2018年,全球各行业外部数据泄露事件频发,累计泄露数据超过17亿条,后续欺诈问题无处不在。我们必须意识到,目前攻击者掌握的数据信息比以往任何时候都多,手机号、银行卡号等都可以成为攻击者的可信武器。据统计,目前全球中大型网站每分钟遭受超过7000次账户尝试登录攻击,每年造成的网络欺诈损失高达160亿美元,未来五年这一数字可能超过480亿美元年。同时,随着人工智能技术和自动化工具的应用以及平台化趋势的加强,无论是司空见惯的漏洞利用、DDoS攻击、内网安全问题,还是不断涌现的身份欺诈、API滥用、物联网设备安全隐患,都为2019年的动荡埋下伏笔,相信2019年将是网络安全领域又一个重要的一年。(图片来自宝途网)2019年Bot自动化攻击的八个新趋势1.Bot——加速漏洞的暴露和利用虽然已知漏洞数量众多,但真正被黑客利用的只有6%左右。随着未来自动化工具(Bots)的大力发展和应用,这一比例必将大幅增加。借助自动化工具,漏洞利用攻击将不再是高级黑客组织的“专属”,而是开始向“低成本、高效率”发展。网络犯罪分子可以在短时间内更高效、更隐蔽地扫描检测大量不同网站的漏洞,尤其是对0day/Nday漏洞的全网检测,将更加频繁和高效。对应漏洞的快速暴露和漏洞的快速利用,说明企业的开发和安全运维人员很难在合理的短时间内完成修补修复漏洞的安全响应。【锐数观察:2??018年,我们发现在对数百家运营商、金融、政府客户的网站和重要Web应用的安全监控中,90%的系统被例行检测和扫描漏洞。对于0day/Nday漏洞,检测峰值已经在POC发布后1周和POC发布前3天。】二、Bots——人工智能(AI)的双刃剑2019年,人工智能(AI)仍将是网络安全领域的热门话题之一。过去费力、成本高的攻击,在基于人工智能的对抗学习和自动化工具的应用下,找到了新的转化模式。AI有利于数据挖掘和分析的算法和模型,以及由此产生的智能服务,也会被黑色产业所利用。借助自动化,将形成更加拟人化和复杂化的自动化攻击趋势。模仿真人行为的机器人会更聪明、更大胆,也更难追踪和区分真人的行为。日前,中国西北大学、北京大学和英国兰卡斯特大学联合开发的人工智能,已经可以在0.5秒内破解文本验证码系统,这或将成为验证码时代的终结(人类-计算机识别很重要)技术)也可能在未来为网络犯罪分子提供新的助力。【锐数观察:某活跃用户约1200万的电商客户,在其为期5天的App营销活动中,发现异常访问设备约84万台,涉及账户约120万个,约占120万个账户。参与10%的账户。这些设备和账号在操作行为、设备特征、手机使用行为特征等方面模拟现实生活中的操作,规避安全防御。客户保守估计,如果黑产每个账户能套现10元,如果没有有效的识别和管控手段,那么黑产的非法获利可占营销总量的1/3以上投资。】三、Bots——身份信息不再属于自己。大家必须承认,在数据泄露事件频发之后,尤其是酒店、商旅、票务等与个人生活和出行事件密切相关的应用中身份信息的大规模泄露,我们的身份被暴露、被贩卖,极易受到攻击以进一步攻击。但对于网络犯罪分子来说,冒充合法身份创建虚假账户已经变得非常简单。结合自动化脚本或工具,网络犯罪分子可以轻松利用暴露的个人数据,包括登录名/密码组合,在短时间内连续对数百个不同网站进行登录验证,企图窃取账户,甚至发起进一步的攻击,并且从中获利或获取更有价值的数据,例如个人身份信息。据统计,从2017年11月上旬到2018年6月下旬的8个月,恶意登录尝试次数超过300亿次,“低频多IP源”发起的隐身规避检测攻击也将带来更多困难对企业组织的安全响应。【睿数观察:在某客户端业务的SSO单点登录系统中,750万个受保护的请求中,撞库请求占比高达86%,只有14%是正常的用户登录行为。其中,超过半数的撞库请求是通过更改代理IP,或者Web_Driver、PhantomJS等高级浏览器模拟工具,甚至结合云打码平台,实现验证码绕过。】4.Bot——“内鬼”的无声武器事实上,虽然企业将大量资源集中在应对外部网络攻击上,但也有不少安全事件是由内部网络安全隐患引起的。企业内部员工无意或故意利用内网自动化工具和合法权限拖拽内部信息、操纵内网交易、进行大规模数据窃取、创建垃圾账号等行为屡见不鲜。我们有理由相信,在当前的经济环境下,面对高价值的企业数据,由“内鬼”引发的恶性安全事件会越来越多,而Bot扮演“内鬼”利用合法身份模拟合法商业运作中窃密的利器。【锐数观察:某省级运营商客户内网业务系统中有8000多个企业及合作伙伴账号,发现近2000个企业账号存在工具化业务操作、数据查询等,业务接入常被访问通过虚拟专用网访问,IP难以识别和控制,具有隐蔽性,属于高风险违法行为。】5.Bots-thedriverofAPIabuseAPIsecurityhaslongbeenamongthetoptenOWASPrankings,anditisstillverylikelytobereelected.据调查,目前每家企业平均管理着363个不同的API,其中69%的企业会将这些API开放给公众及其合作伙伴。开放API、统一API接口等模式虽然肩负着拓宽企业技术和服务生态的重任,但也为攻击者利用自动化工具大量调用API提供了一种更简单高效的方式,甚至可以用于暴力攻击、非法第三方APP、钓鱼和代码注入等一系列威胁,通过统一平台产生多层次的危害。监控和发现API接口滥用的需求将日益凸显。【睿数观察:某省级运营商互联网业务API接口300-500个;一个省政府的60多个网站应用,涉及到数以万计的各种API接口,而这些庞大的所有API接口都存在着巨大的API滥用风险。】6.机器人-DDoS攻击规模更大、速度更快尽管DDoS攻击是一种非常古老的安全威胁,但它从未停止过。2018年12月,黑客组织“匿名者(Anonymous)”发起的代号为“Oplcarus2018”的DDoS攻击波及全球金融机构;公司仍然很难保护其在线资源免受攻击。更令人不安的是,2019年,随着自动化攻击工具的广泛传播,大量物联网设备成为攻击跳板,DDoS攻击的规模和速度将上升到一个新的高度。【锐数观察:以某大型银行遭遇的DDoS攻击为例,30分钟内遭受近500万次应用层DDoS攻击;anti-D设备几乎没有保护作用,因为它不能处理SSL/TLS流量;虽然WAF设备可以阻挡部分攻击,但由于攻击源极度分散,防护效果并不显着。当Bots发起的DDoS攻击从网络层转移到加密的应用层流量,给企业网站的安全防护带来了巨大的挑战]7.Bots——智能家电成为隐藏在每个人家中的安全隐患。2018年下半年,数以千计的MikroTik路由器遭到攻击,悄悄变身为挖数字加密货币的矿工。但这仅仅是开始。ACIConsumerGram分析显示,83%的路由器存在安全漏洞。因此,我们相信在新的一年里,将会有越来越多的家庭路由器被攻击者利用,提供获取敏感数据、安装恶意程序、DDoS等服务。攻击、挖矿等服务。随着物联网设备的多样化,网络犯罪分子也会利用受感染的路由器将攻击范围扩大到所有关联的物联网设备,形成跨平台攻击。被感染的物联网设备甚至可以作为内网窃密、挖矿劫持等进一步攻击的跳板。与计算机本身受到攻击相比,这种类型的损坏更难修复。此外,一旦设备被感染,用户往往很难察觉。【睿数观察:一台部署在外网的物联网设备部署后第一天扫描检测次数超过100次,第二天就遭受上千次密码猜测和漏洞攻击。40小时后,被Bot入侵并植入恶意代码。此外,睿数还观察到跨平台攻击正在快速增长。Bot通过内网电脑或手机攻击内网物联网设备;从而不再只有部署在外网的物联网设备会受到攻击。物联网设备也正在成为黑客攻击的热点]8.Bots——安全对抗升级推动攻击手段进化。越来越多的代理IP服务、图形验证码识别、短信验证码采集、群控设备池、账号提供商等各种服务,都可以轻松获得。大多数传统的Bots防护方法很容易被渗透。与此同时,具有更多拟人化特征的新型Bots攻击也应运而生。这些恶意Bots将通过使用模拟器、伪造浏览器环境、UA、分布式IP等方式为系统安全带带来极大的威胁。【锐数观察:根据对多个信息公开查询系统的用户日志分析发现,单个爬虫组织每天可以使用超过100万个IP,单个IP在使用数十次后就会被丢弃;图形验证码识别时间小于0.5秒】锐数安全专家建议部署新技术防御Bot自动化威胁。将Bots管理纳入企业应用和业务威胁管理架构,部署可防御自动化威胁的新技术,结合多种变化的动态安全防护和威胁态势感知和人工智能技术防止各种应用安全问题,如漏洞利用和拟人化攻击,构建以业务逻辑、用户、数据、应用为核心的可信安全架构。加强Bots管理Bots的出现,一方面为企业提供了便捷的服务,如搜索引擎、应用可用性和性能监控服务、信息内容监控服务等。另一方面,一些组织、机构和个人会借助互联网、手机、物联网形成的Bot恶意窃取数据资产,对企业安全和声誉构成潜在威胁。大量徘徊在Good和Bad之间的Bot不容忽视,对各类Bot进行Bot识别、成本提升、可视化展示等多维度管理。加强内网安全纵深防护从技术角度,企业可以通过APT解决方案、内网陷阱等,引入“零信任机制”加强内网安全纵深防护。此外,内网的Web应用程序和数据库服务器是防止内部人员或外部渗透黑客窃取或篡改企业敏感关键数据的重点保护对象。从管理的角度来看,必须严格制定并安全实施各种IT使用规范。重视物联网与工控设备安全重视物联网与工控设备安全,提供设备资产盘点、安全管理、预警联防、整体防护设备、网络传输与云端,防范互联网物联网和工控设备成为企业信息安全的一大隐患。从环保部合规角度制定网络安全保护策略,将风险评估、安全监控、数据保护、应急响应、自控等纳入企业网络安全保护策略,提高网络攻击防御能力,减少数据泄露等安全隐患工作流程中的风险。
