C目录ONTENTS 概述02 什么是Bots?04 2种分类04 3个级别04 5大威胁场景05 核心观察06 应用数据风险加剧06 API攻击持续增长06 反勒索提升网络韧性06 生成式AI威胁快速兴起06 深度分析08 整体态势08 公开数据的安全不容忽视10 API攻击热度不减10 勒索攻击与Bots紧密结合12 高级Bots广泛使用13 Bots详情分析14 案例分享21 API接口越权防护21 高级工具批量数据爬取防护22 Web勒索攻击防护23 小程序逆向破解防护24 发展趋势26 恶意生成式AI加剧攻防不对称26 WAAP升级走向应用统一防护26 AI驱动的API提升防御效率27 勒索和供应链攻击显著增长28 数据安全更需全生命周期管控28 构建安全韧性将成为企业重要战略29 防护建议31 附录33 OWASPAPISecurityTOP102023解读33 安全事件汇总36 关于瑞数信息40 概述 2023年,企业数字化进程的步伐持续推进,数字化应用软件的创新和广泛使用,让应用数据的产生、交互、处理的途径和方式也越来越多,Web、H5、App作为业务接入渠道已经普遍,而API、微信公众号和小程序等更加高效和良好体验的应用形式迅速崛起,也让应用风险敞口和管控难度进一步加大。此外,全球产业链供应链冲击持续加大,网络空间安全面临的形势日益复杂多变,大规模针对性网络攻击行为增加,安全漏洞、数据泄露、网络诈骗等风险突出。 伴随以ChatGPT为代表的新一代人工智能技术的兴起,AGI时代已经全面开启,科技产业版图正在加快重构,加速进入智能新时代。放眼全球,AI大模型等新技术在掀起新一轮人工智能技术革命的同时,也引发了新型攻击、数据合规以及网络犯罪的日益专业化等安全风险。面对网络安全产业发展的新趋势,如何构建更具实战能力的安全能力,实现安全防御上的“化被动为主动”,已成为各行各业的刚需。 2023年,数字经济已步入数据驱动发展阶段,数据要素的重要地位显著提高。海量数据在采集、存储、传输、共享与防护中都面临着前所未有的数据安全挑战,勒索攻击、数据泄露事件频频发生,数据安全问题已经成为各行各业用户的关注焦点,如何保障数据要素的安全也成为数字经济时代亟需解决的问题。 PAR瑞数T信1息 Bots自动化威胁报告 什么是Bots? 2种分类 3个级别 瑞数信息技术(上海)有限公司www.riversecurity.com3 5大攻击威胁场景 什么是Bots? 机器人攻击(Botsattack),是通过工具或者脚本等程序,对应用系统进行的攻击或探测,它不仅仅是一种自动化的应用漏洞利用的攻击行为,更多是利用业务逻辑漏洞的威胁行为,甚至是模拟合法业务操作,躲避现有安全防护手段的自动化威胁行为。 2种分类 ·善意机器人:在受控的环境内使用,以提升工作效率、用户体验为目的的自动化工具,包括搜索引擎、运维监控、RPA等等。此类Bots在运行过程严格遵守访问协议,不会进行越权、非法等类型的访问,不会给访问目标带来压力。 ·恶意机器人:是指存在恶意访问行为的Bots,行为包括漏洞扫描、撞库、信息爬取、薅羊毛、DDos攻击等等。恶意机器人在运行期间,会给目标系统带来较大的压力,影响系统的安全性和可用性。 3个级别 从Bots拟人化的程度上划分,可以将Bots划分三个级别: ·初级:以脚本类程序为主,不具备页面渲染、JS执行等能力,仅可根据预先设定的参数进行模拟访问。 ·中级:具备页面渲染、JS执行能力,可对动态生成的信息进行获取,但不具备交互能力。 ·高级:APBS,具备完整的浏览器功能,可模拟鼠标、键盘等操作与目标系统进行拟人化交互。 4瑞数信息技术(上海)有限公司www.riversecurity.com 5大威胁场景 虽然OWASP对于自动化威胁的分类超过20种,但根据国内的情况进行汇总分析,主要场景有: ·恶意爬虫 据统计自动化威胁流量中80%以上是恶意爬虫产生的。恶意爬虫会造成多种危害,如对公开和非公开数据进行拖库式爬取,例如各类公示信息、公民个人信息、信用信息等之后对数据进行聚合收集,造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明,导致的隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体验,当抓取数据量逐渐增大时,会对服务器造成性能压力,甚至有可能会崩溃。 ·漏洞探测利用 对目标系统进行漏洞扫描,发现漏洞之后自动进行利用。借助自动化工具,攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测,尤其是对于0day/Nday漏洞的全网探测,将会更为频繁和高效。 ·资源抢占 利用Bots自动化工具快速的优势,对有限的资源进行抢占,造成恶性竞争,也成为黄牛党的有力武器。比较常见的资源抢占包括:挂号、报名、购票、秒杀、薅羊毛等等。 ·暴力破解 对登录接口进行高效的密码破解,给系统安全带来极大的危害。此类攻击目标范围广泛,除了我们熟知的各类电商、社交系统,还包括很多办公系统,例如办事网厅、企业邮箱、OA系统、操作系统等等,几乎所有具备登录接口的系统都会成为攻击目标。 ·拒绝服务攻击 包括应用DOS和业务DOS两种类型,除了以往比较常见的分布式拒绝服务攻击(DDOS)外,利用Bots来大量模拟正常人对系统的访问,挤占系统资源,使得系统无法为正常用户提供服务的业务层DOS也日渐兴起。 瑞数信息技术(上海)有限公司www.riversecurity.com5 核心观察 A 应用数据风险加剧 由于企业互联网化进程的不断深入,使得越来越多的业务被迁移到互联网上,大量的应用数据被产生、传输、公开、共享。与此同时,新一代应用通过Web、H5、App、API、微信和小程序等多种业务渠道接入,导致应用敞口风险和链条管控难度加大,各类变化多端的撞库攻击、暴力破解、爬虫攻击、API接口滥用,也导致企业数据泄露风险加剧。 API攻击持续增长 随着API调用数量的增多和自动化工具的兴起,API攻击持续走高,API攻击已经大幅超越传统Web攻击,约70%的攻击针对API发起。同时由于API资产管理不当,大多数API处于未知、未管、未保护的状态也给攻击者带来可乘之机。相比传统的安全防护,API还存在多种防护难点,API安全诉求正在成为热点。 B C 反勒索提升网络韧性 勒索攻击事件的频发,让各企业意识到“没有绝对的安全”,单纯靠防勒索软件是无法真正意义上避免勒索攻击的。反勒索不同于防勒索,反勒索视角是提升“网络韧性”的视角,即便勒索发生,也不受制于攻击者的勒索要求,快速恢复系统和业务;提升企业的网络韧性,即提供勒索攻击发生后业务的快速恢复能力。 生成式AI威胁快速兴起 像任何技术创新一样,生成式AI在提升工作效率的同时,也会带来新的安全风险。网络上已经出现大量的“邪恶GPT“,例如WormGPT、FraudGPT、PoisonGPT、Evil-GPT、XXXGPT、DarkBART等等。通过恶意代码训练之后的模型,可以帮助攻击者生成各种工具,快速的发现并利用目标系统中的漏洞,极大的降低了攻击门槛,提升攻击效率。 D 6瑞数信息技术(上海)有限公司www.riversecurity.com PAR瑞数T信2息 Bots自动化威胁报告 深度分析 瑞数信息技术(上海)有限公司www.riversecurity.com7 整体态势 API攻击热度不减 高级Bots广泛使用 公开数据的安全不容忽视 勒索攻击与Bots紧密结合 Bots详情分析 深度分析 整体态势 2019年 2023年 44.65% 40.97% 38.13% 49.94% 14.38% 11.93% 恶意机器人 人类访问 善意机器人 在过去5年里,由Bots产生的流量明显高于正常访问流量,并且呈现出持续增长的趋势。Bots访问流量占比已经从2019年的55.35%增长到今年的61.87%。其中,恶意Bots的占比更是从 39.20% 53.19% 7.61% 运营商 45.12% 39.57% 15.31% 教育 44.80% 39.27% 15.93% 保险 46.38% 33.73% 19.89% 能源 51.95% 29.62% 18.43% 人类 恶意机器人 善意机器人 互联网 30.80% 58.32% 10.88% 医疗卫生 31.29% 57.65% 11.06% 政府 28.81% 56.54% 14.65% 出版物流 45.73% 10.02% 金融 43.13% 44.25% 41.51% 15.36% 从各行各业的网络请求流量来看,互联网、医疗卫生、政府依然是遭受Bots攻击最为严重的行业。 40.97%增长到49.94%,信息查询公示系统、资源抢占型系统依然是Bots攻击的头号目标,恶意机器人比例进一步提升。 信息遍历 接口Fuzz 密码破解 越权访问 漏洞探测 凭证盗用 注入攻击 短信轰炸 路径探测 SSRF ·被攻击业务类型分析 100 95 85 83 80 56 52 32 31 25 不同的业务面临的Bots威胁也不一样,涉及数据和账号的业务容易遭受Bots攻击,例如公开数据查询、个人信息查询、登录等业务。 公开数据查询 登录 注册 下单 短信 业务办理 个人信息查询 投票评价 文件下载 找回密码 ·攻击手段 100 95 92 90 70 70 60 56 25 20 Bots除了采用传统的漏洞扫描、注入、恶意文件上传等攻击手段外,还会从业务层面发起信息遍历、越权访问等攻击,并且这些类型的攻击数量已经超过传统攻击。 公开数据的安全不容忽视 300000 单位:万次 263480 259045 250000 220329 194863 190466 200000 197743 186265 172569 165419 157644 155241 150000 110775 100000 2023/1/12023/2/12023/3/12023/4/12023/5/12023/6/12023/7/12023/8/12023/9/12023/10/12023/11/12023/12/1 恶意数据爬虫是自动化攻击请求中占比最大的一类,说明公开数据的安全问题不容忽视,无论是传统行业、互联网行业,还是政企、医疗卫生、教育等,都遭受持续不断的爬虫访问。Bots在自动的 *前三大公示系统爬虫访问趋势 API攻击热度不减 随着数字化技术的发展和WebAPI数量的爆发性增长,API面临的安全攻击比例已经超过传统的Web漏洞攻击,API和小程序逐渐成为了很多企业和组织的流量入口,API接口越来越丰富,引发的攻击越来越多,并且通过API接口攻击突破web应用,作为跳板进入目标网络。越来越多的攻击者正利用API来实施自动化的“高效攻击”,由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益,逐渐受 调用公开数据查询接口时,不仅仅是占用了服务器和带宽资源,数据被爬取之后的二次关联分析风险也必须要关注。2023年瑞数信息防护的前三大信息公示系统的年爬虫访问量已经超过2000亿。 到各方的关注。 瑞数信息《2023API安全趋势报告》显示,API攻击已经大幅超越传统Web攻击,约70%的攻击针对API发起。目前,API还存在多种防护难点,比如由于API资产不清、接口分散和传输格式多样性导致接口难以发现;攻击面不断变化,调用访问多渠道多边界难以全面防护;API的业务相关性形成防护策略难以通用;合法授权下的滥用风险难以识别等。 过度数据暴露 参数可遍历 越权访问 参数可篡改 接口误暴露 短信接口滥用 明文密码传输 未鉴权 允许弱口令 传统Web漏洞 ·API攻击占比 针对传统Web攻击 针对API攻击:70% 针对传统Web攻击:30% 针对API攻击 ·AP