4月22日，瑞數(shù)信息重磅發(fā)布《2020Bots自動化威脅報告》（下稱"報告"），對2019年Bots自動化威脅的主要類別、攻擊來源、攻擊態(tài)勢、技術(shù)手段等進行了全面回溯與解讀，并對2020年Bots自動化威脅發(fā)展趨勢做出預測。

　　報告指出，Bots機器人攻擊在逐年增加，全球網(wǎng)絡(luò)流量中正常用戶發(fā)起的請求已經(jīng)不足一半。國內(nèi)的Bots攻擊形勢則更為嚴峻，尤其在一些資源搶占類和信息公示類系統(tǒng)中，Bots發(fā)起的訪問請求占比甚至超80%。同時，相對于傳統(tǒng)安全攻防，企業(yè)普遍缺乏對于Bots攻擊的認知和防護，這進一步加劇了Bots攻擊帶來的危害。

　　三大看點不容錯過

　　正如自動化能夠幫助企業(yè)有效地檢測和緩解網(wǎng)絡(luò)威脅一樣，自動化工具的加持也讓網(wǎng)絡(luò)犯罪分子"如虎添翼"。自動化、智能化的Bots攻擊正讓企業(yè)網(wǎng)絡(luò)的防線頻頻失守。

　　"互聯(lián)網(wǎng)+政務(wù)服務(wù)"開放了大量數(shù)據(jù)查詢服務(wù)，這些數(shù)據(jù)經(jīng)過聚合之后可以成為具有極高價值的國家級大數(shù)據(jù)，因此吸引了黑產(chǎn)和境外機構(gòu)Bots的大規(guī)模數(shù)據(jù)拖取，如果被非法濫用，將會帶來巨大危害。在各行業(yè)中，政府行業(yè)的Bots請求比例據(jù)行業(yè)之首，超過65%；在高級持續(xù)性Bots手段使用上，政府行業(yè)依然首當其沖，占比超過30%。

　　大規(guī)模廉價的IP資源大幅降低了繞過傳統(tǒng)Anti-Bot技術(shù)的成本，也成為Bots流量中最常用的手段，更換IP方式在繞過手段中的采用率高達90%以上，嚴重削弱了IP信譽庫的防御能力，高級組織每日使用IP數(shù)量可超過百萬，兩日IP重復率低于10%。

　　隨著開源和商業(yè)漏洞探測利用工具的發(fā)展，攻擊者對于新興領(lǐng)域的漏洞發(fā)現(xiàn)效率大幅度提升，IoT、API、云端應(yīng)用等領(lǐng)域雖然興起時間不長，但暴露的安全問題卻有趕超傳統(tǒng)領(lǐng)域的趨勢，尤其在0day/Nday攻擊、接口濫用等方面表現(xiàn)突出。

　　借助豐富而低成本的IP資源、平臺資源，Bots在流量層面的特征進一步被隱藏，這就要求防護系統(tǒng)能夠在前端提取到更多的Bots信息進行識別。JS保護與破解、設(shè)備指紋追蹤與反追蹤、模擬操作行為對抗、驗證碼對抗等將會更加激烈，AI技術(shù)也將會深入介入其中。

　　隨著自動化攻擊手段的發(fā)展，業(yè)務(wù)系統(tǒng)面臨的攻擊類型也越來越多，OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動化威脅已達到21種之多。結(jié)合國內(nèi)的業(yè)務(wù)系統(tǒng)和攻擊者的特點，報告對Bots自動化威脅的多個層面進行了歸納分析和解讀。

　　報告指出，從Bots攻擊流量最主要的關(guān)注點和對業(yè)務(wù)影響的角度，可以將Bots攻擊類別分為5大類：

　　綜合來看，Bots發(fā)起的請求占比已經(jīng)超過網(wǎng)站訪問總量的一半，達到55.35%，而對于某些提供公共信息查詢的政務(wù)系統(tǒng)，Bots請求比例甚至超過80%。

　　從行業(yè)上看，政府行業(yè)的Bots請求占比最高，超過65%；金融、運營商、互聯(lián)網(wǎng)行業(yè)的平均占比都超過了60%。除了通用的漏洞掃描外，不同行業(yè)遭受的Bots攻擊類型也不一樣。Bots 訪問占比最高的政府行業(yè)，主要攻擊場景有爬蟲、信息搜刮等；其次為金融行業(yè)，主要攻擊場景有薅羊毛、批量進件、撞庫等；運營商行業(yè)則集中在批量繳費、通話記錄或賬單拖取等場景。

　　隨著各種 Bots 對抗技術(shù)的涌現(xiàn)，很多場景下簡單的腳本工具已經(jīng)無法有效進行攻擊，為了繞過各種防護手段， Bots 也由簡單腳本向高級持續(xù)性機器人（Advanced Persistent Bots，APBs）演進。不同行業(yè)面臨的APBs威脅也不一樣，攻防對抗會加速普通Bots向APBs進化的過程。

　　值得注意的是，APBs相比普通Bots，具備多種多樣的"反反自動化攻擊"能力，自動更換IP、特征隱藏、擬人化操作、驗證碼識別等技術(shù)已然成為標配。

　　企業(yè)越來越多的業(yè)務(wù)系統(tǒng)正在向移動端遷移，為了適應(yīng)這種環(huán)境，攻擊平臺也必須向移動端轉(zhuǎn)移，多種多樣的攻擊手段也隨之出現(xiàn)，例如各類改機工具、破解框架、模擬器、root、群控、云控、IMEI偽造、GPS偽造、IP代理等。
　　除此之外，報告中還對攻擊來源分布、IP秒撥、Bots隱藏技術(shù)等進行了深入分析。

　　2019年圍繞Bots攻防展開的對抗技術(shù)得到了長足發(fā)展，但未來這一對抗依然會持續(xù)并不斷增強。

　　隨著企業(yè)業(yè)務(wù)不斷從PC端向移動端遷移，黑客的攻擊重心也在轉(zhuǎn)移。除了傳統(tǒng)的漏洞掃描、APP客戶端逆向破解外，大量的非法第三方APP請求、API接口濫用、撞庫、批量注冊、刷單、薅羊毛等業(yè)務(wù)相關(guān)的攻擊正在發(fā)生，移動端的對抗將進入下一階段。

　　前端作為整個系統(tǒng)的大門，是Bots攻防中雙方必爭之地，各種對抗手段不斷涌現(xiàn)，可以預見后續(xù)前端對抗依然會持續(xù)，在JS保護、設(shè)備指紋、操作行為等領(lǐng)域的對抗將會持續(xù)升級

　　IoT系統(tǒng)成為新興攻擊目標

　　智能家電、攝像頭、路由器、車載系統(tǒng)等物聯(lián)網(wǎng)（IoT）設(shè)備正深入人們的生活，黑客利用自動批量攻擊工具，可以快速獲取大量IoT設(shè)備的控制權(quán)，IoT已然成為信息泄漏和 DDOS攻擊的生力軍。

　　在Bots的幫助下，攻擊者對API接口進行暴力破解、非法調(diào)用、代碼注入等攻擊的效率將會大幅提升，API接口濫用行為的防護需求將愈加凸顯。

　　面對高價值的企業(yè)數(shù)據(jù)，企業(yè)內(nèi)部員工無意或蓄意地利用自動化工具及內(nèi)網(wǎng)合法權(quán)限，拖取內(nèi)部信息、操縱內(nèi)網(wǎng)交易、建立垃圾賬號的事件屢見不鮮，而Bots正充當了"內(nèi)鬼"們竊密的利器。

　　云技術(shù)的發(fā)展會對Bots攻防產(chǎn)生深刻影響。一方面云資源成本降低使得部署于云上的Bots成本也隨之降低，Bots數(shù)量因而上升；另一方面云上環(huán)境相比自建機房更為開放，攻擊面暴露更多，遭受攻擊的可能性也大大增加。

　　AI人工智能已經(jīng)是網(wǎng)絡(luò)安全屆最熱門的話題之一。一方面，過去成本高昂的勞動密集型攻擊，已經(jīng)在基于AI的對抗學習以及自動化工具的應(yīng)用下找到新的轉(zhuǎn)型模式。另一方面，以AI為基礎(chǔ)的攻擊檢測工具迅速發(fā)展，相比傳統(tǒng)策略，基于AI的新型攻擊檢測，可以發(fā)現(xiàn)更為隱蔽的攻擊。

　　安全就像一場永無休止的攻防戰(zhàn)，攻防兩端永遠在博弈，此消彼長，沒有完結(jié)的一天。未來，數(shù)字化將成為企業(yè)發(fā)展的"核心動能"，安全也將成為企業(yè)核心競爭優(yōu)勢之一。有效防御Bots自動化攻擊是未來安全防護的趨勢，了解自動化Bots攻擊特點和系統(tǒng)安全態(tài)勢，強化安全防護的協(xié)同聯(lián)動，才是企業(yè)有效應(yīng)對后續(xù)未知的自動化攻擊態(tài)勢，屹立于不敗之地的關(guān)鍵。

　　作為Bots自動化攻防領(lǐng)域的引領(lǐng)者，瑞數(shù)信息以動態(tài)防護、AI人工智能、可編程對抗和業(yè)務(wù)威脅感知四大核心技術(shù)為基礎(chǔ)，將安全防御范疇由Web端進一步拓展到移動端、云端、API、IoT等領(lǐng)域，通過聯(lián)動應(yīng)用與業(yè)務(wù)間的多維度安全手段，高效抵御各類自動化攻擊和模擬合法操作的交易欺詐行為，在當前復雜多變的網(wǎng)絡(luò)和應(yīng)用環(huán)境下，為企業(yè)應(yīng)用與業(yè)務(wù)提供了長期、有效、靈活的安全防護！
 

　　掃描二維碼，下載完整報告