Gartner《创新洞察报告:面向IAM的Bot管理》
近日,全球权威IT与顾问咨询公司Gartner发布全新创新洞察报告Innovation Insight: Bot Management for the IAM Leader,该报告主要为负责身份识别和访问管理(IAM)的决策者提供Bot管理领域的参考。作为中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商,瑞数信息入选该报告专用Bot管理代表厂商(Dedicated Bot Management Representative Provider)。
Gartner指出:
恶意机器人在Web、应用程序和API渠道中带来一系列问题,例如帐户接管、库存掠夺、价格爬取、拒绝可用性以及给基础设施增加负载,这些问题造成大量的业务和安全风险,同时可能会推高成本,并对用户体验产生负面影响。因此,安全和风险管理领导者必须采用有效的Bot程序管理解决方案来解决问题、提供价值,同时维护并提升用户体验。
《2023 应用安全成熟度曲线》报告显示,Bot管理在目标受众中的渗透率已经达到20%至50%之间,预计未来两年内将会成为市场主流产品。与传统利用漏洞的网络安全攻击不同,恶意Bots通常是利用现有的商业逻辑展开攻击。以下为两种不同角度的攻击示例:
一、来自安全侧的攻击
1、 撞库:攻击者首先获取某一个服务的账户信息(例如,电子邮件和密码),然后利用Bots工具在其他服务中重复使用这些账户信息展开攻击。当攻击者通过数据泄露获得数百万个账户信息,然后将其输入到数千个服务的登录信息中,这就是一次非常明显的撞库。
2、 密码猜测:通常更侧重于访问单个帐户。Bots通过暴力攻击启动数万个会话,循环使用可能的密码。
二、来自业务侧的攻击
1、 库存掠夺:在电子商务领域,攻击者利用恶意Bots令客户无法正常购买商品,导致商家库存囤积,然后攻击者将商品在二级市场高价转售,从而导致真实客户的用户体验不佳。影响商家的正常销售。此外,价格爬虫也是电子商务网站必须解决的问题之一。
2、 账户滥用:利用恶意Bots创建大量虚假账户来发布和传播虚假信息,操纵公众舆论,或者通过垃圾邮件轰炸干扰用户。
3、 应用滥用:如礼品卡余额验证,通过调用第三方API产生费用,或滥用其他用户功能的交互式聊天机器人。
4、 大量涉及恶意Bots的会话会给基础设施带来巨大负担,降低真正用户的使用体验,并大幅提升云计算成本。
作为中国Bot管理领域的骨干力量,瑞数信息一直在自动化攻击防护领域展现出强劲的技术实力和市场表现。
2022年,瑞数信息推出全新升级的WAAP安全平台,以独特的“动态安全”为核心技术,以Bot防护为核心功能,结合智能威胁检测技术、行为分析技术,在提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击、0day攻击、应用DDoS攻击和API安全防护。
WEB安全防护
借助“动态安全引擎”,瑞数信息不依赖基于签名和特征的传统规则,即可实现对工具化应用漏洞探测和攻击的识别,以及0day的自动化攻击和探测。同时,与“智能威胁检测引擎”“规则引擎”形成三大引擎协同工作,对手动攻击、自动化攻击提供更为高效全面的Web应用防护能力,实现纵深防御。
API安全防护
瑞数信息采用智能威胁检测技术、行为分析技术,通过API感知、发现、监控分析和保护四大模块,实现对API接口的自动发现,建立API清单,能够有效实现API资产管理和API访问行为管控。同时,建立API安全基线,对API滥用、API异常访问、恶意扫描、注入攻击等进行监控分析,能够实现API安全防护和敏感数据管控。
恶意机器人保护
针对Bot自动化工具的识别与防御是瑞数信息产品中所反映出的最突出的能力之一。瑞数信息以“动态安全”技术为核心的“动态安全引擎”,通过对服务器网页底层代码的持续动态变换,以动态封装、动态验证、动态混淆、动态令牌等创新技术,增加服务器行为的“不可预测性”,让攻击者无从下手,大幅提升攻击难度,从而实现了从用户端到服务器端的全方位“主动防护”。
应用拒绝服务攻击保护
多源低频、慢速攻击、精准打击等技术的应用,让针对业务/应用层的CC攻击难以防护。区别基于限频的防护技术,瑞数信息“动态安全引擎”中的“动态令牌”技术,可从根源上对Bots发起的CC攻击进行识别拦截,降低资源消耗,保障业务的正常稳定性运行。
此前,瑞数信息已在2021年和2022年连续被Gartner《在线反欺诈市场指南报告》列为Bots缓解代表厂商,此次荣获专用Bot管理代表厂商足见瑞数信息在自动化攻击防护领域的强劲实力。未来,瑞数信息也将继续挖掘技术深度、扩展产品功能,在数字化潮流中助力企业构建更稳健的防御生态体系!
好文章,需要你的鼓励
Atlassian、Intuit和AWS三大企业巨头正在为智能代理时代做准备,重新思考软件构建方式。当前企业API为人类使用而设计,未来API将成为多模型原生接口。Intuit在QuickBooks中应用自动发票生成,使企业平均提前5天收款;AWS通过AI辅助迁移服务显著提升效率;Atlassian推出内部员工入职代理和客户代理,节省大量时间成本。专家强调需要建立强大的数据架构和信任机制。
这项研究首次系统评估了AI代码智能体在科学研究扩展方面的能力。研究团队设计了包含12个真实研究任务的REXBENCH基准,测试了九个先进AI智能体的表现。结果显示,即使最优秀的智能体成功率也仅为25%,远低于实用化要求,揭示了当前AI在处理复杂科学推理任务时的显著局限性。
MIT研究发现,使用生成式AI完成任务时,大脑运作方式与单纯依靠自身思考存在显著差异。研究显示,使用ChatGPT等工具的用户记忆力更差,神经连接活动减少,对所写内容的回忆能力明显下降。虽然AI工具能提高效率,但可能导致用户缺乏对知识的深度理解和掌控感。研究强调需要更多科学数据来了解AI使用对人类认知的长期影响。
俄罗斯莫斯科国立大学研究团队开发出MEMFOF光流估计新方法,在保持顶尖精度的同时将1080p视频分析的GPU内存消耗从8GB降至2GB,实现约4倍内存节省。该方法通过三帧策略、相关性体积优化和高分辨率训练在多个国际基准测试中取得第一名成绩,为高清视频分析技术的普及奠定基础。