1、自动化威胁Bots报告2022/07CONTENTS目录总结 39附录 1 2021 重要法律法规发布 43附录 2 自动化攻击事件集合 47关于瑞数信息 50整体态势 08深度分析 08疫情常态化下的 Bots 攻击 09API 攻击持续走高 10零日漏洞攻击持续深化 14数据爬虫依然泛滥 16攻击来源 19Bots 客户端分析 22移动端分析 25APP 新人礼包 30渠道业务外挂 31保险欺诈之虚拟定位 32Log4j2 漏洞应急响应 33支付 API 滥用 34Bots 自动化威胁深度分析 08Bots 攻击详细数据 19案例分享 302022 年 Bots 自动化威胁发展趋势 362

2、 种分类 053 个级别 055 大威胁场景 06概述 02核心观察 03什么是 Bots？05在当今数字化经济的发展中，Bots 自动化技术早已渗透到科技发展和业务创新的方方面面。然而，在接替人工枯燥和规律性操作的背后，也隐藏着大量的 Bots 自动化威胁。特别是借助机器学习和人工智能技术，Bots 技术在效率和智能化的飞速提升，让 Bots 自动化威胁更具隐蔽性。随着 Bot 的无处不在，企业在获得善意 Bots 带来的高价值同时，也正在面临越来越严峻的恶意Bots 的威胁。2021 年国内 Bots 攻击状况依然十分严峻和突出，各个行业的各类自动化攻击和事件层出不穷，攻击者的工具、手段、

3、效率都有了较大的发展。回顾2021 年，随着全球疫情的持续发展和蔓延以及网络技术的快速迭代和发展，全球范围内的组织在数字化转型上的步伐呈现明显加速趋势。网络环境和空间已经成为下一个没有硝烟的战场。同时，2021 年疫情持续多地爆发，迫使企业加速完成数字化，互联网应用因此持续暴增。随着远程办公的逐渐日常化，黑客组织和灰黑产行业也获得了更多机会。API 安全、勒索软件、软件供应链、0day/Nday 攻击智能常态化、云安全、小程序安全等领域的危机日益凸显，网络安全和自动化安全形式更加严峻。另外，2021 年也是网络安全全面深入发展之年，多个信息安全法律、法规、条例、指导意见等的发布，组成和完善了我

4、国网络安全法律法规体系。概 述 3瑞数信息技术（上海）有限公司核心观察 API 成为攻击的优选入口 攻防博弈的新热点API正在成为实现商业创新和数字化转型的核心技术手段，其连接的已不仅是系统和数据，还有企业、客户、合作伙伴，甚至整个商业生态，成为当下网络应用流量的重要出入口。而API 配置使用不当和 API 漏洞利用引发的攻击和数据安全风险也在迅速上升。API 具备“程序”和自动化属性，可携带和透视重要数据的机制，获得越来越多黑客的青睐，并成为黑客实现自动化“高效攻击”的首选。自动化手段的加持 勒索攻击呈现平台化和服务化2021 年以来勒索软件攻击最为猖獗，已经成为数据层面最严重的“病毒”。勒

5、索软件漏洞数量迅速上升，大量的勒索软件开始结合更广范围的漏洞发现和零日漏洞，实现攻击感染自动化和一体化。通过平台提供勒索软件即服务的方法开始涌现，使得勒索攻击组织更加专业化，高效率，对全球制造业、服务业、医疗、金融、工控和政府机构等产生严重影响。?自动化威胁防护要求 逐渐上升到法律高度2021 年，数据安全法、个人信息保护法正式发布实施，更多数据安全操作层面的规范条例也在加快制定和出台。对于可能对网络正常服务带来影响的自动化工具的访问，以及造成数据安全风险的自动化工具收集数据行为的要求，也首次在网络数据安全管理条例(征求意见稿)的相关要求中出现。多起恶意爬虫对企业造成影响的司法判例的曝光，也在

6、进一步加快数据安全法律法规的普及教育和落地执行。0day 攻击更具杀伤力 供应链安全问题升级2021 年，全球安全漏洞数量依旧保持快速上涨，尤其针对供应链组件的 0day/Nday漏洞攻击也在进一步泛滥。2021 年 12 月爆发的 Log4j 核弹级漏洞，已经成为全年最严重的漏洞应急响应事件之一，0day 攻击、供应链、自动化，当这三要素叠加时，带来的后果不容小觑。4瑞数信息技术（上海）有限公司PART 1什么是 Bots？瑞数信息Bots 自动化威胁报告2 种分类3 个级别5 大攻击威胁场景5瑞数信息技术（上海）有限公司2 种分类什么是 Bots？善意机器人：是指在受控的环境内使用，以提升

7、工作效率、用户体验为目的的自动化工具，包括搜索引擎、运维监控、RPA 等。此类 Bot 在运行过程严格遵守访问协议，不会进行越权、非法等类型的访问，不会给访问目标带来压力。恶意机器人：是指存在恶意访问行为的 Bots，恶意行为包括漏洞扫描、撞库、恶意信息爬取、薅羊毛、DDoS 攻击等。恶意机器人在运行期间，会给目标系统带来较大的压力，影响系统的安全性和可用性。机器人攻击(Bots attack)，是通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。3

8、个级别从 Bots 拟人化的程度上划分，可以将 Bots 划分三个级别：初级：以脚本类程序为主，不具备页面渲染、JS 执行等能力，仅可根据预先设定的参数进行模拟访问。中级：具备页面渲染、JS 执行能力，可对动态生成的信息进行获取，但不具备交互能力。高级：具备完整的浏览器功能，可模拟鼠标、键盘等操作与目标系统进行拟人化交互。6瑞数信息技术（上海）有限公司5 大威胁场景虽然 OWASP 对于自动化威胁的分类超过 20 种，但根据国内的情况进行汇总分析，主要场景有：恶意爬虫据统计，自动化威胁流量中 80%以上由恶意爬虫产生。恶意爬虫会造成多种危害，如对公开和非公开数据进行拖库式爬取，例如爬取各类公示

9、信息、公民个人信息、信用信息等之后对数据进行聚合收集，造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明，隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体验，当抓取数据量逐渐增大时，会对服务器造成性能压力，甚至有可能会崩溃。漏洞探测利用对目标系统进行漏洞扫描，发现漏洞之后自动进行利用。借助自动化工具，攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测，尤其是对于 0day/Nday 漏洞的全网探测，将会更为频繁和高效。资源抢占利用 Bots 自动化工具快速的优势，对有限的资源进行抢占，造成恶性竞争，也成为黄牛党的有力武器。比较常见的资源抢占包括

10、：挂号、报名、购票、秒杀、薅羊毛等。暴力破解对登录接口进行的高效密码破解，给系统信息安全带来极大的危害。此类攻击目标范围广泛，除了我们熟知的各类电商、社交系统，还包括很多办公系统，例如办事网厅、企业邮箱、OA 系统、操作系统等，几乎所有具备登录接口的系统都会成为攻击目标。拒绝服务攻击包括应用 DOS 和业务 DOS 两种类型，除了以往比较常见的分布式拒绝服务攻击（DDOS）外，利用 Bots来大量模拟正常人对系统的访问，抢占系统资源，使得系统无法为正常用户提供服务的业务层 DOS 也日渐兴起。7瑞数信息技术（上海）有限公司PART 2Bots 自动化威胁深度分析瑞数信息Bots 自动化威胁报告

11、疫情常态化下的Bots 攻击零日漏洞攻击持续深化整体态势深度分析API 攻击持续走高数据爬虫依然泛滥8瑞数信息技术（上海）有限公司Bots 自动化威胁深度分析深度分析综合各行各业的网络请求流量来看，Bots 产生的流量明显高于正常访问流量，相比 2019 年的 55.35%和 2020 年的 57.62%，2021 年 Bots 访问占比持续上升至 59.71%，公示类系统和服务提供类系统依然是 Bots 攻击的头号目标，恶意机器人比例进一步提升。整体态势在“十四五”规划以及数字化浪潮的驱动下，伴随着大数据、5G、云计算、人工智能等技术发展，各行各业都开始“互联网+”的服务。同时在疫情的持续影

12、响下，远程办公、在线教育、在线医疗、直播带货、社区团购等产业快速崛起，Bots 的攻击态势也发生了变化，主要体现在：0day/Nday 攻击持续增加，有了自动化和智能化的加持，精准高效、更高隐藏性的探测和攻击利用被实现。?2020年2021年44.65%42.38%40.29%14.38%40.97%43.76%45.98%13.86%13.73%2019年人类访问善意机器人恶意机器人攻击面不断扩大，隐藏在后端的 API 接口已经成为攻击焦点，大量的数据泄露事件由 API 攻击引发。极具破坏性的勒索事件接二连三的发生，勒索软件结合安全漏洞实现自动化探测漏洞利用加感染，已经形成独有的攻击体系。?

13、双云化，在越来越多的组织、系统和服务云化的同时，攻击者也在将攻击平台迁移上云，云原生服务的开发和应用为攻击方式增加了多样性，针对云服务和来自于云平台攻击的流量都明显增多。人类恶意机器人善意机器人互联网32.3%8.16%59.54%出版39.2%6.12%54.68%金融42.43%17.55%40.02%运营商44.96%15.06%39.98%教育45.4%14.26%40.34%能源55.33%13.05%31.62%运输48.56%14.66%36.78%物流40.13%13.49%46.38%医疗卫生32.17%13.67%54.16%政府27.05%17.56%55.39%9瑞数信

14、息技术（上海）有限公司在 2021 年疫情常态化的持续影响下，医疗、出行、电商、远程办公等场景攻击流量也呈现明显的上升趋势。疫情常态化下的 Bots 攻击医疗卫生行业随着在线医疗的加速推进，以及疫情相关系统和数据的增加，针对国内医疗卫生部门的攻击在 2021年继续呈上升趋势，主要集中在公示信息高频爬取，拒绝服务攻击（DDOS），相关系统的漏洞扫描。某国家医疗信息公示平台，2021 年整体遭受攻击同比 2020 年增长 2.84 亿次，增长率超过 82%。2019年2020年2021年201920201.97亿3.44亿20216.28亿电商平台疫情之下，加速了外卖、团购等线上业务的发展，商家为

15、了线上补线下业务，各种营销活动络绎不绝（例如各类秒杀，满减优惠券，新用户活动等），哪里有羊毛、哪里有利可图，哪里就有自动化的黑灰产流量。爬取产品信息和价格信息等的爬虫，也是电商所要面临的最头疼的问题。远程办公2021 年随着疫情的冲击，许多企业已将远程办公视为常态选择，远程办公为网络安全带来了新的挑战。根据 2021 年 Gartner CIO 调查结果显示，疫情期间 64%的员工居家办公，企业和居家员工都面临双重的安全风险，居家办公环境的安全性得不到统一保证，企业因远程办公需要开放更多的对外通道和业务，导致面临的风险与日俱增，VPN、视频会议系统、邮箱、OA等都成为了黑客攻击的目标。10瑞数

16、信息技术（上海）有限公司API 攻击持续走高在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了 API 技术的发展，API 从只用于企业内部服务调用，到面向外部服务调用，再到如今的对外公开调用，API 已经逐步从限制性的局部接口，转向更大和更广的领域。其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙伴，甚至整个商业生态。API请求：74.86%非API请求：25.14%74.86%25.14%非API请求API请求API 可公开获取、标准化、高效且易于使用的特性，为开发者带来诸多好处的同时，也极大地增加了应用系统新的风险暴露面。Gartner 在其报告中预测，“

17、到 2022 年，API 滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介。到 2024 年，API 滥用和相关数据泄露将几乎翻倍”。中国信通院也在应用程序接口（API）数据安全研究报告（2020 年）中提出 API 技术在帮助企业建立业务生态沟通桥梁的同时，与之相关的安全问题也日益凸显。越来越多的攻击者正利用 API 来实施自动化的“高效攻击”，由 API 漏洞利用的攻击或安全管理漏洞所引发的数据安全事件，严重损害了相关企业和用户权益，逐渐受到各方的关注。API 攻击类型和场景针对 API 攻击手段，结合 OWASP API Security TOP10 对 API 最受关注和最

18、常见的攻击类型进行总结，整体来看 API 面临的不仅仅是传统的 Web 攻击（如 SQL 注入、命令执行等），更多是业务层面攻击，包括：信息拖取、越权攻击、参数遍历、暴力破解、撞库攻击等。11瑞数信息技术（上海）有限公司根据 API 接口功能分析，以下类型的接口是攻击重灾区：数据交换接口、登录接口、注册接口、验证码接口、活动接口、内容发布接口等。其中以数据交换接口和登录接口的遭受攻击比例最高，两者合计占比超过70%。信息拖取越权攻击传统攻击撞库攻击参数遍历其他52%16%12%10%8%2%数据接口登录接口注册接口验证码接口活动接口其他56%16%10%7%6%内容发布接口3%2%12瑞数信息

19、技术（上海）有限公司设计的安全缺陷和管理不当API 接口已经成为数据泄露的主要途径之一。因 API 的使用场景丰富且管理水平参差不齐，大量 API 存在不同程度的安全漏洞，究其原因，一方面是由于业务的快速迭代，业务与安全存在割裂；另一方面是对现有 API 进行安全改造的成本巨大。通过分析发现，设计安全缺陷是 API 数据泄露的最为主要原因，其次是管理不当，同时由于第三方和人员问题引发的泄露也是主要原因。设计安全缺陷：49%管理不当：28%第三方服务泄露：16%内部人员泄露：5%其他：2%设计安全缺陷其他内部人员泄露第三方服务泄露管理不当针对 2021 年全年各个行业的流量和公布出来的比较严重数

20、据泄露事件进行分析，API 数据泄露几乎覆盖所有行业，主要包括互联网电商、金融、教育、政务、运营商、医疗、物流运输、交通出行、酒店住宿等行业。其中互联网相关行业数据泄露事件数量占比最大，达到 29%，金融相关行业排名第二，占比近 22%，教育行业排名第三，占比近 16%。*API 数据泄露的原因13瑞数信息技术（上海）有限公司互联网行业：26%金融：20%教育：16%政务：13%医疗：9%运营商：6%物流：5%餐饮：3%其他：2%金融互联网行业其他医疗运营商餐饮物流政务教育数据泄露之后会在暗网或者电报群进行交易，后续可能被用于电信诈骗、钓鱼邮件、广告推销等。例如某政务接口存在安全漏洞，电报群

21、500 元即可买到名下证件 API 接口，以获取全国用户名下证件信息。*API 数据泄露的行业分布14瑞数信息技术（上海）有限公司零日漏洞攻击持续深化0day 漏洞利用数量和攻击流量持续增长，漏洞攻击和影响面逐步扩大，0day 漏洞攻击越来越常态化。根据 CVE 和 CNNVD 披露的数据，2021 年新增漏洞超过 20000 个，相比 2020 年漏洞数量进一步增加。除数量之外，开源和第三方组件的 0day 漏洞影响面扩大，软件供应链安全问题严峻。特别是在年底爆发的Log4j 核弹级漏洞，给整个 JVM 生态圈带来致命打击，影响至今。并且 2021 年各类漏洞扫描器、攻击平台层出不穷，无论是

22、在漏洞检测的深度还是广度上都有很大的提升。尤其各类攻击平台集漏洞发现、利用、植入于一体，极大地提升了攻击者的效率。大量越来越智能和高端的自动化工具利用模块化、插件化的设计思路，使得攻击平台可以快速更新攻击插件，通过主动探测、被动探测、网络信息搜集、指纹识别等手段，对目标系统进行 0day/Nday 漏洞的扫描利用。2020年2021年079720793CVE CNNVD 漏洞分类在新增漏洞方面，被利用次数最多的是代码执行漏洞，之后是信息泄露、权限提升漏洞和拒绝服务漏洞，分别占比 51%、17%、14%和 13%。代码执行漏洞：51%信息泄露：17%权限提升漏洞：14%拒绝

23、服务漏洞：13%其他：5%代码执行漏洞其他拒绝服务漏洞权限提升漏洞信息泄露15瑞数信息技术（上海）有限公司攻击行业根据瑞数信息对 2021 年全年各个行业的 0day 攻击流量分析和公布出来的比较严重 0day 攻击事件进行分析，政府行业占比最大，达到 37%，其次是医疗卫生 22%，运营商 20%，互联网 15%，其他 6%。政府：37%医疗卫生：22%运营商：20%互联网：15%其他：6%运营商医疗卫生政府互联网其他攻击来源境外攻击流量超过境内，境内攻击流量占比低于 50%。境外攻击中最大来源为美国 25%，日本 12%，俄罗斯 8%，韩国 5%，澳大利亚 2%，其他 6%。境内：42%美

24、国：25%日本：12%俄罗斯：8%韩国：5%澳大利亚：2%其他：6%日本美国境内俄罗斯其他韩国澳大利亚16瑞数信息技术（上海）有限公司恶意数据爬虫是自动化攻击请求中占比最大的一类，无论是传统行业、互联网行业，还是政企、医疗卫生、教育等，都遭受持续不断的爬虫访问。2021 年瑞数信息监测到的恶意爬虫攻击达到 1000 亿以上，各个行业的信息服务业务是爬虫光顾的重灾区。数据爬虫依然泛滥2021/1/12021/2/12021/3/12021/4/12021/5/12021/6/12021/7/12021/8/12021/9/12021/10/1 2021/11/1 2021/12/15000001

25、000000000单位：万次48435339826224518173*爬虫攻击量爬虫关注行业在公开数据方面，恶意爬虫主要关注企业信息、专利商标、公示信息、电商数据等。17瑞数信息技术（上海）有限公司爬虫来源分布2021 年恶意爬虫的 IP 来源 90%以上是境内，境外 IP 占比相对较少，不到 10%，但是相比 2020 年的占比有所提升。境内：90%美国、日本、韩国、俄罗斯、英国、德国、其他：10%境内美国、日本、韩国、俄罗斯、英国、德国、其他境内来源靠前的主要

26、还是经济较好的几个省份，跟当地的 IDC 机房、云主机服务、IT 服务建设数量和质量相关。攻击来源最多的是广东、北京、江苏、与去年相比整体变化不大。796673033536483332408250380238607407686436423988332233565222273447521894334789广东北京江苏河北上海山东四川辽宁浙江福建湖南河南湖北陕西江西重庆安徽天津吉林 黑龙江18瑞数信息技术（上海）有限公司PART 3Bots 攻击详细数据瑞数信息Bot

27、s 自动化威胁报告攻击来源Bots 客户端分析移动端分析19瑞数信息技术（上海）有限公司攻击来源为了突破目标网络的监测和防护机制，90%以上的 Bots 都会选择多源 IP 的方式来隐藏自己。IP 代理的提供方式也从本地代理发展成更为高效的 HTTP 隧道模式，IP 地址的数量大大增加，来源也更为广泛，隐蔽性达到新高度。地理位置Bots攻击来源相当分散，但境内以沿海经济发达地区为主，广东、江苏、浙江依旧是前三强。内地四川、安徽、江西等省份上升比较明显，这跟最近几年各地加大对于网络、数字化、IT 基础设施的建设息息相关，代理池越来越丰富，IP 资源池选择越来越多。Bots 攻击详细数据广东：10

28、.79%江苏：8.82%浙江：7.86%安徽：6.59%山东：6.22%北京：5.66%四川：5.36%江西：5.18%上海：4.81%福建：4.39%湖北：4.08%辽宁：3.97%河南：3.61%湖南：3.27%重庆：2.78%天津：2.49%贵州：2.19%河北：2.01%陕西：1.98%其他：7.94%广东江苏浙江安徽山东北京四川江西上海福建湖北辽宁河南湖南重庆天津贵州河北陕西其他20瑞数信息技术（上海）有限公司来自境外的攻击中，美国依然占据榜首，来自美国的攻击占比超过60%，其次为日本、俄罗斯、韩国、新加坡。ISP 运营商攻击者使用最多的 ISP 提供商为三大基础运营商，总占比达到

29、95%以上，排名第一的为中国电信，占比50%以上，其次分别为中国联通和中国移动。美国：65.79%新加坡：3.09%日本：6.45%德国：2.73%俄罗斯：5.15%法国：2.08%韩国：4.37%荷兰：1.69%英国：3.27%澳大利亚：1.42%加拿大：0.95%美国英国新加坡德国法国荷兰澳大利亚加拿大韩国俄罗斯日本电信：50.64%联通：25.56%移动：20.43%鹏博士：1.32%方正宽带：0.32%教育信息网：0.12%首信网：0.085%华数：0.036%广电网：0.86%电信移动鹏博士广电网方正宽带教育信息网首信网华数联通21瑞数信息技术（上海）有限公司IDC 提供商IDC机房

30、依然是Bots攻击的重要来源，大量的Bots利用IDC机房的资源进行攻击。Bots使用最多的为阿里云，相比往年，来自腾讯云和华为云的的攻击明显增加，随着云市场化的丰富，其他厂商的数据量也在增加，例如天翼云、百度云，还有国外的亚马逊、微软云等。阿里云：49.52%其他：5.27%华为云：10.15%腾讯云：9.98%天翼云：8.11%AWS：5.13%京东云：4.06%百度云：3.25%微软云：2.66%青云：1.87%阿里云腾讯云京东云百度云微软云青云其他华为云天翼云AWS22瑞数信息技术（上海）有限公司Bots 客户端分析随着移动互联网的发展，越来越多的应用迁移到移动端，Bots 也做出了相

31、应的改变。通过对 User Agent 的分析，可以发现 Bots 在声明自己身份的时候，已经开始向移动端转移，无论是操作系统还是浏览器，都表现出这一趋势。操作系统分布2021 年的 Bots 攻击者的平台发生了比较大的变化，Android 和 iOS 占比增长明显。Windows：39.07%Android：30.51%IOS：13.19%Linux：4.96%MacOS：2.56%ChromeOS：1.69%其他：7.02%WindowsIOSLinuxMacOSAndroidChromeOS其他23瑞数信息技术（上海）有限公司浏览器类型分布相比往年，Bots 使用的浏览器比例最大依然是C

32、hrome，但是跟往年有所不同是随着移动端流量的提升，Wechat 的占比明显提升。真实内核分析随着对抗的升级，Bots 外部工具特征会越来越少，伪装得越来越像真实浏览器，真实用户访问操作。常见的方法会通过修改UA的方式来隐藏自己真实身份，冒充搜索引擎、正常浏览器等，还有伪造系统，版本等信息。通过瑞数的动态验证技术，可以对真实内核进行穿透分析，根据验证结果来看，Bots 一般会选用 Chrome内核作为基础架构进行开发，但是随着技术的更替，今年 Wechat 的占比提升明显。ChromeWeChatIEFirefoxEdgeSafari其他30.74%26.85%13.75%6.35%3.11

33、%1.14%18.06%Chrome：35.04%Wechat：29.66%Firefox：7.73%IE11：6.12%webdriver：4.58%PhantomJS：2.93%Edge：1.86%Safari：0.96%其他：11.12%ChromeFirefoxIE11PhantomJSEdge其他SafariWechatwebdriver24瑞数信息技术（上海）有限公司自动化框架分析相比2020年，主流的技术依然采用了Webdriver、Headless、PhantomJS、NodeJS等。但是随着对抗的升级，一些拟人化程度和交互程度更高的新兴技术也在被使用，如 puppeteer、

34、playwright、CEF、RPC 等。WebDriver：50.32%NodeJS：14.51%Headless Chrome：8.21%HTMLUNIT：4.91%RSAS：0.85%CEF：50.32%PhantomJS：6.37%AWVS：4.83%AppScan：2.01%NetSparker：0.34%LoadRunner：0.098%Puppeteer：0.067%playwright：0.053%后裔采集器：0.016%Xray：0.01%Chakra：0.01%按键精灵：0.026%jsdom：0.015%quickjs：0.014%Nuclei：0.01%其他：6.84%

35、WebDriver Headless ChromeAppScanquickjsjsdom 后裔采集器XrayNucleiChakra其他LoadRunnerPuppeteerplaywright按键精灵CEFNetSparkerRSASNodeJSPhantomJSHTMLUNITAWVS25瑞数信息技术（上海）有限公司移动端分析随着业务和技术的发展更替，越来越多企业把业务系统正在向移动端迁移，为了适应这种环境，攻击平台也必须向移动端转移，多种多样的攻击手段也随之出现，并且随着黑灰产攻防技术强度的提升，技术化、定制化，高级化的攻击手法和思路使得传统防护能力越来越有限。例如各类的 AI 技术绕过

36、验证、ROM 包改机、破解框架、模拟器、root、群控、云控、IMEI 伪造、GPS 伪造、IP 代理、境外黑号等。多开分身：29.29%ROM改机：22.82%微霸：13.43%Xposed：5.26%GPS_TOOL：3.92%Taiji：2.31%沙盒环境：7.13%Substrate：4.35%面具magisk：4.22%Awz：3.75%按键精灵：1.52%抹机王：1.34%CC助手安装：0.48%ALS：0.33%平行空间：0.15%多开分身ROM改机沙盒环境XposedSubstrate面具magiskGPS_TOOLAwzTaiji按键精灵抹机王CC助手安装ALS平行空间微霸工

37、具分布2021 年比较流行黑灰产作案工具主要包括 ROM 改机、虚拟定位、多开工具、街霸、面具 magisk 等，工具在特征隐藏方面有较大改进，提升了识别难度。26瑞数信息技术（上海）有限公司城市分布移动平台的 Bots 最大来源城市依然跟经济发展和信息化建设较好的城市息息相关，仍然以沿海地区和省会城市为主。平台分布通过瑞数 SDK 采集信息和分析发现，攻击来自 Android 平台的比例远大于 iOS，这和经济成本、系统破解难易程度也是匹配的。Android：89.68%iOS：10.32%AndroidiOS广州：17.16%上海：6.3%深圳：15.45%南京：4.98%北京：10.68

38、%合肥：4.08%杭州：7.22%南昌：3.77%成都：7.16%武汉：3.29%福州：2.87%石家庄：1.02%济南：2.29%沈阳：0.96%郑州：1.97%南宁：0.68%大连：1.75%其他：7.08%长沙：1.29%北京大连长沙石家庄 沈阳南宁其他广州深圳杭州成都上海南京合肥南昌武汉济南福州郑州27瑞数信息技术（上海）有限公司相比 2020 年，系统平台层面上 Android 10 依然是安卓第一大平台，其次是安卓 11、安卓 9。而 iOS 平台因为 iOS15 的推出迅速成为各 iOS 版本中占比最大的系统，其他依次是 iOS14、iOS13。但是这一结果与 User Agen

39、t 中的描述并不一致，说明有大量的 iOS 声明是通过伪造 User Agent 实现，用成本更低的设备来冒充iOS，达到降低成本的目的。Android 10Android 11ios 15ios14Android12Android 9ios13Android8Android7Android6Ios12Ios11其他22.16%19.15%15.66%9.35%7.45%6.2%5.09%3.92%2.56%2.19%1.26%1.01%4%28瑞数信息技术（上海）有限公司手机品牌分布同去年相比，手机品牌上小米依旧占据首位，去年排名第二的华为占比下降比较厉害，这与被制裁和启用鸿蒙系统有关系，今

40、年 OPPO 和 vivo 上升比较多，这和手机的市场占有率是相关的，占有率越高的手机获取成本越低。小米OPPOVIVO苹果华为三星一加荣耀中兴Realmegoogle其他42.59%22.15%10.06%8.69%4.5%3.26%1.86%1.59%1.41%0.97%0.69%2.23%29瑞数信息技术（上海）有限公司PART 4案例分享瑞数信息Bots 自动化威胁报告APP 新人礼包Log4j2 漏洞应急响应渠道业务外挂支付 API 滥用保险欺诈之虚拟定位30瑞数信息技术（上海）有限公司APP 新人礼包攻击类型：薅羊毛技术特点：自动登录、接码平台、验证码识别、自动下单、群控。问题描述

41、：灰产对某商城平台的新人礼包进行自动化工具薅羊毛。利用代理池、群控、接码平台、破解验证码识别，实现自动注册，自动下单薅新人礼包券。对抗思路：1）通过动态技术对客户端进行验证。2）对异常客户端环境进行识别，例如群控、改机等。3）用户行为上进行判断，对于业务逻辑不完整的请求进行拦截。4）对恶意请求和账号打上异常标签，并输出给风控平台进行下一步风控策略。案例分享31瑞数信息技术（上海）有限公司渠道业务外挂攻击类型：外挂访问技术特点：IP 代理，高级自动化工具，业务逻辑漏洞利用，高频访问。问题描述：黑灰产代理多个 IP 地址池，短时间内切换不同的 IP 绕过传统安全设备检测，再利用 Token 校验不

42、完善的逻辑漏洞，拿到 token 后通过高级自动化工具遍历查询多个手机号，批量获取用户信息。对抗思路：1）通过动态令牌进行二次校验。2）对 JS 参数、ajax 报文等进行封装和混淆，防止攻击者进行参数调试。3）利用浏览器指纹技术进行 IP 关联分析，将短时间内切换 IP 过于频繁的请求进行拦截。4）完善原有业务的 token 校验机制，加上时间戳等环境变量。机主信息爬取违规业务办理开黑卡不知情订购靓号抢占订购信息爬取套餐信息爬取窃取服务密码数据安全风险业务安全风险32瑞数信息技术（上海）有限公司保险欺诈之虚拟定位攻击类型：虚拟定位技术特点：篡改参数、Hook、虚拟定位。问题描述：某保险平台

43、APP 支持用户在车辆发生事故后线上理赔，不同城市的车险保费金额不同，有些用户在理赔时篡改 GPS 定位，提交审核信息，获取到比实际应理赔更高的保费。对抗思路：1）APP 集成瑞数 SDK，通过检验 APP 完整性（验证包名/签名）防 APP 被重打包、防止手机的 root 和越狱、防止调试、防止系统函数 hook、防止手机双开/多开、防止篡改 GPS 定位等。2）在拍照验车时将篡改 GPS 的用户名单输出给风控平台。?8.3km?Location通讯录文件非法软件相机33瑞数信息技术（上海）有限公司Log4j2 漏洞应急响应攻击类型：0day 攻击技术特点：0day 攻击、基础组件、批量探测

44、、无攻击特征。问题描述：2021 年 12 月爆发的 Log4j 核弹级漏洞，是 2021 年最严重的 0day 漏洞应急响应事件，每小时都有百万级的攻击流量对网络进行探测和漏洞利用。通过对瑞数动态防御系统日志进行分析，发现 Log4j2漏洞公布之前已经存在自动化工具对相关系统批量探测的攻击行为。对抗思路：1）动态技术限制利用自动化工具进行的漏洞探测利用行为。2）代理检测技术识别代理改包攻击。3）AI 智能引擎 WAF 识别纯手工攻击行为。34瑞数信息技术（上海）有限公司支付 API 滥用攻击类型：接口滥用技术特点：支付接口滥用、支付中转、人机结合、自动化。问题描述：博彩网站的支付中转接口恶意

45、利用某电商平台的话费充值接口变相对其赌资进行充值。对抗思路：1）通过动态技术对客户端指纹进行验证，严格限制请求充值的指纹和 IP 与支付的保持一致。2）用户行为上进行判断，对于业务逻辑不完整的请求进行拦截。3）实时拦截 ajax url 令牌异常的请求。4）H5+SDK 关联检测，识别异常终端信息，实时拦截来自 root、改机、双开多开、使用自动化工具等风险设备的请求。35瑞数信息技术（上海）有限公司PART 52022 年 Bots 自动化威胁发展趋势瑞数信息Bots 自动化威胁报告安全漏洞挖掘和探测持续增加-攻击者加强 0day 漏洞侦查能力数据安全风险加剧-数据泄露的规模更大、成本更高，

46、应用数据安全面临更大挑战供应链安全告急-第三方组件造成的供应链漏洞攻击加剧，供应链恶意软件数量上升勒索软件数量继续上升-勒索 软件成为最大的安全威胁，对医疗行业的攻击加剧API 攻击成为恶意攻击首选-利用 API 欺诈是黑产首选，API滥用是最常见攻击方式业务欺诈变本加厉-AI 技术广泛用于欺诈，新型团伙欺诈频出36瑞数信息技术（上海）有限公司安全漏洞挖掘和探测持续增加-攻击者加强 0day 漏洞侦查能力供应链安全告急-第三方组件造成的供应链漏洞攻击加剧，供应链恶意软件数量上升网络空间中，大部分的安全问题都源自 Web。攻击者普遍会利用 Web 应用漏洞对企业进行渗透，以达到控制整个网络、获取

47、大量有价值信息的目的。2022 年，安全漏洞数量还将不断增加，甚至变得越来越复杂。攻击者利用安全漏洞的攻击行为将变本加厉，尤其借助自动化的工具，在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测，使得企业面临更为严重的安全风险和损失。同时，攻击者会进一步加大事前的努力，在攻击准备阶段花费更多的时间和精力来搜寻 0day 漏洞，特别是攻击影响力更大、投入产出更高的软件供应链漏洞，并利用新的技术将攻击扩展到更广泛的网络环境，无疑加大了企业应用防护的难度。随着企业数字化进程的加快和深入，机器人流量的攀升趋势也势不可挡，Forrester 预测 Bot 机器人管理将涵盖许多 Web 应用程序防火

48、墙（WAF）的核心功能，并能够在 2025 年超越传统 WAF 成为核心应用程序保护解决方案。2022 年，恶意 Bot 机器人、高级 Bot 自动化威胁工具将立足效率高、影响力大，在软件供应链、0day 漏洞探测、防护薄弱的 API 等方面的发展趋势将愈加明显。瞄准数据和业务，在勒索软件、恶意爬虫、业务欺诈等方面的 Bots 工具也将不断升级。随着开源、云原生等技术的大范围应用，下一代软件供应链威胁也正在逐渐爆发。据 Forrester 研究表明，应用软件 80%-90%的代码来自开源组件。全球对开源代码的旺盛需求，将导致 Web 应用供应链攻击在2022 年进一步成熟，范围扩大，并且更加复

49、杂，预计使用恶意软件进行 Web 应用供应链攻击的数量将不断攀升。同时，下一代 Web 应用供应链攻击正在到来，其显著特点是刻意针对“上游”开源组件，进行更主动的攻击，攻击者会主动将新的漏洞注入为供应链提供支持的开源项目中。因此，下一代 Web 应用供应链攻击将更加隐蔽，也将有更多的时间对下游企业展开攻击，危险性将更高。2022 年 Bots 自动化威胁发展趋势37瑞数信息技术（上海）有限公司数据安全风险加剧-数据泄露的规模更大、成本更高，应用数据安全面临更大挑战 API 攻击成为恶意攻击首选-利用 API 欺诈是黑产首选，API 滥用是最常见攻击方式2022 年，数据泄露还将继续增加，规模会

50、更大，各国政府和企业将付出更多的代价来进行恢复，损失的成本不仅限于事件响应成本、数据备份成本、系统升级成本，还包括声誉损失成本、法律风险成本等隐性成本，其损失甚至数倍、数十倍于显性损失。数据泄露的主要原因源于 Web 应用程序攻击、网络钓鱼和勒索软件。其中，对 Web 应用程序的攻击仍是黑客行为的主要攻击方向。2022 年，应用安全依然面临挑战，尤其是数据在应用中的安全值得企业重点关注。在万物互联的数字时代，API承载着企业核心业务逻辑和敏感数据，支撑着用户早已习惯的互动式数字体验。根据 Akamai 的一项统计，API 请求已占所有应用请求的 83%，预计 2024 年 API 请求命中数将

51、达到 42 万亿次。与此同时，针对 API 的攻击成为了恶意攻击者的首选，相对于传统 Web 页面，API 的攻击成本更低，越来越多的黑客开始利用 API 进行业务欺诈。事实上，很多企业并不清楚自己拥有多少 API，也并不能保证每个 API 都具有良好的访问控制，被遗忘的影子 API 和僵尸 API 会带来重大的未知风险。据 Gartner 预测，到 2022 年 API 滥用将是最常见的攻击方式，为 API 构建安全防护体系势在必行。勒索软件数量继续上升-勒索软件成为最大的安全威胁，对医疗行业的攻击加剧 2022 年勒索软件数量还将显著增长，攻击者的数量也将达到空前的程度。同时，勒索软件攻击

52、也将迅速蔓延至整个攻击面，勒索软件威胁将无处不在。从行业影响看，勒索软件攻击对金融、教育、医疗等各行各业构成了严重威胁，但医疗机构因其丰富的医疗设备和患者信息成为了攻击者的最佳目标。据 FBI 发布的安全通告显示，在过去一年内至少发现了 16 起针对美国医疗和应急响应机构的 Conti 勒索软件攻击，该勒索软件在全球攻击了超过 400 家医疗和应急响应机构。2022 年，勒索软件对医疗行业的攻击还将持续加剧。在这种形势下，医疗机构的 IT 团队将面临空前挑战。38瑞数信息技术（上海）有限公司业务欺诈变本加厉-AI 技术广泛用于欺诈，新型团伙欺诈频出在社会高度智能化、技术应用门槛越来越低的今天，

53、AI 也成为诈骗者的目标和帮凶。伪造邮件、克隆声音、电话诈骗、人脸伪造等利用 AI 技术的业务欺诈手段层出不穷，反 AI 欺诈已经成为一个社会性的问题。随着互联网行业快速发展，新型业务欺诈来势汹汹，呈现出团伙化、跨境化、精准化、多样化等特征，出现了如：公共 Wi-Fi 欺诈、刷单薅羊毛、线下人力资源机构黑产、投资理财类诈骗、虚假交易网站诈骗、虚假中奖类等多种欺诈案例，给企业和个人造成了巨大的损失。据Juniper Research研究发现，在2021年至2025年期间，在线支付欺诈造成的商家损失将累计超过2060亿美元，这个数字相当于亚马逊2020财年净收入的近10倍。在新的一年里，如何以“魔

54、法打败魔法”，用技术手段来解决新型业务欺诈问题，将成为市场和行业共同努力的方向。39瑞数信息技术（上海）有限公司PART 6总结瑞数信息Bots 自动化威胁报告0102由 WAF 走向 WAAP深化基于 AI 的行为检测40瑞数信息技术（上海）有限公司随着企业数字化进程的不断加速，更多的门户网站、核心业务、交易平台等日益依赖 Web、APP、H5、微信等多渠道开展。与此同时，越来越多的开放性 API 业务也正在蓬勃发展。伴随流量的提升，API 业务带来的 Web 敞口风险和风险管控链条的扩大，不仅各种利用 Web 应用漏洞进行攻击的事件正在与日俱增，各类工具化、智能化、拟人化的 Bots 攻击

55、对数字化业务的影响也在快速攀升。然而，现有的 Web 安全服务彼此之间常常出现难以融合的局面，无法实现统一的安全服务闭环。Gartner 指出，到 2023 年，30%以上面向公众的 Web 应用程序和 API 将受到云 Web 应用程序和 API 保护(WAAP)服务的保护，WAAP 服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API 保护和WAF。瑞数信息专家认为，传统 WAF 技术面临各种挑战，单一的 WAF 产品已不足以解决无处不在的安全风险，防御新的威胁需要一种整体的、集成的安全方法，即从 WAF 走向WAAP，将本地、各类云端充分整合，

56、支持 WAF、Bots 管理、API 防护独立或联合部署，提供多层级的联动防御机制，令企业安全地将各类 Web 业务和应用交付在混合架构中，实现 Web 安全一体化防御。由 WAF 走向 WAAP012022 年网络安全防护建议41瑞数信息技术（上海）有限公司传统安全主要基于攻击特征与行为规则实行被动式防御，在灵活的黑客面前已逐渐失效，不仅是 0day 攻击、各类应用和业务欺诈，在数据泄露和勒索层面更是堪忧；同时攻防对抗水涨船高，防守方规则的构造和维护门槛高、成本大。瑞数信息专家认为，基于 AI 技术对用户行为模式进行智能分析与识别，将不再受制于复杂繁琐的攻击特征与行为规则，应进一步扩大使用场

57、景，不仅应用于攻击趋势预判、高隐蔽性异常行为透视、未知威胁行为溯源等更智能的安全分析，也可以加强对于数据的破坏、篡改、加密勒索等数据威胁行为的识别检测，并通过更实时的安全预警及安全联防进一步缩短响应时间，提升了攻击门槛，在攻防格局中处于主动位置。深化基于 AI 的行为检测0242瑞数信息技术（上海）有限公司PART 7附录 1 2021 重要法律法规发布瑞数信息Bots 自动化威胁报告0105020304关键信息基础设施保护行业数字化建设数据安全与个人信息保护漏洞管理信息服务43瑞数信息技术（上海）有限公司关键信息基础设施安全保护条例2021 年 8 月 17 日国务院发布了关键信息基础设施安

58、全保护条例，建立专门的关键信息基础设施的保护制度，明确各方责任，提出保障促进措施，构建国家关键信息基础设施安全保护体系的顶层设计和重要举措，更是保障国家安全、社会稳定和经济发展的现实需要。该条例是对网络安全法确立的关键信息基础设施安全保护制度的细化和健全，有助于构建多方尽责、共同协作的关键信息基础设施安全防护体系。关键信息基础设施保护数据安全与个人信息保护附录 1 2021 重要法律法规发布随着网络信息化数字化的发展和建设，政府高度重视网络安全工作，各行各业都相继发布了发展规划和相关法律法规，并在关键信息基础设施、数据安全与个人信息保护、工业互联网、车联网、物联网等多个领域密集出台了多项网络安

59、全法律法规和政策文件，有效促进了网络安全领域的技术创新和应用落地，为筑牢国家网络安全屏障、推进网络强国建设提供了有力支撑。我们收集整理了 2021 全年国内网络安全领域发布的重要法律法规和政策文件供大家参考。网络安全审查办法网络安全审查办法于 2021 年 11 月 16 日国家互联网信息办公室 2021 年第 20 次室务会议审议通过，该法是为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据中华人民共和国国家安全法、中华人民共和国网络安全法、中华人民共和国数据安全法、关键信息基础设施安全保护条例制定。中华人民共和国数据安全法2021年6月10日，第十三届全国人民代

60、表大会常务委员会第二十九次会议通过 中华人民共和国数据安全法明确了数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动。中华人民共和国数据安全法是数据安全领域的基础性法律，标志着我国在数据安全领域有法可依，有章可循，为各行业数据安全提供监管依据，为数字化经济的安全健康发展提供了有力支撑。中华人民共和国个人信息保护法2021 年 8 月 20 日，第十三届全国人民代表大会常务委员会第三十次会议通过中华人民共和国个人信息保护法，个人信息保护法坚持和贯彻以人民为中心的法治理念，牢牢把握保护人民群众个人信息权益的立法定位，聚焦个人信息保护领域的突出

61、问题和人民群众的重大关切问题。在有关法律的基础上，该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。44瑞数信息技术（上海）有限公司国家医疗保障局关于加强网络安全和数据保护工作的指导意见（医保发 2021 23 号）2021 年 4 月 6 日，国家医保局发布国家医疗保障局关于加强网络安全和数据保护工作的指导意见，到 2022 年基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末，医疗保障系统网络安全和数据安全保护制度体系更加健全，智慧医保和安全医保建设达

62、到新水平。工业和信息化领域数据安全管理办法（试行）（征求意见稿）2021 年 9 月 30 日，工信部公开对工业和信息化领域数据安全管理办法（试行）征求意见稿。为规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益。拟要求工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当

63、按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。漏洞管理网络产品安全漏洞管理规定（工信部联网安 2021 66 号）2021 年 7 月 13 日，工信部、网信办、公安部联合发布网络产品安全漏洞管理规定（工信部联网安2021 66号），旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。明确任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活

64、动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。网络产品安全漏洞收集平台备案管理办法（征求意见稿）公开征集意见2021 年 9 月 13 日，工信部对网络产品安全漏洞收集平台备案管理办法（征求意见稿）公开征集意见，为贯彻落实中华人民共和国网络安全法、网络产品安全漏洞管理规定，规范网络产品安全漏洞收集平台备案管理。信息服务互联网信息服务管理办法（修订草案征求意见稿）进行意见征集2021 年 1 月 8 日，网信办公开对互联网信息服务管理办法（修订草案征求意见稿）进行意见征集，指出互联网信息服务

65、提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息45瑞数信息技术（上海）有限公司应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止所收集、使用的身份信息、日志信息泄露、毁损、丢失。关于加强互联网信息服务算法综合治理的指导意见2021 年 9 月 17 日，网信办、教育部、科技部等九部委联合发布关于加强互联网信息服务算法综合治理的指导意见（国信办发文20217 号），利用三年左右时间，逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。行业数字化建设高等学校数字校园建设规范（试行）2021 年 3 月 12 日，教育部发布高等学校数字

66、校园建设规范（试行）（教科信函202114 号），对高等学校数字校园建设各方面内容提出通用要求，并明确高等学校网络安全工作应遵守中华人民共和国网络安全法并符合网络安全等级保护相关的 GB/T 22239、GB/T 28448、GB/T 25070 及 GB/T 25058的相关要求。交通运输领域新型基础设施建设行动方案（20212025 年）2021 年 8 月 31 日，交通运输部发布交通运输领域新型基础设施建设行动方案（20212025 年）（交规划发202182 号），到 2025 年，将打造一批交通新基建重点工程，形成一批可复制推广的应用场景，制修订一批技术标准规范，促进交通基础设施网

67、与运输服务网、信息网、能源网融合发展。在网络安全方面，严格落实等级保护制度，加强关键信息基础设施保护，强化态势感知能力建设，保障数据共享安全可控。建立健全数据安全保护制度，加强基础设施数据全生命周期管理和分级分类保护，落实数据容灾备份措施。关于规范金融业开源技术应用与发展的意见2021年9月28日，中国人民银行、网信办等五部门联合发布 关于规范金融业开源技术应用与发展的意见，该意见有助于规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展。鼓励金融机构将开源技术应用纳入自身信息化发展规划，加强对开源技术应用的组织管理和统筹协调，建立健全开源技术应用管理制度体系，

68、制定合理的开源技术应用策略；鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等；鼓励金融机构积极参与开源生态建设，加强与产学研交流合作力度，加入开源社会组织等。强调要加强统筹协调，建立跨部门协作配合、信息共享机制，完善金融机构开源技术应用指导政策，探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。46瑞数信息技术（上海）有限公司PART 8附录 2 自动化攻击事件集合瑞数信息Bots 自动化威胁报告004080910震惊业界的 Log4j 漏洞Kaseya 供应链攻击，影响全球 200 家企业警方破获数据泄露量达 54 亿条

69、的重大案件淘宝被非法爬取 11 亿条数据伊朗遭受网络攻击导致全国加油站大规模关闭领英业务接口漏洞导致 7 亿数据泄露俄罗斯国防部遭到 DDoS 攻击Facebook 业务接口攻击导致 5 亿数据泄露CNA 金融遭遇历史最高勒索病毒赎金Parler 因 API 漏洞泄露 60TB 数据47瑞数信息技术（上海）有限公司2021年12月，Log4j 日志框架中一个严重的远程代码执行漏洞震惊了整个行业，该工具在企业运营（OT）、软件即服务（SaaS）和云服务提供商（CSP）环境中普遍存在，并且利用难度较低，对企业造成了巨大的危害和压力。这些漏洞允许攻击者在目标系统上执行任意命令，从而攻陷系统进入内网，

70、由于影响范围巨大，Log4j 事件成为 2021 年最大的安全漏洞应急响应事件。2021 年 10 月，江苏无锡警方成功破获了一起侵犯公民个人信息案，犯罪嫌疑人使用自动化工具在各个数据平台非法获取各类公民信息，数据累计高达54亿多条，并通过非法网络平台以查询、出售等方式牟利，其中某大型社交网络账号关联的手机号码等个人信息数据，标价高达 1000 美元每条。震惊业界的 Log4j 漏洞警方破获数据泄露量达 54 亿条的重大案件0102自动化攻击事件集合2021 年 10 月 26 日，伊朗管理燃料补贴的政府系统遭受了网络攻击,导致加油站服务大规模中断。该事件影响了 NIOPDC 的 IT 网络，

71、NIOPDC 是国有天然气分销公司，在伊朗管理着 3,500 多个加油站。网络攻击导致 NIOPDC 加油站在屏幕上显示“cyberattack 64411”字样，同时遭受攻击的油泵无法正确计费和收款，影响加油站的运营。伊朗遭受网络攻击导致全国加油站大规模关闭0348瑞数信息技术（上海）有限公司2021 年 7 月 16 日，俄罗斯国防部遭到分布式拒绝服务(DDoS)攻击，这次攻击导致俄罗斯国防部网站瘫痪了大约一个小时，之后专家们才修复系统并恢复了网站服务。俄罗斯国防部遭到 DDoS 攻击042021 年 7 月初，IT 管理软件供应链厂商 Kaseya 的系统被黑客入侵。黑客通过使用该公司的

72、 VSA 产品来感染用户，然后再通过勒索软件来攻击这些用户。受害者中有瑞典杂货连锁店 Coop，该事件目前已经导致 Coop 的 500 家商店店面关闭。同时信息安全公司 Huntress 称，至少还有 200 家企业受到影响。Kaseya 供应链攻击，影响全球 200 家企业052021 年 6 月河南省商丘市睢阳区人民法院公布了一起侵犯公民个人信息罪案件，犯罪分子使用自己开发的爬虫软件通过 mtop 订单评价接口绕过淘宝的平台风控，进行批量数据爬取，包括用户ID、淘宝昵称、手机号码等信息，累计数量超过11亿条。淘宝被非法爬取 11 亿条数据062021 年 6 月，名为“GOD User”

73、的卖家在暗网对获得 7 亿条领英用户信息进行售卖，并提供了 100 万条用户信息样本作为证明。涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息，据悉，部分数据是通过 API 泄露。领英业务接口漏洞导致 7 亿数据泄露0749瑞数信息技术（上海）有限公司2021 年 4 月，美国社交媒体平台 Facebook 因为业务接口漏洞被曝出 5.33 亿用户数据遭泄露。这些数据涉及 106 个国家，其中包括 3200 万美国用户，1100 万英国用户，600 万印度用户。泄露的信息包括脸书 ID、用户全名、位置、生日、个人简介以及电子邮件地址，其中扎克伯格的电话号码也在其中。Faceboo

74、k 业务接口攻击导致 5 亿数据泄露082021 年 3 月，美国最大保险公司之一的 CNA Financial 遭到黑客组织利用Phoenix Locker 勒索软件的攻击，大概 15000 台设备和文件被加密，相关客户资料受到泄露和无法使用的风险。CNA Financial 在试图恢复文件无果之后，与黑客谈判，黑客最初索要 6000 万美元，谈判后向黑客支付了 4000 万美元，创下了历史上最高勒索软件已支付赎金金额的记录。CNA 金融遭遇历史最高勒索病毒赎金092021 年 1 月，因为川普带火的 Parler 社交平台遭遇 API 漏洞攻击，攻击者利用Parler 的安全机制缺陷，通过

75、自动化工具爬取了 1000 万 Parler 用户数据，其中包括 100 多万条视频，数据量达到 60TB。Parler 因 API 漏洞泄露 60TB 数据1050瑞数信息技术（上海）有限公司关于瑞数信息瑞数信息(River Security)成立于 2012 年，专注网络安全领域的前沿技术创新和产品研发。公司总部位于上海，在北京、广州、成都、深圳、南京等 20 多个城市设有分公司、办事处和服务团队，并在成都、上海和北京分别设有研发中心和研发团队。目前业务覆盖三大运营商、金融、政府、制造、能源、交通、医疗、教育、电商互联网等众多行业。瑞数信息创新的“动态安全”技术，完全颠覆了传统安全依赖攻击

76、特征与策略规则的被动式防御技术，可对已知和未知的自动化攻击，各种利用自动化工具发起的恶意行为做到更及时、更高效地拦截。结合“动态安全”与“AI人工智能”两大核心技术的协同效力，让安全能力从主动防御，提升到可持续安全对抗的新台阶，高效防护各类数字化时代的新兴威胁。作为中国动态安全技术的创新者和 Bots 自动化攻击防护领域的专业厂商，瑞数信息不断引领应用安全新变革，全新的 WAAP 安全平台以独特的“动态安全”为核心技术，以 Bot 防护为核心功能，结合智能威胁检测技术、行为分析技术，提供传统 Web 安全防御能力的同时，更能将威胁提前止于攻击的漏洞探测和踩点阶段，轻松应对新兴和快速变化的 Bots 攻击、0day攻击、应用 DDoS 攻击和 API 安全防护。实现真正覆盖 Web、APP、云和API 资产的全渠道应用安全、业务安全、数据安全、云安全等在内的专业网络安全产品及服务。报告2022/07400-611-