報告指出,2021年國內Bots攻擊狀況依然十分嚴峻和突出,各個行業(yè)的各類自動化攻擊和事件層出不窮,攻擊者的工具、手段、效率都有了較大的發(fā)展。隨著全球疫情的持續(xù)發(fā)展以及網絡技術的快速迭代和發(fā)展,企業(yè)數(shù)字化轉型步伐明顯加速,遠程辦公的逐漸日?;?,也給黑客組織和灰黑產行業(yè)創(chuàng)造了更多機會。API安全、勒索軟件、軟件供應鏈、0day/Nday攻擊智能常態(tài)化、云安全、小程序安全等領域的危機日益凸顯,網絡安全和自動化安全形式更加嚴峻。
2021年Bots自動化威脅深度分析
隨著企業(yè)數(shù)字化進程的加快和深入,Bots流量的攀升趨勢勢不可擋。報告指出,2021年Bots產生的流量明顯高于正常訪問流量,相比2019年的55%和2020年的57.62%,2021年Bots訪問占比為59.71%,惡意Bots比例進一步提升。
同時,2021年也是網絡安全全面深入發(fā)展之年,多項信息安全法律法規(guī)和指導意見的發(fā)布,將Bots自動化威脅的防護要求上升到法律層面。
API正在成為實現(xiàn)商業(yè)創(chuàng)新和數(shù)字化轉型的核心技術手段,其連接的已不僅是系統(tǒng)和數(shù)據(jù), 還有企業(yè)、客戶、合作伙伴,甚至整個商業(yè)生態(tài),成為當下網絡應用流量的重要出入口。而 API配置使用不當和API漏洞利用引發(fā)的攻擊和數(shù)據(jù)安全風險也在迅速上升。API具備“程序”和自動化屬性,可攜帶和透視重要數(shù)據(jù)的機制,由此獲得越來越多黑客的青睞,并成為黑客 實現(xiàn)自動化“高效攻擊”的首選。
2021年以來勒索軟件攻擊最為猖獗,已經成為數(shù)據(jù)層面最嚴重的“病毒”。勒索軟件漏洞數(shù)量迅速上升,大量的勒索軟件開始結合更廣范圍的漏洞發(fā)現(xiàn)和零日漏洞,實現(xiàn)攻擊感染自動化和一體化。通過平臺提供勒索軟件即服務的方法開始涌現(xiàn),使得勒索攻擊組織更加專業(yè)化,高效率,對全球制造業(yè)、服務業(yè)、醫(yī)療、金融、工控和政府機構等產生嚴重影響。
2021 年,全球安全漏洞數(shù)量依舊保持快速上漲,尤其針對供應鏈組件的0day/Nday漏洞攻擊也在進一步泛濫。2021年12月爆發(fā)的Log4j核彈級漏洞,已經成為全年最嚴重的漏洞應急響應事件之一,0day攻擊、供應鏈、自動化,當這三要素疊加時,帶來的后果不容小覷。
2021年《數(shù)據(jù)安全法》《個人信息保護法》正式發(fā)布實施,更多數(shù)據(jù)安全操作層面的規(guī)范條例也在加快制定和出臺。對于可能對網絡正常服務帶來影響的自動化工具的訪問,以及造成數(shù)據(jù)安全風險的自動化工具收集數(shù)據(jù)行為的要求,也首次在《網絡數(shù)據(jù)安全管理條例》(征求意見稿)的相關要求中出現(xiàn)。多起惡意爬蟲對企業(yè)造成影響的司法判例的曝光,也在進一步加快數(shù)據(jù)安全法律法規(guī)的普及教育和落地執(zhí)行。
2022年Bots自動化威脅六大趨勢
基于Bots攻擊不斷升級的嚴峻形勢,2022年Bots自動化威脅還會呈現(xiàn)出怎樣的新趨勢?報告給出了六大趨勢,從漏洞挖掘、供應鏈攻擊、勒索軟件、數(shù)據(jù)安全、API安全、業(yè)務欺詐六個方面進行了重點解析。
網絡空間中,大部分的安全問題都源自Web。攻擊者普遍會利用Web應用漏洞對企業(yè)進行滲透,以達到控制整個網絡、獲取大量有價值信息的目的。2022年,安全漏洞數(shù)量還將不斷增加,甚至變得越來越復雜。攻擊者利用安全漏洞的攻擊行為將變本加厲,尤其借助自動化的工具,在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測,使得企業(yè)面臨更為嚴重的安全風險和損失。
同時,攻擊者會進一步加大事前的努力,在攻擊準備階段花費更多的時間和精力來搜尋0day 漏洞,特別是攻擊影響力更大、投入產出更高的軟件供應鏈漏洞,并利用新的技術將攻擊擴展到更廣泛的網絡環(huán)境,無疑加大了企業(yè)應用防護的難度。
隨著開源、云原生等技術的大范圍應用,下一代軟件供應鏈威脅也正在逐漸爆發(fā)。據(jù)Forrester研究表明,應用軟件80%-90%的代碼來自開源組件。全球對開源代碼的旺盛需求,將導致Web應用供應鏈攻擊在2022年進一步成熟,范圍擴大,并且更加復雜,預計使用惡意軟件進行Web應用供應鏈攻擊的數(shù)量將不斷攀升。
同時,下一代Web應用供應鏈攻擊正在到來,其顯著特點是刻意針對“上游”開源組件,進行更主動的攻擊,攻擊者會主動將新的漏洞注入為供應鏈提供支持的開源項目中。因此,下一代Web應用供應鏈攻擊將更加隱蔽,也將有更多的時間對下游企業(yè)展開攻擊,危險性將更高。
2022年勒索軟件數(shù)量還將顯著增長,攻擊者的數(shù)量也將達到空前的程度。同時,勒索軟件攻擊也將迅速蔓延至整個攻擊面,勒索軟件威脅將無處不在。從行業(yè)影響看,勒索軟件攻擊對金融、教育、醫(yī)療等各行各業(yè)構成了嚴重威脅,但醫(yī)療機構因其豐富的醫(yī)療設備和患者信息成為了攻擊者的最佳目標。據(jù)FBI發(fā)布的安全通告顯示,在過去一年內至少發(fā)現(xiàn)了16起針對美國醫(yī)療和應急響應機構的Conti勒索軟件攻擊,該勒索軟件在全球攻擊了超過400家醫(yī)療和應急響應機構。2022年,勒索軟件對醫(yī)療行業(yè)的攻擊還將持續(xù)加劇。在這種形勢下,醫(yī)療機構的IT團隊將面臨空前挑戰(zhàn)。
2022年,數(shù)據(jù)泄露還將繼續(xù)增加,規(guī)模會更大,各國政府和企業(yè)將付出更多的代價來進行恢復,損失的成本不僅限于事件響應成本、數(shù)據(jù)備份成本、系統(tǒng)升級成本,還包括聲譽損失成本、法律風險成本等隱性成本,其損失甚至數(shù)倍、數(shù)十倍于顯性損失。數(shù)據(jù)泄露的主要原因源于 Web 應用程序攻擊、網絡釣魚和勒索軟件。其中,對Web應用程序的攻擊仍是黑客行為的主要攻擊方向。2022年,應用安全依然面臨挑戰(zhàn),尤其是數(shù)據(jù)在應用中的安全值得企業(yè)重點關注。
在萬物互聯(lián)的數(shù)字時代,API承載著企業(yè)核心業(yè)務邏輯和敏感數(shù)據(jù),支撐著用戶早已習慣的互動式數(shù)字體驗。根據(jù)Akamai的一項統(tǒng)計,API請求已占所有應用請求的83%,預計2024年API請求命中數(shù)將達到42萬億次。與此同時,針對API的攻擊成為了惡意攻擊者的首選,相對于傳統(tǒng)Web頁面,API的攻擊成本更低, 越來越多的黑客開始利用API進行業(yè)務欺詐。
事實上,很多企業(yè)并不清楚自己擁有多少API,也并不能保證每個API都具有良好的訪問控制,被遺忘的影子API和僵尸API會帶來重大的未知風險。據(jù)Gartner預測,到2022年API濫用將是最常見的攻擊方式,為API構建安全防護體系勢在必行。
在社會高度智能化、技術應用門檻越來越低的今天,AI也成為詐騙者的目標和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術的業(yè)務欺詐手段層出不窮,反AI欺詐已經成為一個社會性的問題。隨著互聯(lián)網行業(yè)快速發(fā)展,新型業(yè)務欺詐來勢洶洶,呈現(xiàn)出團伙化、跨境化、精準化、多樣化等特征,出現(xiàn)了如公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機構黑產、投資理財類詐騙、虛假交易網站詐騙、虛假中獎類等多種欺詐案例,給企業(yè)和個人造成了巨大的損失。據(jù)Juniper Research研究發(fā)現(xiàn),在2021年至2025年期間,在線支付欺詐造成的商家損失將累計超過2060億美元,這個數(shù)字相當于亞馬遜2020財年凈收入的近10倍。在未來,如何以“魔法打敗魔法”,用技術手段來解決新型業(yè)務欺詐問題,將成為市場和行業(yè)共同努力的方向。
2022年網絡安全兩大防護建議
基于2022年惡意Bots自動化威脅可能帶來的安全風險,報告從兩大方面為政企機構提供了防護建議。
隨著企業(yè)數(shù)字化進程的不斷加速,更多的門戶網站、核心業(yè)務、交易平臺等日益依賴Web、APP、H5、微信等多渠道開展。與此同時,越來越多的開放性API業(yè)務也正在蓬勃發(fā)展。伴隨流量的提升,API業(yè)務帶來的Web敞口風險和風險管控鏈條的擴大,不僅各種利用Web應用漏洞進行攻擊的事件正在與日俱增,各類工具化、智能化、擬人化的Bots攻擊對數(shù)字化業(yè)務的影響也在快速攀升。
然而,現(xiàn)有的Web安全服務彼此之間常常出現(xiàn)難以融合的局面,無法實現(xiàn)統(tǒng)一的安全服務閉環(huán)。Gartner指出,到2023年,30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護,WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。
瑞數(shù)信息專家認為,傳統(tǒng)WAF技術面臨各種挑戰(zhàn),單一的WAF產品已不足以解決無處不在的安全風險,防御新的威脅需要一種整體的、集成的安全方法,即從WAF走向WAAP,將本地、各類云端充分整合,支持WAF、Bots管理、API防護獨立或聯(lián)合部署,提供多層級的聯(lián)動防御機制,令企業(yè)安全地將各類Web業(yè)務和應用交付在混合架構中,實現(xiàn)Web安全一體化防御。
傳統(tǒng)安全主要基于攻擊特征與行為規(guī)則實行被動式防御,在靈活的黑客面前已逐漸失效,不僅是0day攻擊、各類應用和業(yè)務欺詐,在數(shù)據(jù)泄露和勒索層面更是堪憂;同時攻防對抗水漲船高,防守方規(guī)則的構造和維護門檻高、成本大。
瑞數(shù)信息專家認為,基于AI技術對用戶行為模式進行智能分析與識別,將不再受制于復雜繁瑣的攻擊特征與行為規(guī)則,應進一步擴大使用場景,不僅應用于攻擊趨勢預判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析,也可以加強對于數(shù)據(jù)的破壞、篡改、加密勒索等數(shù)據(jù)威脅行為的識別檢測,并通過更實時的安全預警及安全聯(lián)防進一步縮短響應時間,提升了攻擊門檻,在攻防格局中處于主動位置。