随着AI技术的快速融入,新一代高级网络攻击技术变得更加隐蔽、狡猾和复杂,对传统安全方案更是建立起“降维打击”的优势。各类提供对抗服务的黑灰产组织越来越多,也催生了更具拟人特点的全新自动化攻击,这些恶意自动化攻击会通过使用模拟器、伪造浏览器环境和UA、分布式IP等手段,使自动化攻击与安全防护之间的对抗不断升级,给系统安全带来极大威胁。
相比2019年,2020年自动化威胁呈现出哪些新趋势?各领域在应对自动化威胁方面又应该如何进行加强?6月24日,瑞数信息正式发布《2021 Bots自动化威胁报告》(以下简称“报告”),对2020年Bots自动化威胁的主要类别、攻击来源、态势发展、高发场景等进行全面回顾与分析,并对2021年Bots自动化威胁发展趋势做出最新研判。
报告指出,2020年国内Bots攻击十分严峻,攻击者的工具、手段、效率都有进一步发展。应用攻击在AI辅助下,其门槛逐步降低,在漏洞检测的深度和广度上均有较大提升。API攻击显著上升,随着企业业务发展,作为融合访问基础支撑的API成为攻击者重点关注的目标。同时,在疫情背景之下,国内医疗卫生行业的应用攻击和数据抓取行为明显上升,远程办公的兴起,直接增大了企业的攻击面,海外攻击占比迅速提升。
2020 - Bots自动化威胁深度分析
从自动化威胁整体形势看,Bots访问的形式依然严峻,相比2019年的55%,2020年Bots访问占比为57.62%。公示类系统和服务提供类系统依然是Bots攻击的头号目标,恶意机器人比例由2019年的40.97%进一步攀升至43.76%。
· 四大行业成为自动化攻击“重灾区”
从行业视角分析,由于受政策、疫情、国际形势等诸多因素的影响,行业的Bots态势也随之发生变化,尤其是医疗(51.24%)、政府(52.11%)、互联网(55.41%)、出版(52.37%)四大行业成为恶意Bots时常出没的领域。我国关键基础设施面临着更为严峻、高效的攻击,漏洞探测利用也更为频繁和隐秘。
作为受疫情影响最为深刻的领域,国内医疗部门被攻击的频率呈明显上升趋势,2020年前三个月遭受攻击同比2019年前三个月增长1.47亿次,增长率超过70%。其中针对系统的漏洞扫描、DDOS、公示信息高频度抓取等方面表现突出。
· API成为新兴攻击目标
作为一种轻量化的技术,API受到了全球范围内企业组织的青睐,越来越多的APP被开发出来,开放架构在创新场景中的使用也越来越多,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API,有51.5%的API供应商是在过去五年内才开始开发API。
可以看出,API因其可以作为融合访问的基础支撑,正日益受到企业的关注,但同时也成为攻击者重点光顾的目标。2020年整体来看,API面临的业务类型攻击要远多于传统应用攻击,业务类型攻击例如越权访问、接口滥用、数据泄露等占比高达70.21%。
· 漏洞攻击平台快速升级
正所谓“道高一尺,魔高一丈”,在防卫者不断筑高安全“城墙”的同时,攻击者的自动化“攻城”工具也在推陈出新。2020年,各类漏洞扫描器、攻击平台层出不穷,尤其各类攻击平台集漏洞发现、利用、后门植入于一体,极大的提升了攻击者的效率。
比如快速资产探测,可以进行各类主动探测、被动探测、网络信息搜集、指纹识别等,可对目标系统的相关信息进行快速收集。智能密码破解则具备验证码识别能力,可根据用户信息生成社工类的字典库,并能根据目标系统反馈信息自动调整破解策略。还有高效漏洞利用功能,使攻击平台可以快速更新攻击插件,对0day/Nday漏洞进行快速扫描利用。诸如此类,都是攻击者“攻城略地”的利器。
· AI加持的自动化攻击更加高效和隐秘
2020年,网络安全领域最重要的一个趋势就是AI技术的广泛应用,守卫者以“AI之盾”对抗攻击者的“AI之矛”。得益于AI的数据挖掘和分析能力,攻击正逐渐转向拟人化和精密化的方向发展。这种方式不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。
目前,AI对于普通验证码的识别率已经接近100%,对于拖拽、点选类型也超过90%,对于更为复杂的逻辑计算类型的验证码,AI识别率也在提升。同时,为了应对越来越多的行为轨迹判断,灰产平台开始利用AI技术对历史的轨迹进行学习,并可生成新的轨迹,来绕过行为判断。在AI技术加持下,自动化攻击系统可以关联分析多方面的信息,根据攻击目标当前应用状态、业务流程、漏洞信息、防护机制等因素,自动调整攻击策略,使攻击变得更加高效和隐秘。
2021 - Bots自动化威胁六大趋势研判
那么2021年自动化攻击会呈现出怎样的新趋势?报告给出了六大趋势,从漏洞攻击、云安全、线上交易安全、移动端安全、API安全、AI辅助六个方面进行重点解析。
· 0day/Nday漏洞攻击持续增加,勒索攻击、后门木马植入变本加厉
因疫情所触发的远程办公,不仅是一次对个人办公和业务模式的“革命”,更带来了大量的网络攻击。借助自动化工具,网络罪犯可以在短时间内以更加隐蔽的方式对远程办公的网站进行漏洞扫描和探测,尤其是对于0day/Nday漏洞的全网探测,将会更为频繁和高效。
利用这些漏洞,勒索攻击很可能在2021年变本加厉,同时植入后门或木马对于黑客来说也变得更为容易,但大规模感染扩散后产生的指数级安全风险和后续损失将无法估计。
· “企业上云” ≠ “安全上云”,云账号安全岌岌可危
受疫情影响,企业纷纷在2020年以更高的加速度“触云”,而云的安全性成为一个关键问题。在上云过程中,企业对外云服务暴露的攻击面持续增多,同时疫情也给了黑客更多时间挖掘漏洞,或者开发更多针对性攻击工具的机会,诸如Openbullet等针对密码猜测和撞库的通用化工具已经被开发并应用于Azure cloud等云服务平台,2021年,针对账号的攻击门槛被进一步降低,安全威胁会进一步加大。
· 线上交易屡创新高,业务欺诈风险飙升
作为一种全新商业模式和互联网形态,“直播带货”正被越来越多的企业和消费者认可。而疫情催化的缘故,直播带货用户规模增长飞快,电商直播更是一举成为了2020年增长最快的互联网应用,更成为了企业经营依赖的有效运营手段。2021年这一趋势将有增无减。
但在各大平台业绩屡创新高的同时,自动化威胁推波助澜,使业务欺诈风险也随之飙升。薅羊毛、刷单刷量、虚假账号、虚假流量、电信诈骗等业务欺诈行为在各行业繁荣生长。据统计,电商行业在全行业欺诈流量中占比21.7%,15.2%欺诈流量流向了航空、铁路等出行行业,金融、游戏等行业都是欺诈的重灾区。
· 5G开启加速模式,移动端应用安全内忧外患
伴随5G的加速普及,短视频、直播、云上互动等场景的火爆带来了移动端设备用户规模及流量的爆发性增长,但相应的移动端应用风险也与日俱增,据报道,目前只有大约36%的移动应用完全集成了安全,大部分的移动应用安全系数很低或根本不安全。除了传统的漏洞扫描、注入攻击、跨站脚本以及APP客户端逆向、调试等问题,还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患,都严重影响着企业平台的正常运营和口碑声誉。
· 业务应用交互频繁,API数据安全问题严峻
随着远程办公、线上办公等工作模式的深化,企业越来越依赖API整合大量系统,并实现业务彼此之间的交互。
据调查,目前每个企业平均管理超过350种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在金融和零售业,API流量占比更是超过83%。随着API调用数量的增多和自动化工具的兴起,在API迅速成为攻击者的新目标基础上,2021年其涉及的数据泄漏和欺诈风险将对业务安全构成重大的影响。
· AI将进一步升级自动化攻防对抗
人工智能(AI)技术正在让网络攻击的速度与效率快速提升,更快、更准的发现漏洞,更自动和智能的转换和使用攻击手法,同时产生更难以检测识别的恶意代码和攻击行为等等趋势,让网络犯罪和网络防御体系在同步升级。根据最新麻省理工学院与人工智能网络安全公司Darktrace联合发布的一份新报告显示,AI驱动的进攻性安全风险和网络威胁领域的发展正在重新定义企业安全,60%的受访者表示,人类的应对措施已经落后于自动攻击。因此,96%的受访者正在部署人工智能来抵御人工智能的攻击。网络安全从现阶段的人与人对抗、人机对抗,向基于AI攻防对抗的演化趋势愈加明显。
2021年,随着企业对网络安全的愈加重视和新一代信息技术的深度应用,网络安全将是一场永无休止的全面战争。在未来的网络安全中,企业将面临越来越多和更加复杂的自动化攻击,企业防护理念应由“被动防御”向“主动防御”转变,防护重心由“人防”向“技防”转变,除了要进一步加强基础风控建设外,也应当将Bots管理纳入其中,借助AI、威胁态势感知等新技术、自动化响应机制等新手段,更好地解决批量自动化攻击和人为的定点攻击,实现网络空间攻防对抗能力的持续升级,构建更智能的主动安全防御机制。