安天WEB应用安全系列专题
专题一:一套系统四大防护 安天下一代WAF全方位保障WEB应用
专题二:深入真场景赋能多行业 安天下一代WAF精细化保障WEB应用
专题三:可知、可信、可控,安天下一代WAF动态化保障API业务安全
01
Bot攻击愈发常态化
伴随着大数据、5G、云计算、人工智能等技术发展,以及全球疫情带来的影响,线上业务的开展,在短时间内迎来了爆发式的增长,与此同时,线上业务的安全暴露面也随之增加涌现。因此,网络罪犯也借机纷纷涌向线上业务,并利用Bot自动化攻击手段,大幅增加其攻击的覆盖面和成功率。
据有关数据显示,2022年上半年,Bot流量约占整体互联网流量的60%,平均每月可超过110亿量级,而这其中具备恶意攻击性的Bot流量占比则高达46%,恶意Bot流量带来的安全威胁亟需重视。
图1 Bot流量分布图
02
Bot攻击带来了哪些威胁?
1
恶意网络爬虫
知名网络反欺诈解决方案公司Arkose Labs 在发布的2023年第三季度《恶意爬虫报告》中指出,在2023年第三季度,恶意爬虫程序及欺诈流量占互联网流量73%;同时,顶象防御云业务安全情报中心在“2023年业务风险数据”统计中则进一步指出,恶意网络爬虫风险最高,占据了业务风险总数的37.8%。
攻击者通过使用自动化脚本或工具,非法爬取相关用户的敏感信息、隐私数据、行业信息、商品价格等私密数据,从而损害用户隐私、数据及财产安全。同时,由于被爬取的数据授权、来源、用途十分不透明,会导致隐私侵权、数据滥用等问题越来越严重,造成数据泄露的持续性伤害,增加了潜在的大数据安全风险。
图2 2023年业务风险分布态势图(图片来源:“顶象”公众号)
2
漏洞利用
攻击者利用Bot自动化工具对网络空间进行大面积的扫描攻击,不仅很大程度上提高了攻击效率,缩短攻击时间,也直接导致了相关漏洞的迅速爆发。而新漏洞的爆发,势必会给相关企业的资产安全带来极大威胁。新的漏洞暴露之后,攻击者会迅速利用Bot工具在互联网上进行批量尝试,几乎所有漏洞利用会在1天之内就被广泛传播;与此同时,对于0Day漏洞,防御方则更需要足够的响应时间,在新的POC发布之前的这段时间,用户几乎只能限于被动,难以有效应对。例如在2021年爆发的Log4j2漏洞,攻击者可利用Bot在漏洞披露的几个小时内就已经开始全网大规模的扫描,并尝试攻击。
图3 自动化挖掘漏洞展示图
3
虚假交易
在618、双十一大促期间,“薅羊毛党”利用最新的Bot攻击技术,模仿“真人交易”行为,大肆掠取优惠信息,抢占优惠资源,使得平台补贴落入黑产囊中,从而导致营销资源被异常占用,无法达到促销的效果,既伤害了真实消费者的利益,也破坏了商家的形象和口碑。
“黄牛党”在节假日、音乐会、热点赛事等热门票务交易期间,利用Bot工具进行大规模的刷票、抢票,大量的占用票务资源,之后再高价转卖给消费者。“黄牛党”行为不仅极大程度的挤占了普通消费者的资源和权益,还是在通过恶意手段获取非法利益。
图4 “爬虫”抢票示例
4
拒绝服务攻击
拒绝服务攻击(DoS)所产生的网络问题由来已久,且攻击事件屡见不鲜。随着Bot攻击手段的兴起,攻击者利用Bot自动化工具模拟正常人对系统进行访问,实现对业务层的DoS攻击,从而快速、大批量的消耗系统资源,影响客户正常业务的运行,导致系统无法为正常用户提供服务。由于Bot工具的高仿真人机交互的特点,无明显的攻击特征,因此导致用户即使投入了极大的防护成本,却仍存在缺乏有效的防御手段的窘况。
03
产品介绍
Antiy WAAP是集WEB安全防护、机器人攻击防御、用户业务访问控制、业务逻辑异常检测、业务威胁评估以及业务数据分析为一体的综合业务安全分析防护产品。
Antiy WAAP通过构建积极防御的安全理念,以用户自身的网站安全为核心,从人机识别验证、反爬虫、关键资源防护、抗DDoS攻击、用户业务安全加固等多个维度,提供综合的Bot识别及防护的解决方案。
图5 Bot防御示意图
Bot防护解决方案
图6 Bot防护解决方案价值说明
Antiy WAAP提供的Bot防护解决方案主要拥有5项价值:
1)提高人机流量识别精度,精确识别Bot攻击,降低误报;
2)动态防御手段灵活、多样,切断恶意Bot攻击路径,保障客户系统资源;
3)主动防御,诱捕攻击者,防护客户真实业务;
4)加固自身业务,确保业务各环节的安全性,降低失陷风险;
-
5)抗DDoS攻击,保障客户系统资源。
04
结语
Antiy WAAP通过对恶意Bot的识别、防御、诱捕、抗DDoS等手段与加固业务相辅相成的方式,协助客户解决“薅羊毛”、“黄牛党”、网络爬虫等恶意Bot攻击问题,保障客户业务及财产安全,降低失陷风险。
参考资料:
[1] 顶象. 报告:互联网上,73%流量来自网络爬虫 [R/OL].(2023-12-06)
https://mp.weixin.qq.com/s/bPEPT3dk46uFM2bApP-A6w?version=4.1.20.6006&platform=win
[2] 顶象. 2023年业务风险,呈现出四个新趋势 [R/OL].(2023-12-27)
https://mp.weixin.qq.com/s/NuOKRwWfMkK18lT2r7XutQ?version=4.1.20.6006&platform=win
# 安天青竹智语实验室简介 #
“安天青竹智语实验室”是安天集团为保障业务应用安全成立的实验室。该实验室在应对传统WEB应用威胁的基础上,增强API安全防护和自动化攻击防御;深度结合客户业务,发现逻辑异常、分析用户行为、追溯攻击源头,通过揭示攻击行为的深层次原因,提早发现客户业务系统漏洞,为业务稳定运行提供有效防护。
专题二:深入真场景赋能多行业 安天下一代WAF精细化保障WEB应用
专题三:可知、可信、可控,安天下一代WAF动态化保障API业务安全
图1 Bot流量分布图
知名网络反欺诈解决方案公司Arkose Labs 在发布的2023年第三季度《恶意爬虫报告》中指出,在2023年第三季度,恶意爬虫程序及欺诈流量占互联网流量73%;同时,顶象防御云业务安全情报中心在“2023年业务风险数据”统计中则进一步指出,恶意网络爬虫风险最高,占据了业务风险总数的37.8%。
攻击者通过使用自动化脚本或工具,非法爬取相关用户的敏感信息、隐私数据、行业信息、商品价格等私密数据,从而损害用户隐私、数据及财产安全。同时,由于被爬取的数据授权、来源、用途十分不透明,会导致隐私侵权、数据滥用等问题越来越严重,造成数据泄露的持续性伤害,增加了潜在的大数据安全风险。
图2 2023年业务风险分布态势图(图片来源:“顶象”公众号)
攻击者利用Bot自动化工具对网络空间进行大面积的扫描攻击,不仅很大程度上提高了攻击效率,缩短攻击时间,也直接导致了相关漏洞的迅速爆发。而新漏洞的爆发,势必会给相关企业的资产安全带来极大威胁。新的漏洞暴露之后,攻击者会迅速利用Bot工具在互联网上进行批量尝试,几乎所有漏洞利用会在1天之内就被广泛传播;与此同时,对于0Day漏洞,防御方则更需要足够的响应时间,在新的POC发布之前的这段时间,用户几乎只能限于被动,难以有效应对。例如在2021年爆发的Log4j2漏洞,攻击者可利用Bot在漏洞披露的几个小时内就已经开始全网大规模的扫描,并尝试攻击。
在618、双十一大促期间,“薅羊毛党”利用最新的Bot攻击技术,模仿“真人交易”行为,大肆掠取优惠信息,抢占优惠资源,使得平台补贴落入黑产囊中,从而导致营销资源被异常占用,无法达到促销的效果,既伤害了真实消费者的利益,也破坏了商家的形象和口碑。
Antiy WAAP是集WEB安全防护、机器人攻击防御、用户业务访问控制、业务逻辑异常检测、业务威胁评估以及业务数据分析为一体的综合业务安全分析防护产品。
Antiy WAAP通过构建积极防御的安全理念,以用户自身的网站安全为核心,从人机识别验证、反爬虫、关键资源防护、抗DDoS攻击、用户业务安全加固等多个维度,提供综合的Bot识别及防护的解决方案。
图5 Bot防御示意图
Bot防护解决方案
图6 Bot防护解决方案价值说明
Antiy WAAP提供的Bot防护解决方案主要拥有5项价值:
1)提高人机流量识别精度,精确识别Bot攻击,降低误报;
2)动态防御手段灵活、多样,切断恶意Bot攻击路径,保障客户系统资源;
3)主动防御,诱捕攻击者,防护客户真实业务;
4)加固自身业务,确保业务各环节的安全性,降低失陷风险;
-
5)抗DDoS攻击,保障客户系统资源。
[2] 顶象. 2023年业务风险,呈现出四个新趋势 [R/OL].(2023-12-27)
https://mp.weixin.qq.com/s/NuOKRwWfMkK18lT2r7XutQ?version=4.1.20.6006&platform=win
原文始发于微信公众号(安天集团):运用Antiy WAAP构建积极防御 有效应对恶意Bot威胁
