2023 Bots自动化威胁报告

CONTENTS 目录 整体态势08公开数据的安全不容忽视10API 攻击热度不减10勒索攻击与 Bots 紧密结合12高级 Bots 广泛使用13Bots 详情分析14 2 种分类043 个级别045 大威胁场景05 API 接口越权防护21高级工具批量数据爬取防护22Web 勒索攻击防护23小程序逆向破解防护24 应用数据风险加剧06API攻击持续增长06反勒索提升网络韧性06生成式 AI 威胁快速兴起06 恶意生成式 AI 加剧攻防不对称26WAAP 升级走向应用统一防护26AI 驱动的 API 提升防御效率27勒索和供应链攻击显著增长28数据安全更需全生命周期管控28构建安全韧性将成为企业重要战略29 附录33 OWASPAPISecurityTOP102023解读33安全事件汇总36 关于瑞数信息40 概述 2023 年，企业数字化进程的步伐持续推进，数字化应用软件的创新和广泛使用，让应用数据的产生、交互、处理的途径和方式也越来越多，Web、H5、App 作为业务接入渠道已经普遍，而 API、微信公众号和小程序等更加高效和良好体验的应用形式迅速崛起，也让应用风险敞口和管控难度进一步加大。此外，全球产业链供应链冲击持续加大，网络空间安全面临的形势日益复杂多变，大规模针对性网络攻击行为增加，安全漏洞、数据泄露、网络诈骗等风险突出。 伴随以 ChatGPT 为代表的新一代人工智能技术的兴起，AGI 时代已经全面开启，科技产业版图正在加快重构，加速进入智能新时代。放眼全球，AI 大模型等新技术在掀起新一轮人工智能技术革命的同时，也引发了新型攻击、数据合规以及网络犯罪的日益专业化等安全风险。面对网络安全产业发展的新趋势，如何构建更具实战能力的安全能力，实现安全防御上的“化被动为主动”，已成为各行各业的刚需。 2023 年，数字经济已步入数据驱动发展阶段，数据要素的重要地位显著提高。海量数据在采集、存储、传输、共享与防护中都面临着前所未有的数据安全挑战，勒索攻击、数据泄露事件频频发生，数据安全问题已经成为各行各业用户的关注焦点，如何保障数据要素的安全也成为数字经济时代亟需解决的问题。 PART1瑞数信息Bots 自动化威胁报告 什么是 Bots ？ 2 种分类 3 个级别 什么是 Bots ？ 机器人攻击 (Bots attack)，是通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。 2 种分类 ·善意机器人：在受控的环境内使用，以提升工作效率、用户体验为目的的自动化工具，包括搜索引擎、运维监控、RPA 等等。此类 Bots 在运行过程严格遵守访问协议，不会进行越权、非法等类型的访问，不会给访问目标带来压力。 ·恶意机器人：是指存在恶意访问行为的 Bots，行为包括漏洞扫描、撞库、信息爬取、薅羊毛、DDos 攻击等等。恶意机器人在运行期间，会给目标系统带来较大的压力，影响系统的安全性和可用性。 3 个级别 从 Bots 拟人化的程度上划分，可以将 Bots 划分三个级别： ·初级：以脚本类程序为主，不具备页面渲染、JS 执行等能力，仅可根据预先设定的参数进行模拟访问。 ·中级：具备页面渲染、JS 执行能力，可对动态生成的信息进行获取，但不具备交互能力。 ·高级：APBS，具备完整的浏览器功能，可模拟鼠标、键盘等操作与目标系统进行拟人化交互。 5 大威胁场景 虽然 OWASP 对于自动化威胁的分类超过 20 种，但根据国内的情况进行汇总分析，主要场景有： ·恶意爬虫 据统计自动化威胁流量中 80% 以上是恶意爬虫产生的。恶意爬虫会造成多种危害，如对公开和非公开数据进行拖库式爬取，例如各类公示信息、公民个人信息、信用信息等之后对数据进行聚合收集，造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明，导致的隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体验，当抓取数据量逐渐增大时，会对服务器造成性能压力，甚至有可能会崩溃。 ·漏洞探测利用 对目标系统进行漏洞扫描，发现漏洞之后自动进行利用。借助自动化工具，攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测，尤其是对于 0day/Nday 漏洞的全网探测，将会更为频繁和高效。 ·资源抢占 利用 Bots 自动化工具快速的优势，对有限的资源进行抢占，造成恶性竞争，也成为黄牛党的有力武器。比较常见的资源抢占包括：挂号、报名、购票、秒杀、薅羊毛等等。 ·暴力破解 对登录接口进行高效的密码破解，给系统安全带来极大的危害。此类攻击目标范围广泛，除了我们熟知的各类电商、社交系统，还包括很多办公系统，例如办事网厅、企业邮箱、OA 系统、操作系统等等，几乎所有具备登录接口的系统都会成为攻击目标。 ·拒绝服务攻击 包括应用 DOS 和业务 DOS 两种类型，除了以往比较常见的分布式拒绝服务攻击（DDOS）外，利用 Bots来大量模拟正常人对系统的访问，挤占系统资源，使得系统无法为正常用户提供服务的业务层 DOS 也日渐兴起。 核心观察 应用数据风险加剧 由于企业互联网化进程的不断深入，使得越来越多的业务被迁移到互联网上，大量的应用数据被产生、传输、公开、共享。与此同时，新一代应用通过Web、H5、App、API、微信和小程序等多种业务渠道接入，导致应用敞口风险和链条管控难度加大，各类变化多端的撞库攻击、暴力破解、爬虫攻击、API 接口滥用，也导致企业数据泄露风险加剧。 API 攻击持续增长 随着 API 调用数量的增多和自动化工具的兴起，API 攻击持续走高，API 攻击已经大幅超越传统 Web 攻击，约 70% 的攻击针对 API 发起。同时由于 API 资产管理不当，大多数 API 处于未知、未管、未保护的状态也给攻击者带来可乘之机。相比传统的安全防护，API 还存在多种防护难点，API 安全诉求正在成为热点。 反勒索提升网络韧性 勒索攻击事件的频发，让各企业意识到“没有绝对的安全”，单纯靠防勒索软件是无法真正意义上避免勒索攻击的。反勒索不同于防勒索，反勒索视角是提升“网络韧性”的视角，即便勒索发生，也不受制于攻击者的勒索要求，快速恢复系统和业务；提升企业的网络韧性，即提供勒索攻击发生后业务的快速恢复能力。 生成式 AI 威胁快速兴起 像任何技术创新一样，生成式 AI 在提升工作效率的同时，也会带来新的安全风险。网络上已经出现大量的“邪恶 GPT“，例如 WormGPT、FraudGPT、PoisonGPT、Evil-GPT、XXXGPT、DarkBART 等等。通过恶意代码训练之后的模型，可以帮助攻击者生成各种工具，快速的发现并利用目标系统中的漏洞，极大的降低了攻击门槛，提升攻击效率。 PART2瑞数信息Bots 自动化威胁报告 深度分析 公开数据的安全不容忽视 整体态势 API 攻击热度不减 勒索攻击与 Bots紧密结合 高级 Bots广泛使用 Bots 详情分析 深度分析 整体态势 在过去 5 年里，由 Bots 产生的流量明显高于正常访问流量，并且呈现出持续增长的趋势。Bots访问流量占比已经从 2019 年的 55.35% 增长到今年的 61.87%。其中，恶意 Bots 的占比更是从 40.97% 增长到 49.94%，信息查询公示系统、资源抢占型系统依然是 Bots 攻击的头号目标，恶意机器人比例进一步提升。 从各行各业的网络请求流量来看，互联网、医疗卫生、政府依然是 遭 受 Bots 攻 击 最为严重的行业。 ·被攻击业务类型分析 不同的业务面临的 Bots 威胁也不一样，涉及数据和账号的业务容易遭受 Bots 攻击，例如公开数据查询、个人信息查询、登录等业务。 ·攻击手段 Bots 除了采用传统的漏洞扫描、注入、恶意文件上传等攻击手段外，还会从业务层面发起信息遍历、越权访问等攻击，并且这些类型的攻击数量已经超过传统攻击。 公开数据的安全不容忽视 恶意数据爬虫是自动化攻击请求中占比最大的一类，说明公开数据的安全问题不容忽视，无论是传统行业、互联网行业，还是政企、医疗卫生、教育等，都遭受持续不断的爬虫访问。Bots 在自动的 调用公开数据查询接口时，不仅仅是占用了服务器和带宽资源，数据被爬取之后的二次关联分析风险也必须要关注。2023 年瑞数信息防护的前三大信息公示系统的年爬虫访问量已经超过 2000 亿。 API 攻击热度不减 随着数字化技术的发展和 Web API 数量的爆发性增长，API 面临的安全攻击比例已经超过传统的Web 漏洞攻击，API 和小程序逐渐成为了很多企业和组织的流量入口，API 接口越来越丰富，引发的攻击越来越多，并且通过 API 接口攻击突破 web应用，作为跳板进入目标网络。越来越多的攻击者正利用 API 来实施自动化的“高效攻击”，由 API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件，严重损害了相关企业和用户权益， 逐渐受 到各方的关注。 瑞数信息《2023 API 安全趋势报告》显示，API攻击已经大幅超越传统 Web 攻击，约 70% 的攻击针对 API 发起。目前，API 还存在多种防护难点，比如由于 API 资产不清、接口分散和传输格式多样性导致接口难以发现；攻击面不断变化，调用访问多渠道多边界难以全面防护；API 的业务相关性形成防护策略难以通用；合法授权下的滥用风险难以识别等。 ·API 攻击占比 ·API 缺陷分析 API 缺陷的变化情况不大，因为快速开发的需求，过度数据暴露依然是出现次数最多的缺陷，其次是参数可遍历、越权访问等缺陷。 勒索攻击与 Bots 紧密结合 2023 年，多家大型公司遭受了连环勒索攻击，造成部分业务中断，给全球金融、货运和关键基础设施运营带来巨大威胁和损失。勒索软件组织的攻击技术也在从网络钓鱼、社工攻击，转向应用 0day/Nday 利用上，针对特定应用定制高级自动化攻击工具，定向实施应用漏洞攻击，极大的提升了勒索攻击的效率。 高级 Bots 广泛使用 随着攻防双方的持续对抗升级，高级持续性机器人（APBs）的使用也在大幅度提升，具备特征隐藏、人机交互、验证码识别等能力的 APBs 在总Bots 流量中的占比已经超过 35%，在大的对抗激烈的场景下，例如抢购、公示信息爬取等场景下，APBs 占比超过 80%。 为了对抗日益严格的环境检测、行为检测等技术，APBs 也出现了大量的新对抗技术，除了 IP 代理、验证码识别、键鼠模拟等技术外，这两年的浏览器环境补齐、AI 对抗、物理作弊等技术也被广泛使用。 Bots 详情分析 ·攻击来源 为了突破目标网络的监测和防护机制，90% 以上的 Bots 都会选择多源 IP 的方式来隐藏自己。IP 代理的提供方式也从本地代理发展成更为高效的 HTTP 隧道模式，IP 地址的数量大大增加，来源也更为广泛，隐蔽性达到新高度。 地理位置 在秒拨的辅助下，Bots 攻击来源相当分散，在攻击来源前 20 的城市中最大占比 11%，相比以往更为分散。 ISP运营商 攻击者使用最多的 ISP 提供商为三大基础运营商，总占比达到 91% 以上，排名第一的为中国电信，占比50% 以上，其次分别为中国联通和中国移动。 IDC提供商 IDC 机房依然是 Bots 攻击的重要来源，大量的 Bots 利用 IDC 机房的资源进行攻击。Bots 使用最多的为阿里云，相比往年，阿里云占比下降，华为云的比例上升，Bots 在向成本更低的云平台迁移。 阿里云：40.65%其他：1.28%腾讯云：21.72%华为云：17.92%百度云：5.65%金山云：5.16%京东云：2.77%青云：2.28%AWS：2.11%微软云：0.4