关于 Gene Fay
Gene Fay 是一位经验丰富的高科技高管,在信息技术领域有着成功的工作经历。 精通网络安全、存储区域网络 (SAN)、销售、专业服务和数据中心。 强大的信息技术专业人士,拥有东北大学 - 工商管理研究生院的高科技 MBA 学位。 他还是 eXecutive Security Podcast 的主持人,该播客的特色是与 CISO 和其他安全领导者就个人如何进入和发展安全职业进行对话。
凭证填充攻击解释(以及如何防止它们)
了解如何防止撞库攻击的关键是了解它们是什么,它们是如何执行的,以及它们是如何实现的 影响您的业务和数据.
简而言之,撞库攻击是对被盗用户名和密码的自动匹配,犯罪分子可以使用这些攻击来查找有效的登录凭据组合。 这种方法推动了帐户接管攻击,并且通常倾向于先于它们。 犯罪分子需要先访问帐户,然后才能接管帐户并将其用于自己的目的。
撞库攻击占所有在线攻击类型的很大一部分,事实上, 几乎所有数字流量的 5% 与这些攻击有关。
最近撞库攻击的增加是由于通过定期数据泄露盗窃消费者的个人信息,在某些情况下是高利润的。 在其在线帐户中重复使用和回收密码的消费者尤其面临风险。
从本质上讲,这意味着如果攻击者可以访问一个人跨多个在线帐户使用的单个有效用户名和密码组合,那么这些帐户都可以在相对较短的时间内轻松入侵。
撞库攻击如何工作?
任何撞库攻击都包含三个主要阶段:
- 资料收集
- 凭据匹配
- 攻击货币化
攻击者经常使用机器人来自动化凭证验证过程并找到用户名和密码的有效组合。 这些功能强大的机器人可以将数千个密码与用户名匹配,以找到可用于获得对数字帐户的不必要访问的有效组合。 这种方法允许攻击者扩大他们的工作量并增加他们的投资回报率,同时对企业和个人造成相当大的损害。
撞库攻击有多常见?
这些数字攻击在广泛的行业和在线领域中非常普遍和普遍。 有时它们甚至由自动机器人而不是人类执行。 具有人工智能功能的高级机器人很容易被攻击者使用,他们甚至可以访问支持服务来协助他们进行攻击。 这项技术使攻击者可以轻松地使用机器人执行大规模攻击,而他们自己的成本却最低。
许多攻击者还了解基本的欺诈防御技术,并且可以利用这些知识来绕过和利用技术系统来谋取利益。 一旦他们破坏了网络,他们就可以使用机器人在内部进行探索,窃取私人数据并破坏企业的运营和安全系统。
了解统计数据
免费数据泄露通知平台 HaveIBeenPwnd.com 跟踪来自 8.5 多个数据泄露事件的超过 400 亿个被泄露的凭据。 该服务仅跟踪来自向公众开放或使用地下平台广泛分发的数据集的凭据。 许多数据库转储是私有的,只有小型黑客组织才能访问它们。
凭证填充攻击由完整的地下经济支持,该经济以出售被盗凭证和定制支持工具为中心,以帮助攻击者进行攻击。 这些工具使用“组合列表”,在泄露的数据集中发现的散列密码被破解后,从不同的数据集中进行整理。 从本质上讲,发起撞库攻击不需要任何专业知识或技能。 任何有足够资金购买所需数据和工具的人都可以发起攻击。
仅在 193 年,安全和内容交付公司 Akamai 在全球范围内就发现了 2020 亿次撞库攻击。 这个数字作为 比 360 年的数据增长 2019%. 尽管这种增长在一定程度上可以归因于对更多客户的更广泛的监控。 一些行业,例如金融服务行业,尤其经常成为攻击目标。 Akamai 的 2021 年 2020 月报告列举了这些攻击数量的几次高峰,包括 XNUMX 年末的一天,发起了超过 XNUMX 亿次攻击。
如何发现攻击
撞库攻击是通过自动化工具和僵尸网络发起的,这些工具和僵尸网络允许使用代理在多个不同的 IP 地址上分发恶意请求。 攻击者还经常配置他们选择的工具来模仿真实的用户代理——标识 Web 请求所包含的操作系统和浏览器的标头。
这一切都使得区分攻击和真正的登录尝试变得具有挑战性。 尤其是在访问量很大的网站上,突然出现的登录请求浪潮并没有从通常的登录行为中脱颖而出。 话虽如此,短时间内登录失败率的增加可能表明已经对网站发起了撞库攻击。
有许多 Web 应用程序防火墙和类似服务使用高级行为诊断来检测可疑登录行为。 加, 网站所有者可以采取自己的措施 以防止未来的攻击。
了解更多
如何防止撞库攻击
撞库攻击是当今互联网用户数字账户面临的最重大威胁之一,这也适用于企业。 组织、小型企业以及介于两者之间的每个人都应该采取保护措施来抵御这些威胁,以确保他们的个人和组织数据是安全的。
一些最受欢迎的 凭证填充预防 技术包括:
- 验证码
验证码是一种常见的机器人形式,用于防止由其他机器人驱动的攻击。 他们要求互联网用户在登录时解决难题,以确保他们是人类。 验证码有多种版本,包括图片、文本、音频、数学和等。 - 行为生物识别登录
一些企业采用分析典型用户行为和网络流量模式来检测威胁。 他们可以使用这些数据来发现异常行为和可能对其系统的利用。 - IP地址阻塞
许多企业因可疑活动而封锁了 IP 地址,而其他企业则选择隔离可疑请求,直到可以对其进行审查和验证。 - 两因素和多因素身份验证
2FA 和 MFA 使用只有用户应该知道或有权访问的附加信息提供附加的安全和身份验证层。 这种身份验证可以采用一次性 PIN 码、短信、安全问题或生物识别读数(如指纹或面部扫描)的形式。 - 设备智能和指纹识别
设备智能包括操作系统、IP 地址、浏览器类型等数据。 这些数据有助于创建可以链接到特定设备的唯一身份。 偏离这些典型数据可以标记可疑行为,并允许企业和个人主动采取行动并引入更多身份验证措施。 - 密码和安全卫生
密码卫生应该成为每个企业员工安全意识培训的一部分。 密码重用是撞库攻击的主要促成因素,因此企业需要阻止这种做法,并确保其员工知道在工作中和以个人身份使用强而独特的密码是多么重要。
网络用户可以使用 安全密码管理器 为他们拥有的每个在线帐户生成复杂且不可预测的密码。 密码管理器将自动存储这些密码,并且如果用户的电子邮件地址出现在公共数据转储中,也可能会通知用户。
一些大公司已经开始采取主动措施,通过分析和监控公共数据转储来查看受影响的电子邮件地址是否也存在于他们自己的系统中。 对于在其服务器上找到的帐户,他们需要重置密码并建议启用多因素身份验证以保护其数据可能已经受到损害的消费者。
这些预防措施的效果如何?
许多企业使用上述一种或几种防御方法来保护自己及其数据免受撞库攻击。 但是,这些方法并非 100% 有效。 它们存在的缺点证明在提供针对不断演变的攻击的持续保护方面仅部分有效。
这些预防措施带来了整合挑战并增加了技术成本,同时使风险决策复杂化,这可能进一步阻碍欺诈预防工作。 例如,多因素身份验证的实施成本很高,而且容易延迟或丢失 SMS 和 OTP。
同样,根据行为变化阻止 IP 地址可能会导致企业在不知不觉中阻止合法客户和潜在客户。 设备智能不能用作独立的安全解决方案,因为当今大多数用户都安装了许多设备和浏览器。 验证码已经落后于不断变化的机器人技术。 它们正迅速变得无效,因为它们经常在没有阻止攻击的情况下不必要地阻碍互联网用户。
要点:威慑是关键
在撞库攻击问题日益严重的时代,各种规模的企业都将努力在不断扩大的补救成本与产生可行投资回报率的有效安全措施之间取得平衡。 这些攻击对于攻击者来说是非常可承受的。 但它们可能会使企业在财务损失和声誉受损的情况下陷入瘫痪。
简而言之,减少撞库攻击可能不足以保护企业免受伤害。 相反,他们必须专注于威慑犯罪分子,以确保他们的数据安全。 随着攻击方法的不断发展,需要一种创新的欺诈威慑方法来为组织提供持久的保护。
根据上述 Akamai 互联网状况报告,撞库攻击不会发生。 由于无法完全阻止它们,因此企业应致力于使获取匹配用户名和密码的过程尽可能具有挑战性。 减少密码重复使用和鼓励创建强密码是跨行业企业可用的一些最有效和负担得起的威慑措施。
了解更多
关于 Gene Fay
