文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

深度报告解读 | Bots自动化威胁聚焦五大场景

2024-12-11 21:07

关注

日前,瑞数信息重磅发布了《2020Bots自动化威胁报告》,其中结合国内的业务系统和攻击者的特点,从Bots攻击最主要的关注点和对业务影响的角度,提取出了五大Bots自动化威胁场景,为企业应对Bots自动化威胁及评估业务安全防护能力提供了极具意义的见解。

场景一:漏洞探测利用

随着Bots自动化工具的强势发展和应用,漏洞攻击不再是高级黑客组织的专属,而开始趋向“低成本、高效率”的模式。365*24全年无休的高强度漏洞扫描不会放过任何系统中的薄弱环节,无论是已知漏洞,还是零日漏洞,自动化Bots工具都可以随时随地进行探测,往往他们比企业自己还更了解系统的安全态势。

 

 

同时,漏洞的快速曝光和利用给企业带来了极大威胁。一个漏洞公布之后,随之而来的漏洞探测会迅速在互联网上批量尝试,几乎所有漏洞利用会在1天之内就被广泛传播。与此同时,对于0day漏洞,首次探测高峰已经由POC发布后的一周,提前到POC发布之前,这也令企业难以有效应对。

场景二:资源抢占

医院挂号、学校报名、网络购票、优惠秒杀……需要“抢”资源的场景几乎可以出现在人们日常生活中的方方面面。但是当Bots自动化工具出现,这场竞争的性质就截然不同了。Bots自动化工具不仅可以模拟正常操作逻辑,还凭借“批量、快速”的优势,使得普通用户全无胜算,从而大量抢占有限的社会资源,扭曲了社会资源的公平分配,严重扰乱了企业的正常运营和人们的日常生活。

 

 

某报名活动,在开启报名通道后的10分钟内,即被黑产组织利用自动化工具发起超过200万次抢占请求。

 

 

某企业在促销期间,APP异常下载请求总数超过42.9万,每小时请求数十分平均,使用工具发起的请求特征明显。

场景三:数据聚合

近年来,由于大数据处理和数据挖掘技术的发展,数据资产价值的概念深入人心。越来越多的公司或组织对公开和非公开的数据进行拖库式抓取,对数据进行聚合收集,造成潜在的大数据安全风险。同时,数据授权、来源、用途不透明,隐私侵权、数据滥用等问题也越来越严重。

以政府行业为例,“互联网+政务”服务开放了大量数据查询服务,而这些数据经过聚合之后,可以成为具有极高价值的国家级大数据,因此大量黑产和境外机构利用Bots自动化工具进行大规模数据拖取,国家级大数据已然成为高级Bots的云集之地。一旦这些数据被非法滥用,将会带来巨大危害。

 

 

某公示系统,全体24小时遭受爬虫的高强度访问,爬虫访问占比超过78%。

场景四:暴力破解

“账号密码”是系统防护措施中的重要一环,也一直高居攻击者最想窃取的内容榜首,而破解密码的一个最简单的方法就是暴力破解。目前网上泄漏的各类账号密码库基本都以TB为单位,而借助泛滥的Bots自动化工具,字典破解或撞库的成功率则大幅上升,电商、社交媒体、企业邮箱、OA系统、操作系统等具有登录接口的系统都是此类攻击的目标。

 

 

攻击者可以轻松利用被曝光的包括登录名/密码组合在内的个人数据,在短时间内对数百个不同的网站不断进行登录验证,试图盗用账号,乃至发起进一步攻击并从中获利或者获取更多的个人身份关联信息等有价数据。

场景五:拒绝服务攻击

拒绝服务攻击(DOS)已经是一个老生常谈的问题,传统针对DOS的防护主要集中在流量层面的分布式拒绝服务攻击(DDOS)对抗上,这一类攻击由于攻击特征相对明显,危害虽大,但企业也大多已经具备了相对完善的应对措施。

然而近些年兴起的业务层DOS攻击,则是攻击者利用Bots自动化工具来大量模拟正常人对系统的访问,从而大量消耗系统资源,使得系统无法为正常用户提供服务。由于业务层的DOS攻击从流量上看完全是正常的请求,没有明显的攻击特征,因此给企业防护带来了很大的难度。攻击者利用自动化Bots工具,通过对车票、机票进行循环下单但不付款的方式霸占所有座位,造成无票可售的现象就是一个典型案例。

 

 

未来随着Bots对抗的不断升级,我们相信,越来越多的攻击场景会给企业带来更大挑战,攻防也将是一个持续的过程。因此瑞数信息建议企业将Bots管理纳入到企业应用和业务威胁的管理架构中,部署能够针对自动化威胁进行防护的新技术,借助动态安全防护、AI人工智能及威胁态势感知等技术,提升Bots攻击防护能力,构建基于业务逻辑、用户、数据和应用的可信安全架构。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯