网络安全之Bot学习笔记

导语

关于物联网安全(或物联网安全缺失)的报道越来越多，计算机和物联网设备经常成为黑客攻击的目标，他们利用“机器人”来实施分布式拒绝服务(DDoS)攻击、应用程序攻击和证书伪造，简称Bot攻击。

案例

内容抓取过程的一个例子是，航空公司使用bot farm从竞争对手的航空公司网站上抓取价格信息。他们利用这些信息来动态地为相似的产品定价——一旦他们发现竞争对手在收取什么费用，他们就可以降低服务价格以获得市场优势。

攻击者利用自动化Bots工具，通过对车票、机票进行循环下单但不付款的方式霸占所有座位，造成无票可售的现象就是一个典型案例。

Bot攻击类型

从Bots攻击流量最主要的关注点和对业务影响的角度，可以将Bots攻击类别分为5大类:

1.漏洞探测利用
2.模拟正常业务操作逻辑抢占业务资源
3.爬虫获取高价值数据
4.暴力破解或者撞库获取账号信息
5.面向应用和业务的拒绝服务攻击

Bots自动化威胁七大趋势

移动端成为下一战场

随着企业业务不断从PC端向移动端迁移，黑客的攻击重心也在转移。除了传统的漏洞扫描、APP客户端逆向破解外，大量的非法第三方APP请求、API接口滥用、撞库、批量注册、刷单、薅羊毛等业务相关的攻击正在发生，移动端的对抗将进入下一阶段。

前端对抗持续增强

前端作为整个系统的大门，是Bots攻防中双方必争之地，各种对抗手段不断涌现，可以预见后续前端对抗依然会持续，在JS保护、设备指纹、操作行为等领域的对抗将会持续升级

IoT系统成为新兴攻击目标

智能家电、摄像头、路由器、车载系统等物联网(IoT)设备正深入人们的生活，黑客利用自动批量攻击工具，可以快速获取大量IoT设备的控制权，IoT已然成为信息泄漏和 DDOS攻击的生力军。

Bots成为API滥用的推手

在Bots的帮助下，攻击者对API接口进行暴力破解、非法调用、代码注入等攻击的效率将会大幅提升，API接口滥用行为的防护需求将愈加凸显。

“内鬼”防不胜防

面对高价值的企业数据，企业内部员工无意或蓄意地利用自动化工具及内网合法权限，拖取内部信息、操纵内网交易、建立垃圾账号的事件屡见不鲜，而Bots正充当了“内鬼”们窃密的利器。

云中斗争愈发激烈

云技术的发展会对Bots攻防产生深刻影响。一方面云资源成本降低使得部署于云上的Bots成本也随之降低，Bots数量因而上升；另一方面云上环境相比自建机房更为开放，攻击面暴露更多，遭受攻击的可能性也大大增加。

AI 深度介入攻防过程

AI人工智能已经是网络安全届最热门的话题之一。一方面，过去成本高昂的劳动密集型攻击，已经在基于AI的对抗学习以及自动化工具的应用下找到新的转型模式。另一方面，以AI为基础的攻击检测工具迅速发展，相比传统策略，基于AI的新型攻击检测，可以发现更为隐蔽的攻击。

应对Bots自动化攻击的八条防护建议

01、部署针对Bots自动化威胁的防御新技术

将Bots管理纳入到企业应用和业务威胁管理架构中，部署能针对自动化威胁进行防护的新技术，结合多重变幻的动态安全防护、威胁态势感知及人工智能技术，防止漏洞利用、拟人化攻击等多类应用安全问题，构建集中于商业逻辑、用户、数据和应用的可信安全架构。

02、以动态技术构建主动防御

通过对网页底层代码的动态变幻和实时人机识别技术，隐藏可能的攻击入口，增加服务器行为的不可预测性。同时，需要保证应用逻辑的正确运行，高效甄别伪装和假冒正常行为的已知和未知自动化攻击，直接从来源端阻断自动化攻击。

03、AI技术助力自动化威胁行为的深度分析和挖掘

融入涵盖机器学习、智能人机识别、智能威胁检测、全息设备指纹、智能响应等的AI技术，对客户端到服务器端所有的请求日志进行全访问记录，持续监控并分析流量行为，实现精准攻击定位和追踪溯源，并对潜在和更加隐蔽的攻击行为进行更深层次的分析和挖掘。

04、可编程对抗技术实现灵活便捷的攻防对抗

为企业使用者和用户构建了一个开放式的简单编程环境，提供上百个字段用于规则编写，让具备一定编程基础的客户能够根据企业自身的情况，实现自我防护需求定制和灵活、便捷的攻防对抗。

05、基于大数据分析的自动化威胁情报

通过大数据分析能力，结合业务威胁的特征，对流量进行实时监控。全方位感知透视自动化攻击的来源、工具、目的和行为，并对攻击者进行画像，建立IP信誉库、指纹信誉库和账号信誉库，实现安全无死角。

06、从等保合规的角度制定网络安全防护策略

结合《网络安全法》、等保2.0等网络安全相关的法律法规，将风险评估、安全监测、数据防护、应急处置、自主可控等纳入企业网络安全防护策略，提高应对网络攻击的防御能力，降低工作流程中的数据泄漏和其他安全风险。

07、强化内网纵深安全保护

从技术层面而言，企业可以通过APT解决方案、内网陷阱等方式，并引入“零信任机制”，强化内网纵深安全保护。此外，内网的Web应用及数据库服务器更是重点防护对象，以杜绝内部人员或外部渗透黑客窃取或篡改企业的敏感关键数据。而从管理层面看，严格制定并安全执行各类IT使用规范必不可少。

08、重视IoT及工控设备安全

重视物联网及工控设备安全，提供设备的资产清查、安全管理、预警与联防，整体防护物设备、网络传输及云端，避免物联网及工控设备成为企业信息安全的重大隐患。

结语

安全就像一场永无休止的攻防战，攻防两端永远在博弈，此消彼长，没有完结的一天。未来，数字化将成为企业发展的“核心动能”，安全也将成为企业核心竞争优势之一。有效防御Bots自动化攻击是未来安全防护的趋势，了解自动化Bots攻击特点和系统安全态势，强化安全防护的协同联动，才是企业有效应对后续未知的自动化攻击态势，屹立于不败之地的关键。