日前，瑞數(shù)信息重磅發(fā)布《2020 Bots自動(dòng)化威脅報(bào)告》，基于公司多年來(lái)在金融、政務(wù)、電信、電商等行業(yè)的數(shù)百例防護(hù)案例，及對(duì)各類(lèi)自動(dòng)化攻擊事件的整理回溯，瑞數(shù)信息提出了2020年Bots自動(dòng)化威脅的七大發(fā)展趨勢(shì)。

　　在移動(dòng)互聯(lián)網(wǎng)高度發(fā)展和普及的今天，企業(yè)越來(lái)越多地將業(yè)務(wù)從PC端遷移到移動(dòng)端。在業(yè)務(wù)遷移的同時(shí)，黑客的攻擊重心也會(huì)隨著業(yè)務(wù)的遷移而轉(zhuǎn)移，企業(yè)面臨的攻擊也比以往更復(fù)雜和多元化。除了傳統(tǒng)的漏洞掃描、APP客戶(hù)端逆向破解外，還會(huì)有大量的非法第三方APP請(qǐng)求、API接口濫用、撞庫(kù)、批量注冊(cè)、刷單、薅羊毛等業(yè)務(wù)相關(guān)的攻擊，移動(dòng)端的對(duì)抗也將進(jìn)入下一階段。

　　前端作為整個(gè)系統(tǒng)的大門(mén)，是Bots 攻防中雙方必爭(zhēng)之地，各種對(duì)抗手段不斷涌現(xiàn)，可以預(yù)見(jiàn)后續(xù)前端對(duì)抗依然會(huì)持續(xù)，在以下幾個(gè)領(lǐng)域的對(duì)抗將會(huì)持續(xù)升級(jí)：

　　前端是一個(gè)非常透明的領(lǐng)域，所有JS代碼均被下載到用戶(hù)本地，JS代碼防護(hù)手段已經(jīng)由靜態(tài)混淆發(fā)展到更高級(jí)別的動(dòng)態(tài)混淆、虛擬機(jī)等技術(shù)防護(hù)，對(duì)于JS代碼的保護(hù)和破解是接下來(lái)攻防雙方重點(diǎn)關(guān)注的領(lǐng)域。

　　在人機(jī)識(shí)別和風(fēng)控領(lǐng)域，穩(wěn)定唯一的設(shè)備指紋是一個(gè)重要元素，攻擊者會(huì)嘗試各種手段來(lái)破壞指紋的穩(wěn)定性，圍繞設(shè)備指紋的爭(zhēng)奪也會(huì)升級(jí)。

　　無(wú)論是驗(yàn)證碼還是無(wú)感驗(yàn)證，都是利用用戶(hù)在頁(yè)面的操作行為進(jìn)行判斷，例如鍵盤(pán)操作、 鼠標(biāo)操作、頁(yè)面停留時(shí)間等，Bots則會(huì)在這些方面盡可能地去模擬正常人的操作，如何有效地對(duì)模擬行為進(jìn)行識(shí)別需要持續(xù)分析升級(jí)。

　　智能家電、攝像頭、路由器、車(chē)載系統(tǒng)等物聯(lián)網(wǎng) （IoT） 設(shè)備正在深入人們的生活，黑客利用自動(dòng)化批量攻擊的工具，可以快速獲取大量IoT設(shè)備的控制權(quán)，IoT已然成為信息泄漏和DDOS攻擊的生力軍。根據(jù)相關(guān)數(shù)據(jù)顯示，2019年全球IoT設(shè)備數(shù)量已經(jīng)超過(guò)80億臺(tái)，預(yù)計(jì)2020年設(shè)備數(shù)量將會(huì)達(dá)到百億臺(tái)。一方面是設(shè)備數(shù)量的劇增，一方面是跟不上腳步的安全防護(hù)，這些設(shè)備自然也就成為了黑客眼中的肥羊。

　　API 安全性早已躋身OWASP十大排行榜，并且仍有極大可能蟬聯(lián)。據(jù)調(diào)查，目前每個(gè)企業(yè)平均管理超過(guò)350種不同的API，其中69%的企業(yè)會(huì)將這些API開(kāi)放給公眾和他們的合作伙伴。雖然開(kāi)放API承擔(dān)了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任，但同時(shí)也給了攻擊者可乘之機(jī)。在Bots幫助下攻擊者對(duì)API接口進(jìn)行暴力破解、非法調(diào)用、代碼注入等攻擊的效率將會(huì)大提升，API接口濫用行為的防護(hù)需求將愈加凸顯。

　　實(shí)際上，雖然企業(yè)多將大量資源集中用于應(yīng)對(duì)來(lái)自外部的網(wǎng)絡(luò)攻擊，但相當(dāng)多的安全事件卻是由內(nèi)網(wǎng)安全風(fēng)險(xiǎn)引發(fā)的。企業(yè)內(nèi)部員工無(wú)意或蓄意地利用自動(dòng)化工具及內(nèi)網(wǎng)合法權(quán)限，拖取內(nèi)部信息，操縱內(nèi)網(wǎng)交易，進(jìn)行、建立垃圾賬號(hào)的事件屢見(jiàn)不鮮。我們有理由相信，在當(dāng)前的經(jīng)濟(jì)環(huán)境中，面對(duì)高價(jià)值的企業(yè)數(shù)據(jù)，"內(nèi)鬼"造成的惡性安全事件會(huì)越來(lái)越多，而B(niǎo)ots充當(dāng)了"內(nèi)鬼"們利用其合法身份，模擬合法業(yè)務(wù)操作進(jìn)行竊密的利器。

　　云技術(shù)的發(fā)展對(duì)Bots的攻防產(chǎn)生著深刻的影響。一方面云資源成本的降低，讓部署在云上的Bots成本也隨之降低，進(jìn)而帶動(dòng)攻擊者部署更多的Bots；另一方面企業(yè)在上云之后，相比自建機(jī)房的環(huán)境更為開(kāi)放，攻擊面暴露得更多，遭受攻擊的可能性也大大增加。因此在Bots數(shù)量上升和更多弱點(diǎn)暴露的兩難境地之中，企業(yè)在上云之后如何進(jìn)行有效的Bots防護(hù)管理將成為一個(gè)關(guān)注點(diǎn)。

　　人工智能（AI）已經(jīng)是網(wǎng)絡(luò)安全屆最熱門(mén)的熱點(diǎn)話(huà)題之一。一方面，過(guò)去勞動(dòng)密集型和成本高昂的攻擊，已經(jīng)在基于AI的對(duì)抗學(xué)習(xí)以及自動(dòng)化工具的應(yīng)用下找到新的轉(zhuǎn)型模式。另一方面，過(guò)去一年中以AI為基礎(chǔ)的攻擊檢測(cè)工具得到長(zhǎng)足發(fā)展，相比傳統(tǒng)的策略，新型基于AI的攻擊檢測(cè)，可以發(fā)現(xiàn)更為隱蔽的攻擊�？梢灶A(yù)見(jiàn)，在自動(dòng)化攻防領(lǐng)域基于AI的對(duì)抗也會(huì)越來(lái)越激烈。

　　Bots攻擊已經(jīng)日益成為了攻擊主流，同時(shí)，伴隨AI技術(shù)及平臺(tái)化趨勢(shì)的加強(qiáng)，越來(lái)越復(fù)雜的高級(jí)機(jī)器人攻擊為網(wǎng)絡(luò)安全行業(yè)帶來(lái)了更為嚴(yán)峻的挑戰(zhàn)。2019年圍繞Bots攻防展開(kāi)的對(duì)抗技術(shù)得到了長(zhǎng)足發(fā)展，在接下來(lái)的時(shí)間里這一對(duì)抗依然會(huì)持續(xù)并增強(qiáng)。安全就像一場(chǎng)永無(wú)休止的攻防戰(zhàn)，攻防兩端永遠(yuǎn)在博弈，此消彼此，沒(méi)有完結(jié)的一天。
 

　　掃碼二維碼 下載完整報(bào)告