20182000年,全球各行业频繁发生外部数据泄露事件,总数超过17亿次的数据泄露使后续欺诈问题无处不在。我们必须意识到,攻击者手中的数据信息比以往任何时候都多,手机号码、银行卡号码等都可以成为攻击者的可信武器。据统计,世界各地的中大型网站每分钟都有7000多个账户试图登录,每年造成160亿美元的在线欺诈损失,未来五年有机会超过480亿美元。
同时,伴随AI无论是老生常谈的漏洞利用,技术、自动化工具的应用和平台化趋势的加强,DDoS攻击、内网安全问题,或新兴的身份欺诈,API滥用和物联网设备安全风险为2019年的动荡奠定了基础。我们相信,2019年将是 *** 安全领域的另一个重要年份。
(图片来自包图网)
2019八大Bots新趋势的自动化攻击
一、Bots - 加速漏洞曝光和利用
虽然目前已知漏洞很多,但实际上只有6%左右被黑客真正利用。未来,随着自动化工具的出现(Bots)这一比例的强劲发展和应用将大大提高。借助自动化工具,漏洞攻击将不再是高级黑客组织“专属”,而开始向“低成本、高效率”趋势发展。 *** 罪犯可以在短时间内以更高效、更隐蔽的方式扫描和探索大量不同网站的漏洞,特别是对于0day/Nday漏洞的整个 *** 检测将更加频繁和高效。与漏洞的快速曝光和漏洞的快速利用相对应,表明企业的发展和安全运维人员几乎无法在合理的短时间内完成补丁和漏洞的安全响应。
瑞数观察:2018年,在数百家运营商、金融和 *** 客户的网站上web应用安全监控发现,90%的系统经常检测和扫描漏洞。0day/Nday漏洞已经通过了探测高峰POC发布后一周,提前到达POC发布前三天。
二、Bots – 帮助人工智能(AI)这把双刃剑
2019年,人工智能(AI)它仍将是 *** 安全的热门话题之一。过去,劳动密集型和昂贵的攻击已经基于AI在对抗学习和自动化工具的应用下,找到新的转型模式。AI算法和模型有利于数据挖掘和分析,以及由此带来的智能服务,也将被黑色生产使用,在自动化的帮助下,形成更具拟人化和精确的自动攻击趋势,这种机器人模拟现实生活行为将更聪明、更大胆,更难跟踪和区分现实生活行为。最近,由中国西北大学、北京大学和兰开斯特大学共同开发的人工智能已经很短了0.5在秒内破解文本CAPTCHA该系统可能成为终结验证码时代(重要的人机识别技术)的标志,也可能为未来的 *** 罪犯提供新的帮助。
【瑞数观察:电商客户活跃用户约1200万,为期5天。App在营销活动中,通过模拟器发现约84万个异常访问设备,涉及约120万个账户,约占总参与账户的10%。Android伪装iPhone、iPhone改机工具、单设备多IMEI数字分离软件和其他手段从操作行为、设备特征、手机使用行为特征等方面模拟真实操作,避免安全防御手段。客户保守估计,如果每个黑色生产账户可以兑现10元,如果没有强有力的识别和控制手段,那么黑色生产可以非法利润占营销总投资的三分之一以上。
三、Bots - 身份信息不再仅属于自己
每个人都必须承认,在频繁的数据泄露事件后,特别是在与个人生活和旅行密切相关的应用程序中,如酒店、商务旅行和票务,我们的身份信息被暴露和出售,并且很容易受到进一步的攻击。但对于 *** 罪犯来说,伪造合法身份并建立虚假账户变得非常简单。结合自动化脚本或工具, *** 罪犯可以轻松使用曝光的个人数据,包括登录名称/密码组合,在短时间内不断登录和验证数百个不同的网站,试图窃取账户,甚至发起进一步攻击,从中获利或获取更多的个人身份相关信息和其他有价值数据。据统计,从2017年11月初到2018年6月底的8个月内,恶意登录尝试超过300亿次。此外,这种攻击 *** 本身的变化——从海量易察觉攻击到专业自动工具发起“低频率多IP源”隐形逃避检测到的攻击——也会给企业机构的安全应对带来更多难题。
瑞数观察:客户业务SSO单点登录系统,在受保护的750万请求中,撞库请求的比例高达86%,只有14%是正常的用户登录行为,其中一半以上是通过更换 *** IP,或Web_Driver、Phantom *** 等待高级浏览器模拟工具,甚至结合云打码平台绕过验证码。
四、Bots - “内鬼”安静的利器
事实上,虽然大多数企业将大量资源集中在处理外部 *** 攻击上,但相当多的安全事件是由内部 *** 安全风险引起的。企业内部员工无意或故意使用自动化工具和内部 *** 的合法权限,拖动内部信息,操纵内部 *** 交易,窃取大规模数据,建立垃圾账户的情况并不少见。我们有理由相信,在当前的经济环境中,面对高价值的企业数据,“内鬼”恶性安全事件会越来越多,Bots充当了“内鬼”利用其合法身份模拟合法业务操作窃取秘密的利器。
瑞数观察:省级运营商客户内部 *** 业务系统,有8000多个企业和合作伙伴账户,发现近2000个业务账户有工具业务操作、数据查询等行为,这些插件业务访问往往通过虚拟专用 *** 访问,从IP难以识别和控制,隐蔽,是高风险和违规行为。
五、Bots - API滥用的推手
API安全早已成为其中之一OWASP十大排行榜,并且仍有极大可能蝉联。据调查,目前每个企业平均管理363种不同的API,其中69%的企业将这些API向公众及其合作伙伴开放。尽管它是开放的API、统一API界面和其他模式承担着拓宽企业技术和服务生态系统的责任,但也使用大量的自动化工具来调用攻击者API它提供了攻击和非法第三方提供了更简单、更有效的 *** App、一系列威胁,如 *** 钓鱼和代码注入,并通过统一平台进行倍数级损坏。API对接口滥用行为的监测将更加突出。
【瑞数观察:省级运营商的互联网业务,有300-500个API接口;某省 *** 60多个网站的应用涉及各种网站API有成千上万个接口,这些巨大的接口API界面都存在API滥用的巨大风险。
六、Bots - DDoS攻击规模更大,速度更快
尽管DDoS攻击是一种非常古老的安全威胁,但它从未停止过。2018年12月,黑客组织“匿名者(Anonymous)“发起代号为”Oplcarus2018”的DDoS攻击行动影响了世界各地的金融机构;企业仍难以保护其在线资源免受攻击。更令人不安的是,2019年,随着自动攻击工具的广泛传播和大量物联网设备的成为,DDoS攻击的规模和扩散速度将上升到一个新的水平。
【瑞数观察:大银行遇到的DDoS以攻击为例,在30分钟内遭受近500万次应用层DDoS攻击;抗D由于设备无法处理SSL/TLS流量,几乎没有保护作用;WAF虽然设备可以阻挡部分攻击,但由于攻击来源极其分散,保护效果并不明显。Bots发起的DDoS攻击,从网路层转向加密的应用层流量时,为企业网站的安全防护带来了巨大挑战】
七、Bots – 智能家电已成为隐藏在每个人家中的安全隐患
2018下半年,数千台MikroTik路由器被攻击,悄然成为挖掘数字加密货币的矿工。但这只是开始。ACIConsumerGram分析显示,83%的路由器设备存在安全漏洞。因此,我们相信,在新的一年里,越来越多的家庭路由器将被攻击者利用,如捕获敏感数据和安装恶意程序DDoS攻击、采矿和其他服务。随着物联网设备的多样化, *** 罪犯还将使用感染的路由器将攻击范围扩展到所有与之相关的路由器IoT设备形成跨平台攻击和感染IoT设备甚至可被当作向内网发动窃密、挖矿劫持等进一步攻击的跳板。这类破坏比计算机本身受到攻击更难修复。此外,设备一旦被感染,用户往往难以察觉。
瑞数观察:部署在外部 *** 上的物联网设备在部署后的之一天被扫描和探测了100多次,第二天被数千次密码猜测和漏洞攻击。该设备在40小时后启动Bot攻击并植入恶意代码。此外,瑞数还观察到,跨平台攻击正在快速增长,Bot通过内网的计算机或手机攻击内网的物联网设备;不仅部署在外网的物联网设备将受到攻击,内网的物联网设备也将成为黑客攻击的热点
八、Bots - 安全对抗升级促进攻击
随着自动攻击与安全防护对抗的不断升级,越来越多的黑灰组织提供各种对抗服务, *** 等各种服务IP可轻松获取服务、图形验证码识别、短信验证码收集、群控设备池、账号提供商等。Bots防护手段易于穿透,同时催生了更具拟人特征的全新Bots这些恶意的攻击Bots使用模拟器,伪造浏览器环境,UA、分布式IP对系统安全构成巨大威胁。
【瑞数观察:对多家信息公开查询类系统用户日志分析,发现单一爬虫组织每天可以使用的IP超过100万,单一IP使用几十次后丢弃;图形验证码识别时间少于0.5秒】
瑞数安全专家建议
部署针对Bots防御新技术的自动化威胁
将Bots管理纳入企业应用和业务威胁管理架构,部署新技术可以保护自动化威胁,结合多种变化的动态安全保护、威胁情况感知和人工智能技术,防止漏洞利用、拟人化攻击等应用安全问题,构建集中在业务逻辑、用户、数据和应用的可信安全架构。
加强Bots管理
Bots一方面,它为企业提供了方便的服务,如搜索引擎、应用程序可用性和性监控服务、信息内容监控服务等。另一方面,也会有一些组织、机构和个人在互联网、手机和物联网的帮助下形成Bots,恶意抓取数据资产,对企业的安全和声誉构成潜在威胁。大量的人在行走。Good和Bad之间的Bots不可忽视,通过Bots识别、提高成本、可视化展示等多维度Bots进行管理。
加强内网深度安全保护
从技术上讲,企业可以通过APT引入解决方案、内网陷阱等 *** “零信任机制”,加强内网深度安全保护。此外,内网Web应用程序和数据库服务器是防止内部人员或外部渗透黑客窃取或篡改企业敏感关键数据的关键保护对象。从管理层面看,严格制定和安全实施各种IT使用规范至关重要。
重视IoT工控设备安全
重视物联网和工业控制设备的安全,提供资产检查、安全管理、预警和联合防护、整体防护设备、 *** 传输和云,避免物联网和工业控制设备成为企业信息重大安全隐患。
*** 安全规的角度制定 *** 安全防护策略
结合《 *** 安全法》2.0与 *** 安全相关的法律法规将风险评估、安全监控、数据保护、应急处置、独立控制纳入企业 *** 安全保护策略,提高应对 *** 攻击的防御能力,程中的数据泄漏等安全风险。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。