2023Bots自动化威胁报告 .docxVIP

CONTENTS目录

概述 02

什么是Bots？ 04

2种分类 043个级别 045大威胁场景 05

核心观察 06

应用数据风险加剧 06API攻击持续增长 06反勒索提升网络韧性 06

生成式AI威胁快速兴起 06

深度分析 08

整体态势 08公开数据的安全不容忽视 10API攻击热度不减 10勒索攻击与Bots紧密结合 12高级Bots广泛使用 13Bots详情分析 14

案例分享 21

API接口越权防护 21高级工具批量数据爬取防护 22Web勒索攻击防护 23小程序逆向破解防护 24

发展趋势 26

恶意生成式AI加剧攻防不对称 26WAAP升级走向应用统一防护 26AI驱动的API提升防御效率 27勒索和供应链攻击显著增长 28数据安全更需全生命周期管控 28构建安全韧性将成为企业重要战略 29

防护建议 31

附录 33

OWASPAPISecurityTOP102023解读33安全事件汇总36

关于瑞数信息 40

概述

2023年，企业数字化进程的步伐持续推进，数字化应用软件的创新和广泛使用，让应用数据的产生、交互、处理的途径和方式也越来越多，Web、H5、App作为业务接入渠道已经普遍，而API、微信公众号和小程序等更加高效和良好体验的应用形式迅速崛起，也让应用风险敞口和管控难度进一步加大。此外，全球产业链供应链冲击持续加大，网络空间安全面临的形势日益复杂多变，大规模针对性网络攻击行为增加，安全漏洞、数据泄露、网络诈骗等风险突出。

伴随以ChatGPT为代表的新一代人工智能技术的兴起，AGI时代已经全面开启，科技产业版图正在加快重构，加速进入智能新时代。放眼全球，AI大模型等新技术在掀起新一轮人工智能技术革命的同时，也引发了新型攻击、数据合规以及网络犯罪的日益专业化等安全风险。面对网络安全产业发展的新趋势，如何构建更具实战能力的安全能力，实现安全防御上的“化被动为主动”，已成为各行各业的刚需。

2023年，数字经济已步入数据驱动发展阶段，数据要素的重要地位显著提高。海量数据在采集、存储、传输、共享与防护中都面临着前所未有的数据安全挑战，勒索攻击、数据泄露事件频频发生，数据安全问题已经成为各行各业用户的关注焦点，如何保障数据要素的安全也成为数字经济时代亟需解决的问题。

PART1瑞数信息

Bots自动化威胁报告

什么是Bots？

2种分类

3个级别

5大攻击威胁场景

什么是Bots？

机器人攻击(Botsattack)，是通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。

2种分类

·善意机器人：在受控的环境内使用，以提升工作效率、用户体验为目的的自动化工具，包括搜索引擎、运维监控、RPA等等。此类Bots在运行过程严格遵守访问协议，不会进行越权、非法等类型的访问，不会给访问目标带来压力。

·恶意机器人：是指存在恶意访问行为的Bots，行为包括漏洞扫描、撞库、信息爬取、薅羊毛、DDos攻击等等。恶意机器人在运行期间，会给目标系统带来较大的压力，影响系统的安全性和可用性。

3个级别

从Bots拟人化的程度上划分，可以将Bots划分三个级别：

·初级：以脚本类程序为主，不具备页面渲染、JS执行等能力，仅可根据预先设定的参数进行模拟访问。

·中级：具备页面渲染、JS执行能力，可对动态生成的信息进行获取，但不具备交互能力。

·高级：APBS，具备完整的浏览器功能，可模拟鼠标、键盘等操作与目标系统进行拟人化交互。

4瑞数信息技术（上海）有限公司

5大威胁场景

虽然OWASP对于自动化威胁的分类超过20种，但根据国内的情况进行汇总分析，主要场景有：

·恶意爬虫

据统计自动化威胁流量中80%以上是恶意爬虫产生的。恶意爬虫会造成多种危害，如对公开和非公开数据进行拖库式爬取，例如各类公示信息、公民个人信息、信用信息等之后对数据进行聚合收集，造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明，导致的隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体