新的技术将攻击扩展到更广泛的网络环境,无疑加大了企业应用防护的难度。
●供应链安全告急 - 第三方组件造成的供应链漏洞攻击加剧,供应链恶意软件数量上升
随着开源、云原生等技术的大范围应用,下一代软件供应链威胁也正在逐渐爆发。据Forrester研究表明,应用软件80%-90%的代码来自开源组件。全球对开源代码的旺盛需求,将导致Web应用供应链攻击在2022年进一步成熟,范围扩大,并且更加复杂,预计使用恶意软件进行Web应用供应链攻击的数量将不断攀升。
同时,下一代Web应用供应链攻击正在到来,其显著特点是刻意针对“上游”开源组件,进行更主动的攻击,攻击者会主动将新的漏洞注入为供应链提供支持的开源项目中。因此,下一代Web应用供应链攻击将更加隐蔽,也将有更多的时间对下游企业展开攻击,危险性将更高。
●勒索软件数量继续上升 - 勒索软件成为最大的安全威胁,对医疗行业的攻击加剧
2022年勒索软件数量还将显著增长,攻击者的数量也将达到空前的程度。同时,勒索软件攻击也将迅速蔓延至整个攻击面,勒索软件威胁将无处不在。从行业影响看,勒索软件攻击对金融、教育、医疗等各行各业构成了严重威胁,但医疗机构因其丰富的医疗设备和患者信息成为了攻击者的最佳目标。据FBI发布的安全通告显示,在过去一年内至少发现了16起针对美国医疗和应急响应机构的Conti勒索软件攻击,该勒索软件在全球攻击了超过400家医疗和应急响应机构。2022年,勒索软件对医疗行业的攻击还将持续加剧。在这种形势下,医疗机构的IT团队将面临空前挑战。
●数据安全风险加剧 - 数据泄露的规模更大、成本更高,应用数据安全 面临更大挑战
2022年,数据泄露还将继续增加,规模会更大,各国政府和企业将付出更多的代价来进行恢复,损失的成本不仅限于事件响应成本、数据备份成本、系统升级成本,还包括声誉损失成本、法律风险成本等隐性成本,其损失甚至数倍、数十倍于显性损失。数据泄露的主要原因源于 Web 应用程序攻击、网络钓鱼和勒索软件。其中,对Web应用程序的攻击仍是黑客行为的主要攻击方向。2022年,应用安全依然面临挑战,尤其是数据在应用中的安全值得企业重点关注。
●API攻击成为恶意攻击首选 - 利用API欺诈是黑产首选,API 滥用是最常见攻击方式
在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,支撑着用户早已习惯的互动式数字体验。根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统Web页面,API的攻击成本更低, 越来越多的黑客开始利用API进行业务欺诈。
事实上,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式,为API构建安全防护体系势在必行。
●业务欺诈变本加厉 - AI技术广泛用于欺诈,新型团伙欺诈频出
在社会高度智能化、技术应用门槛越来越低的今天,AI也成为诈骗者的目标和帮凶。伪造邮件、克隆声音、电话诈骗、人脸伪造等利用AI技术的业务欺诈手段层出不穷,反AI欺诈已经成为一个社会性的问题。随着互联网行业快速发展,新型业务欺诈来势汹汹,呈现出团伙化、跨境化、精准化、多样化等特征,出现了如公共Wi-Fi欺诈、刷单薅羊毛、线下人力资源机构黑产、投资理财类诈骗、虚假交易网站诈骗、虚假中奖类等多种欺诈案例,给企业和个人造成了巨大的损失。据Juniper Research研究发现,在2021年至2025年期间,在线支付欺诈造成的商家损失将累计超过2060亿美元,这个数字相当于亚马逊2020财年净收入的近10倍。在未来,如何以“魔法打败魔法”,用技术手段来解决新型业务欺诈问题,将成为市场和行业共同努力的方向。
2022年网络安全两大防护建议
基于2022年恶意Bots自动化威胁可能带来的安全风险,报告从两大方面为政企机构提供了防护建议。
●由WAF走向WAAP
随着企业数字化进程的不断加速,更多的门户网站、核心业务、交易平台等日益依赖Web、APP、H5、微信等多渠道开展。与此同时,越来越多的开放性API业务也正在蓬勃发展。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类工具化、智能化、拟人化的Bots攻击对数字化业务的影响也在快速攀升。
然而,现有的Web安全服务彼此之间常常出现难以融合的局面,无法实现统一的安全服务闭环。Gartner指出,到2023年,30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。
瑞数信息专家认为,传统WAF技术面临各种挑战,单一的WAF产品已不足以解决无处不在的安全风险,防御新的威胁需要一种整体的、集成的安全方法,即从WAF走向WAAP,将本地、各类云端充分整合,支持WAF、Bots管理、API防护独立或联合部署,提供多层级的联动防御机制,令企业安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御。
●深化基于AI的行为检测
传统安全主要基于攻击特征与行为规则实行被动式防御,在灵活的黑客面前已逐渐失效,不仅是0day攻击、各类应用和业务欺诈,在数据泄露和勒索层面更是堪忧;同时攻防对抗水涨船高,防守方规则的构造和维护门槛高、成本大。
瑞数信息专家认为,基于AI技术对用户行为模式进行智能分析与识别,将不再受制于复杂繁琐的攻击特征与行为规则,应进一步扩大使用场景,不仅应用于攻击趋势预判、高隐蔽性异常行为透视、未知威胁行为溯源等更智能的安全分析,也可以加强对于数据的破坏、篡改、加密勒索等数据威胁行为的识别检测,并通过更实时的安全预警及安全联防进一步缩短响应时间,提升了攻击门槛,在攻防格局中处于主动位置。