日前，瑞數(shù)信息重磅發(fā)布了《2020Bots自動化威脅報(bào)告》，其中結(jié)合國內(nèi)的業(yè)務(wù)系統(tǒng)和攻擊者的特點(diǎn)，從Bots攻擊最主要的關(guān)注點(diǎn)和對業(yè)務(wù)影響的角度，提取出了五大Bots自動化威脅場景，為企業(yè)應(yīng)對Bots自動化威脅及評估業(yè)務(wù)安全防護(hù)能力提供了極具意義的見解。

　　隨著Bots自動化工具的強(qiáng)勢發(fā)展和應(yīng)用，漏洞攻擊不再是高級黑客組織的專屬，而開始趨向"低成本、高效率"的模式。365*24全年無休的高強(qiáng)度漏洞掃描不會放過任何系統(tǒng)中的薄弱環(huán)節(jié)，無論是已知漏洞，還是零日漏洞，自動化Bots工具都可以隨時(shí)隨地進(jìn)行探測，往往他們比企業(yè)自己還更了解系統(tǒng)的安全態(tài)勢。

　　同時(shí)，漏洞的快速曝光和利用給企業(yè)帶來了極大威脅。一個漏洞公布之后，隨之而來的漏洞探測會迅速在互聯(lián)網(wǎng)上批量嘗試，幾乎所有漏洞利用會在1天之內(nèi)就被廣泛傳播。與此同時(shí)，對于0day漏洞，首次探測高峰已經(jīng)由POC發(fā)布后的一周，提前到POC發(fā)布之前，這也令企業(yè)難以有效應(yīng)對。

　　醫(yī)院掛號、學(xué)校報(bào)名、網(wǎng)絡(luò)購票、優(yōu)惠秒殺……需要"搶"資源的場景幾乎可以出現(xiàn)在人們?nèi)粘Ｉ�活中的方方面面。但是�?dāng)Bots自動化工具出現(xiàn)，這場競爭的性質(zhì)就截然不同了。Bots自動化工具不僅可以模擬正常操作邏輯，還憑借"批量、快速"的優(yōu)勢，使得普通用戶全無勝算，從而大量搶占有限的社會資源，扭曲了社會資源的公平分配，嚴(yán)重?cái)_亂了企業(yè)的正常運(yùn)營和人們的日常生活。

　　某報(bào)名活動，在開啟報(bào)名通道后的10分鐘內(nèi)，即被黑產(chǎn)組織利用自動化工具發(fā)起超過200萬次搶占請求。

　　某企業(yè)在促銷期間，APP異常下載請求總數(shù)超過42.9萬，每小時(shí)請求數(shù)十分平均，使用工具發(fā)起的請求特征明顯。

　　近年來，由于大數(shù)據(jù)處理和數(shù)據(jù)挖掘技術(shù)的發(fā)展，數(shù)據(jù)資產(chǎn)價(jià)值的概念深入人心。越來越多的公司或組織對公開和非公開的數(shù)據(jù)進(jìn)行拖庫式抓取，對數(shù)據(jù)進(jìn)行聚合收集，造成潛在的大數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)，數(shù)據(jù)授權(quán)、來源、用途不透明，隱私侵權(quán)、數(shù)據(jù)濫用等問題也越來越嚴(yán)重。

　　以政府行業(yè)為例，"互聯(lián)網(wǎng)+政務(wù)"服務(wù)開放了大量數(shù)據(jù)查詢服務(wù)，而這些數(shù)據(jù)經(jīng)過聚合之后，可以成為具有極高價(jià)值的國家級大數(shù)據(jù)，因此大量黑產(chǎn)和境外機(jī)構(gòu)利用Bots自動化工具進(jìn)行大規(guī)模數(shù)據(jù)拖取，國家級大數(shù)據(jù)已然成為高級Bots的云集之地。一旦這些數(shù)據(jù)被非法濫用，將會帶來巨大危害。

　　某公示系統(tǒng)，全體24小時(shí)遭受爬蟲的高強(qiáng)度訪問，爬蟲訪問占比超過78%。

　　"賬號密碼"是系統(tǒng)防護(hù)措施中的重要一環(huán)，也一直高居攻擊者最想竊取的內(nèi)容榜首，而破解密碼的一個最簡單的方法就是暴力破解。目前網(wǎng)上泄漏的各類賬號密碼庫基本都以TB為單位，而借助泛濫的Bots自動化工具，字典破解或撞庫的成功率則大幅上升，電商、社交媒體、企業(yè)郵箱、OA系統(tǒng)、操作系統(tǒng)等具有登錄接口的系統(tǒng)都是此類攻擊的目標(biāo)。

　　攻擊者可以輕松利用被曝光的包括登錄名/密碼組合在內(nèi)的個人數(shù)據(jù)，在短時(shí)間內(nèi)對數(shù)百個不同的網(wǎng)站不斷進(jìn)行登錄驗(yàn)證，試圖盜用賬號，乃至發(fā)起進(jìn)一步攻擊并從中獲利或者獲取更多的個人身份關(guān)聯(lián)信息等有價(jià)數(shù)據(jù)。

　　拒絕服務(wù)攻擊（DOS）已經(jīng)是一個老生常談的問題，傳統(tǒng)針對DOS的防護(hù)主要集中在流量層面的分布式拒絕服務(wù)攻擊（DDOS）對抗上，這一類攻擊由于攻擊特征相對明顯，危害雖大，但企業(yè)也大多已經(jīng)具備了相對完善的應(yīng)對措施。

　　然而近些年興起的業(yè)務(wù)層DOS攻擊，則是攻擊者利用Bots自動化工具來大量模擬正常人對系統(tǒng)的訪問，從而大量消耗系統(tǒng)資源，使得系統(tǒng)無法為正常用戶提供服務(wù)。由于業(yè)務(wù)層的DOS攻擊從流量上看完全是正常的請求，沒有明顯的攻擊特征，因此給企業(yè)防護(hù)帶來了很大的難度。攻擊者利用自動化Bots工具，通過對車票、機(jī)票進(jìn)行循環(huán)下單但不付款的方式霸占所有座位，造成無票可售的現(xiàn)象就是一個典型案例。

　　未來隨著Bots對抗的不斷升級，我們相信，越來越多的攻擊場景會給企業(yè)帶來更大挑戰(zhàn)，攻防也將是一個持續(xù)的過程。因此瑞數(shù)信息建議企業(yè)將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅的管理架構(gòu)中，部署能夠針對自動化威脅進(jìn)行防護(hù)的新技術(shù)，借助動態(tài)安全防護(hù)、AI人工智能及威脅態(tài)勢感知等技術(shù)，提升Bots攻擊防護(hù)能力，構(gòu)建基于業(yè)務(wù)邏輯、用戶、數(shù)據(jù)和應(yīng)用的可信安全架構(gòu)。
 

　　掃碼二維碼 下載完整報(bào)告
 

　　瑞數(shù)信息創(chuàng)新的"動態(tài)安全"技術(shù)，完全顛覆了當(dāng)前基于攻擊特征和行為規(guī)則的被動式防御技術(shù)，可對已知和未知的自動化攻擊，及各種利用自動化工具發(fā)起的惡意行為做到及時(shí)、高效攔截，防護(hù)范圍覆蓋業(yè)務(wù)反欺詐、Web安全、App安全、API安全、業(yè)務(wù)威脅感知、數(shù)據(jù)透視與分析以及物聯(lián)網(wǎng)等眾多領(lǐng)域，高效防御各類數(shù)字時(shí)代的新興威脅。