2018年全球各地各产业对外数据泄露事件频传,总计超过17亿次的数据外泄使得后续欺诈问题无孔不入。我们必须意识到,攻击者目前手中持有的数据信息比以往任何时候都多,身份证、手机号、银行卡号等都可以成为攻击者的可信武器。据统计,全球中大型网站目前每分钟遭受超过7,000次账户尝试登录攻击,造成每年高达160亿美元的线上诈骗损失,并且这一数字在未来5年内有机会超过480亿美元。
同时,伴随着AI技术、自动化工具的应用及平台化趋势的加强,无论是老生常谈的漏洞利用、DDoS攻击、内网安全问题,还是新兴涌现的身份欺诈、API滥用、物联网设备安全风险,都在为2019年的动荡埋下伏笔。我们相信,2019年必将是网络安全领域的又一个重要年份。
(图片来自包图网)
2019八大Bots自动化攻击新趋势
一、Bots – 加速漏洞曝光和利用
尽管目前存在大量已知漏洞,但实际上真正被黑客利用的只有大约6%。未来随着自动化工具(Bots)的强势发展和应用,这一比例必将大幅提高。借助自动化工具,漏洞利用攻击将不再是高级黑客组织的“专属”,而开始向“低成本、高效率”的趋势发展。网络罪犯可以在短时间内,以更高效、更隐蔽的方式对大量不同网站进行漏洞扫描和探测,尤其对于0day/Nday漏洞的全网探测,将会更为频繁和高效。与漏洞快速曝光,和漏洞被快速利用相对应,则显现出企业的开发和安全运维人员几乎无法在合理的短时间内完成打补丁,补漏洞的安全应对。
【瑞数观察:2018年,在对上百个运营商、金融及政府客户的网站及重要web应用安全监控发现,90%的系统都被经常性的探测漏洞和扫描。对于0day/Nday漏洞,首次探测高峰已经由POC发布后1周,提前到POC发布前3天。】
二、Bots – 助力人工智能(AI)这把双刃剑
2019年,人工智能(AI)仍然会是网络安全届的热点话题之一。过去劳动密集型和成本高昂的攻击,已经在基于AI的对抗学习,以及自动化工具的应用下找到新的转型模式。AI有益于数据挖掘和分析的算法和模型,以及由此带来的智能化服务,也会被黑产利用,借由自动化的助力,形成更为拟人化和精密化的自动化攻击趋势,这类机器人模拟真人的行为会更聪明、更大胆,也更难以追踪和区别于真人的行为。日前,由中国西北大学、北京大学和英国兰开斯特大学共同开发的一种人工智能,已经可以在短短0.5秒内破解文本CAPTCHA系统,这或许会成为终结验证码时代(人机识别重要技术)的标志,也或许会在未来为网络罪犯提供新的助力。
【瑞数观察:某拥有约1200万活跃用户数的电商客户,在其为期5天的App营销活动中,累计发现异常访问的设备约84万个,涉及约120万个账号,约占总参与账号的10%,这些设备和账号通过模拟器、Android伪装iPhone、iPhone改机工具、单设备多IMEI号的分身软件等手段从操作行为、设备特征、手机使用行为特征等各方面模拟真人操作,躲避安全防御手段。该客户保守估计,若黑产的每个账号假设可套现10元,如果没有有力的识别和控制手段,那么黑产可非法获利金额占营销总投入达1/3以上。】
三、Bots – 身份信息不再只属于自己
每个人都必须承认,频繁的数据外泄事件后,特别是酒店、商旅、票务等与个人生活、出行息息相关的应用中的身份信息的大规模泄露事件,我们的身份信息遭暴露、被贩卖,并且极易受到进一步的攻击。但对于网络罪犯而言,假冒合法身份、建立虚假账号却变得前所未有得简单。结合自动化脚本或工具,网络罪犯可以轻松利用被曝光的包括登录名/密码组合在内的个人数据,在短时间内对数百个不同的网站不断进行登录验证,试图盗用账号,乃至发起进一步攻击并从中获利或者获取更多的个人身份关联信息等有价数据。据统计,自2017年11月初至2018年6月底的8个月内,恶意登录尝试总计超过300亿次此外,这类攻击方式本身的变化——从海量易察觉攻击,转向由专业化自动工具发起的“低频率多IP源”的隐形逃避检测的攻击——也会给企业机构的安全应对带来更多难题。
【瑞数观察:某客户业务的SSO单点登录系统,在被保护的750万请求中,撞库请求比例高达86%,仅14%为正常的用户登录行为,其中,撞库请求一半以上是通过更换代理IP,或Web_Driver、PhantomJS等高级浏览器模拟工具,甚至结合云打码平台,进行验证码绕过。】
四、Bots – “内鬼”悄无声息的利器
实际上,虽然企业多将大量资源集中用于应对来自外部的网络攻击,但相当多的安全事件却是由内网安全风险引发的。企业内部员工无意或蓄意地利用自动化工具及内网合法权限,拖取内部信息,操纵内网交易,进行大规模数据盗取、建立垃圾账号的事件屡见不鲜。我们有理由相信,在当前的经济环境中,面对高价值的企业数据,“内鬼”造成的恶性安全事件会越来越多,而Bots充当了“内鬼”们利用其合法身份,模拟合法业务操作进行窃密的利器。
【瑞数观察:某省级运营商客户的内网业务系统,有8000多个企业及合作伙伴账号,发现近2000个业务账号有工具化的业务操作、数据查询等行为,这些采取外挂方式进行的业务访问常常通过VPN方式接入访问,从IP上难以识别和控制,具有隐蔽性,是有高风险和违规的行为。】
五、Bots – API滥用的推手
API安全性早已跻身OWASP十大排行榜,并且仍有极大可能蝉联。据调查,目前每个企业平均管理363种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴。尽管开放API、统一API接口等模式承担着拓宽企业技术和服务生态系统的责任,但这同时也为攻击者利用自动化工具大量调用API提供了更简单、更高效的途径,甚至能被用于暴力攻击、非法第三方App、网络钓鱼和代码注入等一系列威胁,并借由统一平台产生倍数级的破坏。对于API接口滥用行为的监测发现需求将愈加凸显。
【瑞数观察:某省级运营商的一个互联网业务,有300-500个API接口;某省级政府的60多个网站应用中,涉及各类API接口竟达到上万个,而这些庞大的API接口都存在这API滥用的巨大风险。】
六、Bots – DDoS攻击更大规模、更快速度
尽管DDoS攻击是一个非常古老的安全威胁,但它从未停止。2018年12月间,由黑客组织“匿名者(Anonymous)“发起的代号为”Oplcarus2018”的DDoS攻击行动,波及全球各国金融机构;企业仍然很难保护他们的在线资源免受攻击。更令人不安的是,2019年,随着自动化攻击工具的广泛散播和大量物联网设备成为攻击跳板,DDoS攻击的体量规模和蔓延速度都会上升到一个新的水平。
【瑞数观察:以某大银行遭遇的DDoS攻击为例,在30分钟之内遭到近500万次的应用层DDoS攻击;抗D设备因无法处理SSL/TLS流量,几乎毫无防护效果;WAF设备虽能阻挡部分攻击,但由于攻击来源极为分散,防护效果并不显著。当Bots发起的DDoS攻击,从网路层转向加密的应用层流量时,为企业网站的安全防护带来了巨大挑战】
七、Bots – 智能家电成为藏在每个人家中的安全隐患
2018年下半年,数千台MikroTik路由器遭到攻击,悄然变成挖掘数字加密货币的矿工。但这只是一个开始。ACIConsumerGram分析显示83%的路由器设备均存在安全漏洞问题,因此我们相信,在新的一年中,越来越多的家庭路由器将会被攻击者利用,提供如捕获敏感数据、安装恶意程序、DDoS攻击、挖矿等服务。随着物联网设备的多样化,网络罪犯者还会利用被感染的路由器,将攻击范围延伸至所有与其相关联的IoT设备,形成跨平台攻击,被感染的IoT设备甚至可被当作向内网发动窃密、挖矿劫持等进一步攻击的跳板。这类破坏比计算机本身受到攻击更难修复。此外,设备一旦被感染,用户往往难以察觉。
【瑞数观察:某部署于外网的物联网设备,部署后的第一天即遭到100余次的扫描探测,第二天遭到上千次的密码猜测及漏洞攻击,该设备于上线40小时后被Bot攻陷并被植入恶意代码。此外,瑞数也观察到跨平台的攻击正在高速增长,Bot通过内网的电脑或手机,攻击在内网的物联网设备;使得不再只有部署在外网的物联网设备会受到攻击,在内网的物联网设备也正在成为黑客的攻击热点】
八、Bots – 安全对抗升级促使攻击手段进化
随着自动化攻击与安全防护之间对抗的不断升级,提供各类对抗服务的黑灰产组织也越来越多,各类服务例如代理IP服务、图形验证码识别、短信验证码代收、群控设备池、账号提供商等等,可以轻易获取。大部分传统Bots防护手段被轻松穿透,与此同时又催生了更具拟人特点的全新Bots攻击,这些恶意Bots会通过使用模拟器、伪造浏览器环境、UA、分布式IP等给系统安全带来极大威胁。
【瑞数观察:对多家信息公开查询类系统用户日志分析,发现单一爬虫组织每天可以使用的IP超过100万,单一IP在使用数十次后即丢弃;图形验证码识别时间少于0.5秒】
瑞数安全专家建议
部署针对Bots自动化威胁的防御新技术
将Bots管理纳入到企业应用和业务威胁管理架构中,部署能针对自动化威胁进行防护的新技术,结合多重变幻的动态安全防护、威胁态势感知及人工智能技术,防止漏洞利用、拟人化攻击等多类应用安全问题,构建集中于商业逻辑、用户、数据和应用的可信安全架构。
加强Bots管理
Bots的出现,一方面为企业提供了便利的服务,例如搜索引擎、应用可用性和性监测服务、信息内容监控服务等。另一方面也会有一些组织、机构、个人,借助互联网、手机、物联网等形成的Bots,对数据资产进行恶意抓取,给企业安全、信誉造成潜在威胁。大量游走在Good和Bad之间的Bots不容忽视,通过Bots识别、提高成本、可视化展示等多维度对各类Bots进行管理。
强化内网纵深安全保护
从技术层面而言,企业可以通过APT解决方案、内网陷阱等方式,并引入“零信任机制”,强化内网纵深安全保护。此外,内网的Web应用及数据库服务器更是重点防护对象,以杜绝内部人员或外部渗透黑客窃取或篡改企业的敏感关键数据。而从管理层面看,严格制定并安全执行各类IT使用规范必不可少。
重视IoT及工控设备安全
重视物联网及工控设备安全,提供设备的资产清查、安全管理、预警与联防,整体防护物设备、网络传输及云端,避免物联网及工控设备成为企业信息安全的重大隐患。
从等保合规的角度制定网络安全防护策略
结合《网络安全法》、等保2.0等网络安全相关的法律法规,将风险评估、安全监测、数据防护、应急处置、自主可控等纳入企业网络安全防护策略,提高应对网络攻击的防御能力,降低工作流程中的数据泄漏和其他安全风险。
本文来源:游侠安全网