騰訊安全發布《BOT管理白皮書》|解讀BOT攻擊,探索防護之道
限量版球鞋、演唱會門票、火車票、限量秒殺……這些搶購場景,為什么你總是搶不到?實際上,跟你“拼手速”的很多不是真人,而是惡意BOT。惡意的BOT通常利用代理或秒撥 IP、 手機群控等手段,來進行信息數據爬取、薅羊毛等惡意攻擊行為,日益損害著企業和用戶的利益。
為幫助企業全面認識BOT流量構成、攻擊特征、危害等,并為企業提供惡意BOT流量的防護思路。6月30日,騰訊安全發布了《BOT管理白皮書》(以下簡稱《白皮書》),對2022年上半年的BOT流量情況進行了深入分析。發布會上,騰訊安全WAF高級產品專家馬子揚對《白皮書》進行了詳細解讀,介紹了主流的惡意BOT流量對抗方案,幫助企業防范新型攻擊。
與此同時,中國信息通信研究院云計算與大數據研究所開源和軟件安全部副主任孔松帶來了《云時代應用安全新趨勢》的主題演講,華住集團信息安全總監張維垚也分享了華住集團的BOT攻擊防護實踐,為企業應對BOT攻擊提供經驗參考。
BOT攻擊呈產業化、
普及化、自動化趨勢
所謂BOT,是Robot(機器人)的簡稱,一般指無形的虛擬機器人,也可以看作是自動完成某項任務的智能軟件。BOT流量,指在互聯網上對 Web網站、APP應用、API接口通過工具腳本、 爬蟲程序或模擬器等非人工手動操作訪問的自動化程序流量。
BOT流量的好壞由其意圖及行為決定,如搜索引擎、統計和廣告程序等正常流量能提升網站排名,進行網站監控提升用戶體驗的BOT被稱為良好BOT流量;而利用代理或秒撥 IP、 手機群控等手段來實現信息數據爬取、薅羊毛、外掛作弊等惡意攻擊行為的BOT則是惡意BOT流量。
在數字技術高速發展和疫情的催化下,企業的數字化轉型加速,網絡空間的流量呈現爆發式增長。據《BOT管理白皮書》統計數據顯示,2022年上半年BOT流量約占整體互聯網流量的60%,平均每月達到110億+;在而其中具備惡意攻擊性的BOT流量占比則高達46%,惡意BOT流量的危害亟須重視。
(《BOT管理白皮書》顯示,2022年上半年惡意BOT流量占比達46%)
馬子揚在《白皮書》的解讀中表示,BOT攻擊的復雜性和頻率正在不斷升級,2022年上半年,平均每月極度惡意BOT流量占比便達27%,惡意BOT流量增長趨勢迅猛多端混雜,攻擊目標從業務資源型BOT逐步切換為針對業務內容的API型BOT,多端BOT流量混雜,隨著BOT技術的不斷迭代,BOT技術被更多地使用在網絡攻擊上。
- BOT 攻擊產業化、普及化、隱匿化、自動化
- 2022 年上半年 BOT攻擊的使用手段及技術更加普及,BOT 流量的發起也不再局限于灰黑產業務中。
- 2022 年上半年 BOT 技術手段變化多樣,惡意 BOT 流量的識別和防護難度增加。
- 2022 年上半年網絡攻擊更加自動化、武器化。
在馬子揚看來,BOT流量需要多維度治理:從數據維度來看,需保護核心資產數據信息不受BOT侵害;從業務維度來看,需防護BOT對平臺業務穩定性造成影響;從安全維度來看,需保護基礎設置不受掃描器侵害。依托客戶端風險識別、安全情報、智能分析,可幫助構筑多層次體系化檢測響應防線。
同時,白皮書梳理了包括爬蟲機器人、抓取機器人、垃圾郵件機器人、社交媒體機器人等9種BOT常見類型,以及BOT主要對抗手段和對抗方案。譬如,基于規則情報+客戶端風險識別+機器學習+AI的Anti-BOT方案,通過規則情報將存在異常的IP(代理、掃描器、威脅情報)、BOT訪問特征進行快速過濾,隨后通過客戶端風險識別中的檢測是否真人真機、最后通過后端的機器學習+AI方案分析得出異常的訪問行為,并進行處置。
(基于規則情報+客戶端風險識別+機器學習+AI的Anti-BOT方案)
WAF成為應用安全防護的
最關鍵手段之一
面對云上網絡攻擊的不斷演進及BOT流量的激增,WAF安全解決方案的探索和創新已成為全球安全廠商新的發力賽道。與此同時,伴隨著容器化、微服務和開發運維(DevOps)等技術的成熟,WAF產品正向云原生WAF演進,并能更好地適配云計算環境對網絡安全更細粒度、更敏捷、更彈性的要求。
孔松在《云時代應用安全新趨勢》演講中表示,當前應用安全態勢嚴峻、安全能力亟待升級,從數量上來看,安全事件頻發,僅2021年我國境內網站篡改、仿冒、植入后門三類安全事件就高達20萬起,且云上應用是主要目標;從類型上來看,攻擊手段呈新趨勢,2021年電子商務網站遭受的所有攻擊中就有57%由BOT發起。
(孔松《云時代應用安全新趨勢》)
“WAF作為實現應用安全防護最關鍵的手段之一,不斷適應安全需求變化,繼承硬件WAF、軟件WAF核心功能的云WAF,依托基礎Web防護、CC惡意攻擊防護、爬蟲防護、漏洞虛擬補丁、敏感信息防泄漏、網頁防篡改六大核心能力可快速形成應對新型漏洞的安全策略并全網更新,鑒于BOT的攻擊手段在不斷發展,未來需在BOT防護上不斷進階,進而護航運營安全。”孔松表示。
騰訊安全WAF是一款基于AI的一站式Web業務運營風險防護方案,沉淀了騰訊20多年業務安全運營及黑灰產對抗經驗,除了阻止針對Web應用層的常見攻擊,還可有效阻止爬蟲、薅羊毛、暴力破解、CC等攻擊,通過Web入侵防護、0day漏洞補丁修復、惡意訪問懲罰、云備份防篡改等多維度防御策略全面防護網站的系統及業務安全,為客戶的云上安全保駕護航。
(騰訊安全WAF BOT管理系統)
針對BOT防護,騰訊安全WAF將安全情報與BOT IP識別模塊相結合,同時借助客戶端風險識別體系和多維度實時分析,建立了BOT檢測響應體系,快速感知來源的威脅程度、應對分布式BOT、高級持續BOT等。騰訊安全WAF打造的BOT解決方案,可以識別已知和未知的BOT,并根據業務影響和檢測方法,對BOT分類及定性定量,為每個不同類型的BOT分配適當的管理策略,盡量減少源站服務器的負擔以及對業務和IT的影響,避免客戶服務資源被占用。
據馬子揚介紹,BOT人機對抗難度加大,一是要確保訪問不被偽造,二是化未知為已知,三是實時響應、識別高級持續BOT以及惡意BOT對業務的影響。騰訊安全WAF借助威脅情報模塊、客戶端風險識別模塊,幫助客戶構筑客戶端風險感知防線、安全情報防線、智能分析防線,形成基于數據驅動的動態閉環BOT管理。
騰訊安全WAF的技術實力得到了IDC、沙利文、Forrester等國際權威研究機構的認可。就在2021年12月,騰訊安全BOT管理能力也得到了Forrester《Now Tech: Bot Management, Q4 2021》報告的認可。目前,騰訊安全WAF已經被廣泛應用于泛互聯網、金融、政務等領域,受到了騰訊音樂、家樂福、建設銀行、華住集團、只玩科技等不同行業客戶的好評。
騰訊安全WAF助力企業
打造BOT防護利器
在《白皮書》發布會上,華住集團信息安全總監張維垚帶來了WAF產品應對BOT攻擊的經驗分享。據張維垚介紹,華住集團業務遍布全球17個國家,面臨著核心API易受攻擊、客戶數據防泄密、多端接入風險面廣和酒店價格信息被爬取的風險,同時核心接口被持續大量BOT流量訪問,影響到正常業務訪問。
具體而言,關鍵特定API易常常面臨重放攻擊、惡意掃描等風險行為;數據安全方面需要重點保護內部系統涉及的客戶隱私數據;APP、H5、小程序等多個客戶接入類型導致攻擊偽裝性高;此外,惡意爬蟲訪問混雜、大量爬取酒店價格信息,致使酒店價格被自動化爬取遍歷,優惠策略被同行知曉。鑒于此,需針對性地做BOT策略,為安全風險進行兜底。
(華住整體網絡架構)
張維垚介紹稱,華住從整體網絡架構來看是一個混合云架構,且一部分應用是在騰訊云上運行的,同時線下的機房和騰訊安全WAF進行了打通。得益于騰訊安全WAF提供的BOT解決方案,華住實現了對BOT流量的細粒度分析,同時借助騰訊安全BOT管理,實現了對BOT數據的進階分析,包括BOT特征分析、BOT標簽異常發布在內的詳細特征維度,以及BOT異常訪問UA 排行、BOT UA訪問類型為代表的客戶端特征維度。
此外,通過前端對抗、添加登錄態、大數據行為分析以及設置人機識別四項措施,騰訊安全WAF幫助華住集團實現了快速分辨客戶端風險類型,將惡意終端拒之門外,且可以有效發現群控設備。同時,基于機器學習模型+實時流量統計分析,有效發現訪問異常用戶,針對代理、IDC等非基站用戶、BOT得分較高及其他可疑用戶設置人機識別驗證碼,攔截非真人訪問流量。
(華住集團通過騰訊安全WAF實現的業務價值)
在實際效果層面,騰訊安全WAF助力華住集團防護域名140+,提供了網站安全保護,并通過BOT行為管理治理了99%的惡意BOT爬蟲流量,通過BOT流量分析發現存在越權行為的API,還通過接入BOT SDK實現了多端的統一的防護控制,幫助企業最終實現了業務價值。
疫情之下,網絡空間流量的進一步發展,使得惡意BOT流量的識別和防護難度增加,惡意BOT事件層出不窮,企業的關鍵在線業務系統邏輯越來越復雜。騰訊安全WAF通過對BOT管理典型場景進行層級劃分,針對Web端、移動端、API采取不同處理策略,助力企業打造一站式BOT解決方案。
未來,騰訊安全WAF還將不斷優化升級產品和服務,與企業及合作伙伴共同抗擊惡意流量,實現高效、智能的惡意BOT防護。
