今天,全球领先的网络安全领导者泰雷兹(Thales)宣布发布《2024年Imperva恶意机器人报告》(2024 Imperva Bad Bot Report),对全球互联网上的自动化机器人流量进行了全面分析。 2023年,近一半(49.6%)的网络流量来自机器人,比上一年增长了2%,这是Imperva自2013年开始监测自动化流量以来报告的最高水平。
与恶意机器人相关的网络流量占比连续第五年呈现增长趋势,从2022年的30.2%增长至2023年的32%,而来自人类用户的流量则持续下降至50.4%。每年,自动化流量对网站、API和应用程序的攻击给企业造成数十亿美元的损失。
泰雷兹旗下的Imperva应用安全总经理Nanhi Singh表示:“机器人是每个行业面临最普遍且增长最快的威胁之一。从简单的网络爬取到恶意帐户接管、垃圾邮件和拒绝服务,机器人通过降低在线服务质量,并要求在基础设施和客户支持方面进行更多投资,从而对企业的利润造成负面影响。由于攻击者将注意力集中在可能导致帐户被盗用或数据泄漏的 API相关滥用行为上,企业必须积极应对恶意机器人的威胁。”
《2024年Imperva恶意机器人报告》中提及的主要趋势包括:
全球平均恶意机器人流量达到32%:爱尔兰(71%)、德国(67.5%)和墨西哥(42.8%)是2023年恶意机器人流量最高的国家。与2022年(32.1%)相比,美国的恶意机器人流量比例也略高,达到35.4%。
生成式AI的使用越来越多,这与简单机器人的兴起有关:生成式AI和大语言模型(LLM)的快速崛起,导致简单机器人的比例从2022年的33.4%增加至2023年的39.6%。 该技术使用网络爬虫机器人和自动化爬虫来训练模型,同时让非技术用户能够自行编写自动化脚本。
帐户接管是持续存在的业务风险:与上一年同期相比,2023年的帐户接管(ATO)攻击增加了10%。 值得注意的是,44%的ATO攻击均针对API端点,而2022年这一比例为35%。在互联网上的所有登录尝试中,有11%与帐户接管相关。2023年,遭受ATO攻击最多的行业分别是金融服务业(36.8%)、旅游业(11.5%)和商业服务(8%)。
API是攻击的流行途径:2023年,自动化威胁导致的API攻击占比高达30%。其中,17%是恶意机器人利用业务逻辑漏洞,即API设计和实施中的缺陷,使攻击者能够操纵合法功能并访问敏感数据或用户的帐户。网络罪犯使用自动化机器人查找并利用API,把它当作访问敏感数据的直接途径,使其成为业务逻辑漏洞的主要目标。
所有行业都面临机器人问题:游戏产业(57.2%)的恶意机器人流量连续第二年占比最大。与此同时,零售业(24.4%)、旅游业(20.7%)和金融服务业(15.7%)遭受的机器人攻击数量最高。在法律与政府(75.8%)、娱乐(70.8%)和金融服务(67.1%)网站上,高级恶意机器人(即那些极力模仿人类行为并逃避防御的机器人)占比最高。
来自住宅网络服务提供商的恶意机器人流量增至25.8%:早期的恶意机器人规避技术依赖于伪装成合法人类用户常用的用户代理(浏览器)。在过去一年,伪装成移动用户代理的恶意机器人占所有恶意机器人流量的44.8%,高于五年前的28.1%。 进阶行动者将移动用户代理与住宅或移动ISP的使用相结合。住宅代理允许机器人运营商通过伪装成流量来源是由 ISP 分配的合法住宅 IP 地址来逃避检测。
Singh补充道:“自动化机器人将很快超越来自人类的网络流量比例,从而改变企业构建和保护其网站、应用程序的方式。随着更多人工智能工具的推出,机器人将变得无处不在。企业必须投资机器人管理和API安全工具,以管理来自恶意自动化流量的威胁。”
