应用系统自动化攻击防护技术发展研究及政策建议

2020-11-30

摘自:《网络安全技术和产业动态》2020年第5期,总第5期。

中国网络安全产业联盟(CCIA)主办,瑞数信息技术(上海)有限公司、恒安嘉新(北京)科技股份公司、北京北信源软件股份有限公司供稿


自动化攻击(Bots攻击)是指攻击者利用工具对目标系统进行自动化的漏洞扫描、信息收集、数据窃取、漏洞利用等攻击,攻击过程自动执行而无需人工干预。Bots攻击已经日益成为了攻击主流,根据国内外相关组织厂商统计,全球网络流量中由真实人类发起的请求已经不足一半。随着自动化攻击手段的发展,系统面临的攻击类型也越来越多,在OWASP最新发布《Automated threat handbook》中自动化威胁种类已经达到21种,越来越复杂的高级Bots攻击为网络安全行业带来了更为严峻的挑战。

Bots攻击防护主要是指通过各种技术手段,针对客户端的请求进行分析,对于隐藏其中的Bots请求进行识别管理,降低应用系统面临的风险。常见的Bots防护技术主要有访问频率限制、图形验证码,动态防护技术作为新兴的防护技术正在快速发展中。


一、技术发展情况

相对于传统安全攻防Bots攻击的防护思路和技术路线都有很大的不同,Bots攻击的防护技术主要是通过识别工具和人类访问行为之间的差异,达到人机识别的目的。

早期的Bots攻击防护技术主要是利用工具的高频率访问特性,通过限制单一IP来源的请求频率进行访问控制,当来源请求频率超过预先设定的阈值时,安全设备会对该IP的后续请求进行限制。此后出现了基于图形验证码的人机识别技术,对于不能准确识别图片内容的访问则判定为自动化访问。

随着自动化工具的发展,早期的防护技术已经被突破,以动态技术为核心的无感验证防护体系目前已成为主流。该类防护技术整合了客户端环境验证、攻击入口点隐藏、用户行为识别、零信任令牌机制以及AI大数据分析等技术,从不同层面对Bots攻击进行全面识别拦截。


二、发展难点分析

      Bots攻击防护技术发展中目前急需解决两大问题,一是在高强度对抗中保证系统的兼容性,二是为后端分析提供靠、稳定、全面的数据支持。同时Bots自身也在快速演进,需要安全厂商进行持续的资源投入。

(1)前端开发缺乏统一标准。随着应用系统前端开发技术的发展,越来越多的技术、框架在开发过程中使用,而不同技术之间又缺乏统一标准,使用方式也不尽相同,对动态技术的适配能力和兼容性提出了更高的要求。

(2)需求矛盾突出。客户端隐私控制和大数据分析需求之间的矛盾愈发突出,需要制定更为严格的控制策略,来降低用户行为识别和大数据分析过程中出现敏感数据泄漏,窃取等安全风险,也对相关安全技术提出了挑战。

(3)Bots攻击技术快速演进。在经济利益驱使下,黑产组织会对Bots攻击技术进行快速迭代升级,相关攻防对抗比传统安全更为激烈,需要安全厂商持续投入更多的人力、物力来进行对抗支撑。


三、产业落地情况

      IP频率防护和验证码技术作为Bots攻击防护的基础策略已经非常成熟,已被下一代防火墙(NGFW)、入侵防御(IPS)、Web应用防火墙(WAF)等安全设备大量集成。

以动态技术为代表的新型Bots攻击防护技术目前仍处于起步快速发展阶段,直接参与者大部分为初创企业,传统公司多以收购方式进行参与。国外以Shape Security为代表,现已经被F5收购,传统安全厂商Imperva收购了Distil Networks,Radware收购了ShieldSquare。国内来看,瑞数信息专注业务及应用的动态安全防护,部分传统安全厂商例如绿盟也开始介入Bots攻击防护领域。

目前,备受黑产关注的业务价值高的企业,已感受到Bots攻击带来的损失及现有防护的短板,正在寻求创新和更有效的防护手段。但是,大部分企业对Bots攻击的认知还比较缺乏,尚未意识到Bots攻击带来的威胁,安全建设普遍缺少对此类防护的投入。


四、意见和建议

      随着人工智能技术的飞速发展,基于人工智能的对抗学习赋能Bots攻击将大幅加大攻防间的差距,高级Bots攻击给网络安全行业带来了更为严峻的挑战,建议引导更多的资源投入到Bots攻击防护技术研究,缩小攻防差距,提升主动动态防御能力。

威胁情报在安全防护中应用愈发广泛,但目前威胁情报是以抓恶意特征为主的恶意IP、文件、域名等情报信息,对于Bots隐藏恶意特征的属性及Bots攻击行为模式相关威胁情报的获取和分析少有涉足,建议国家级威胁情报平台、商业威胁情报服务组织加强对于Bots攻击类威胁情报的收集与共享,助力自动化威胁发现。

提升企业对Bots攻击的认知和重视,需要有力的推动手段,建议推动Bots攻击防护作为基础防护能力纳入防护体系建设指南,从基础上加强企业对Bots攻击的重视程度,提升Bots攻击对抗能力,降低由Bots攻击带来的危害。



联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号