隨著B(niǎo)ots自動(dòng)化工具平臺(tái)化和AI化趨勢(shì)的加強(qiáng)，Bots攻擊的手段和覆蓋范圍在不斷增加，攻擊也變得更為高效和具有侵略性，由自動(dòng)化工具發(fā)起的高效大規(guī)模攻擊大幅增加了行業(yè)和機(jī)構(gòu)在業(yè)務(wù)、應(yīng)用和數(shù)據(jù)層面的安全風(fēng)險(xiǎn)。

瑞數(shù)信息在《2021年Bots自動(dòng)化威脅報(bào)告》中，對(duì)自動(dòng)化威脅進(jìn)行了多角度分析，總結(jié)了自動(dòng)化威脅呈現(xiàn)出的4大特征和5大典型場(chǎng)景。

一、2020年自動(dòng)化威脅具備4大特征

相比2019年，2020年國(guó)內(nèi)Bots攻擊狀況依然十分嚴(yán)峻，攻擊者的工具、手段、效率都有了比較大的發(fā)展。尤其在疫情的影響下，遠(yuǎn)程辦公模式興起，直接增大了企業(yè)的攻擊面，借助自動(dòng)化工具，攻擊者可在短時(shí)間內(nèi)以更高效、更隱蔽的方式對(duì)企業(yè)系統(tǒng)進(jìn)行漏洞探測(cè)，這就對(duì)企業(yè)安全防護(hù)提出了更高的要求。

特征一：API是攻擊者重點(diǎn)關(guān)注目標(biāo)

隨著企業(yè)業(yè)務(wù)的發(fā)展，訪問(wèn)方式融合了 Web、APP、小程序等多種方式，而作為融合訪問(wèn)基礎(chǔ)支撐的API也成為了攻擊者重點(diǎn)關(guān)注的目標(biāo)。Gartner預(yù)測(cè)，到2022年，API濫用將會(huì)是數(shù)據(jù)泄漏的主要渠道之一。同時(shí)OWASP也針對(duì)API推出了安全威脅排名和安全指導(dǎo)，API將會(huì)成為下一個(gè)攻擊熱點(diǎn)。毋庸置疑，API濫用和API攻擊問(wèn)題將成為企業(yè)Web應(yīng)用數(shù)據(jù)泄露和業(yè)務(wù)風(fēng)險(xiǎn)的重大威脅。

特征二：應(yīng)用攻擊門(mén)檻進(jìn)一步降低

2020年各類掃描器、攻擊平臺(tái)層出不窮。在AI的輔助下，無(wú)論是在漏洞檢測(cè)的深度還是廣度上都有很大的提升。 尤其各類攻擊平臺(tái)集漏洞發(fā)現(xiàn)、利用、后門(mén)植入于一體，極大地提升了攻擊者的效率，應(yīng)用攻擊的門(mén)檻進(jìn)一步降低。

特征三：醫(yī)療衛(wèi)生部門(mén)攻擊明顯上升

疫情影響下, 針對(duì)國(guó)內(nèi)醫(yī)療衛(wèi)⽣部⻔的攻擊呈明顯上升趨勢(shì) , 其中針對(duì)系統(tǒng)的漏洞掃描、DDoS、公示信息高頻度抓取等方面表現(xiàn)突出，來(lái)自境外攻擊量上升明顯，這也是去年疫情期間出現(xiàn)的一個(gè)安全熱點(diǎn)。

特征四：急速推進(jìn)數(shù)字化的風(fēng)險(xiǎn)

疫情之下，企業(yè)急速推進(jìn)業(yè)務(wù)數(shù)字化和遠(yuǎn)程化，但相應(yīng)的安全防護(hù)措施并未及時(shí)跟上，暴露面的增加為黑客開(kāi)辟了更多可以獲取敏感數(shù)據(jù)的途徑，暗網(wǎng)中售賣(mài)的個(gè)人隱私數(shù)據(jù)和企業(yè)數(shù)據(jù)的事件呈指數(shù)級(jí)增長(zhǎng)。

二、國(guó)內(nèi)Bots自動(dòng)化威脅涉及5大場(chǎng)景

雖然OWASP對(duì)于自動(dòng)化威脅的分類超過(guò)20種，但是瑞數(shù)信息根據(jù)國(guó)內(nèi)的情況進(jìn)行匯總分析，總結(jié)出了國(guó)內(nèi)政企機(jī)構(gòu)主要面臨的五類場(chǎng)景。

場(chǎng)景一：漏洞探測(cè)利用

對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞之后自動(dòng)進(jìn)行利用。借助自動(dòng)化工具，攻擊者可以在短時(shí)間內(nèi)以更高效、更隱蔽的方式對(duì)目標(biāo)進(jìn)行漏洞掃描和探測(cè)，尤其是對(duì)于0day/Nday漏洞的全網(wǎng)探測(cè)，將會(huì)更為頻繁和高效。

場(chǎng)景二：資源搶占

利用Bots自動(dòng)化工具快速的優(yōu)勢(shì)，對(duì)有限的資源進(jìn)行搶占。比較常見(jiàn)的資源搶占包括：掛號(hào)、報(bào)名、購(gòu)票、秒殺、薅羊毛等等。

場(chǎng)景三：數(shù)據(jù)搜刮

對(duì)公開(kāi)和非公開(kāi)數(shù)據(jù)進(jìn)行拖庫(kù)式抓取。例如各類公示信息、公民個(gè)人信息、信用信息等，抓取之后對(duì)數(shù)據(jù)進(jìn)行聚合收集，造成潛在大數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)由于數(shù)據(jù)的授權(quán)、來(lái)源、用途十分不透明，導(dǎo)致隱私侵權(quán)、數(shù)據(jù)濫用等問(wèn)題越來(lái)越嚴(yán)重。

場(chǎng)景四：暴力破解

對(duì)登錄接口進(jìn)行高效的密碼破解，給系統(tǒng)信息安全帶來(lái)極大的危害。此類攻擊目標(biāo)范圍廣泛，除了我們熟知的各類電商、社交系統(tǒng)，還包括很多辦公系統(tǒng)，例如辦事網(wǎng)廳、企業(yè)郵箱、OA 系統(tǒng)、操作系統(tǒng)等等，幾乎所有具備登錄接口的系統(tǒng)都會(huì)成為攻擊目標(biāo)。

場(chǎng)景五：拒絕服務(wù)攻擊

常見(jiàn)的拒絕服務(wù)攻擊包括應(yīng)用DoS和業(yè)務(wù)DoS兩種類型，除了以往比較常見(jiàn)的分布式拒絕服務(wù)攻擊（DDoS）外，利用 Bots 來(lái)大量模擬正常人對(duì)系統(tǒng)的訪問(wèn)，擠占系統(tǒng)資源，使得系統(tǒng)無(wú)法為正常用戶提供服務(wù)的業(yè)務(wù)層DoS也日漸興起。

結(jié)語(yǔ)
網(wǎng)絡(luò)安全攻防是一個(gè)持續(xù)的過(guò)程，面對(duì)猖獗的Bots自動(dòng)化攻擊，“兵來(lái)將擋，水來(lái)土掩”的單一防護(hù)方法已力不從心。因此，瑞數(shù)信息建議將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅的管理架構(gòu)中，部署能夠針對(duì)自動(dòng)化威脅進(jìn)行防護(hù)的新技術(shù)，借助動(dòng)態(tài)安全防護(hù)、AI人工智能及威脅態(tài)勢(shì)感知等技術(shù)，提升Bots攻擊防護(hù)能力。