网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

摘要：同时，伴随着AI技术、自动化工具的应用及平台化趋势的加强，无论是老生常谈的漏洞利用、DDoS攻击、内网安全问题，还是新兴涌现的身份欺诈、API滥用、物联网设备安全风险，都在为2019年的动荡埋下伏笔。我们相信，2019年必将是网络安全领域的又一个重要年份。  

　　2018 - 数据驱动威胁

　　2018年全球各地各产业对外数据泄露事件频传，总计超过17亿次的数据外泄使得后续欺诈问题无孔不入。我们必须意识到，攻击者目前手中持有的数据信息比以往任何时候都多，身份证、手机号、银行卡号等都可以成为攻击者的可信武器。据统计，全球中大型网站目前每分钟遭受超过7,000次账户尝试登录攻击，造成每年高达160亿美元的线上诈骗损失，并且这一数字在未来5年内有机会超过480亿美元。

　　同时，伴随着AI技术、自动化工具的应用及平台化趋势的加强，无论是老生常谈的漏洞利用、DDoS攻击、内网安全问题，还是新兴涌现的身份欺诈、API滥用、物联网设备安全风险，都在为2019年的动荡埋下伏笔。我们相信，2019年必将是网络安全领域的又一个重要年份。

　　2019八大Bots自动化攻击新趋势

　　一、Bots - 加速漏洞曝光和利用

　　尽管目前存在大量已知漏洞，但实际上真正被黑客利用的只有大约6%。未来随着自动化工具(Bots)的强势发展和应用，这一比例必将大幅提高。借助自动化工具，漏洞利用攻击将不再是高级黑客组织的“专属”，而开始向“低成本、高效率”的趋势发展。网络罪犯可以在短时间内，以更高效、更隐蔽的方式对大量不同网站进行漏洞扫描和探测，尤其对于0day/Nday漏洞的全网探测，将会更为频繁和高效。与漏洞快速曝光，和漏洞被快速利用相对应，则显现出企业的开发和安全运维人员几乎无法在合理的短时间内完成打补丁，补漏洞的安全应对。

　　【瑞数观察：2018年，在对上百个运营商、金融及政府客户的网站及重要web应用安全监控发现，90%的系统都被经常性的探测漏洞和扫描。对于0day/Nday漏洞，首次探测高峰已经由POC发布后1周，提前到POC发布前3天。】

　　二、Bots –助力人工智能(AI)这把双刃剑

　　2019年，人工智能(AI)仍然会是网络安全届的热点话题之一。过去劳动密集型和成本高昂的攻击，已经在基于AI的对抗学习，以及自动化工具的应用下找到新的转型模式。AI有益于数据挖掘和分析的算法和模型，以及由此带来的智能化服务，也会被黑产利用，借由自动化的助力，形成更为拟人化和精密化的自动化攻击趋势，这类机器人模拟真人的行为会更聪明、更大胆，也更难以追踪和区别于真人的行为。日前，由中国西北大学、北京大学和英国兰开斯特大学共同开发的一种人工智能，已经可以在短短0.5秒内破解文本CAPTCHA系统，这或许会成为终结验证码时代(人机识别重要技术)的标志，也或许会在未来为网络罪犯提供新的助力。

　　【瑞数观察：某拥有约1200万活跃用户数的电商客户，在其为期5天的App营销活动中，累计发现异常访问的设备约84万个，涉及约120万个账号，约占总参与账号的10%，这些设备和账号通过模拟器、Android伪装iPhone、iPhone改机工具、单设备多IMEI号的分身软件等手段从操作行为、设备特征、手机使用行为特征等各方面模拟真人操作，躲避安全防御手段。该客户保守估计，若黑产的每个账号假设可套现10元，如果没有有力的识别和控制手段，那么黑产可非法获利金额占营销总投入达1/3以上。】

　　三、Bots - 身份信息不再只属于自己

　　每个人都必须承认，频繁的数据外泄事件后，特别是酒店、商旅、票务等与个人生活、出行息息相关的应用中的身份信息的大规模泄露事件，我们的身份信息遭暴露、被贩卖，并且极易受到进一步的攻击。但对于网络罪犯而言，假冒合法身份、建立虚假账号却变得前所未有得简单。结合自动化脚本或工具，网络罪犯可以轻松利用被曝光的包括登录名/密码组合在内的个人数据，在短时间内对数百个不同的网站不断进行登录验证，试图盗用账号，乃至发起进一步攻击并从中获利或者获取更多的个人身份关联信息等有价数据。据统计，自2017年11月初至2018年6月底的8个月内，恶意登录尝试总计超过300亿次此外，这类攻击方式本身的变化——从海量易察觉攻击，转向由专业化自动工具发起的“低频率多IP源”的隐形逃避检测的攻击——也会给企业机构的安全应对带来更多难题。