自动泄露的用户名和密码来访问帐户是对网络犯罪分子的一种低风险、高回报的攻击。本文将介绍一些预防、检测和防御此类攻击的方法。什么是撞库?凭据填充是一种网络攻击,也称为“凭据填充”,其中使用从一项服务的数据泄露中获得的登录凭据来尝试登录另一项不相关的服务。例如,攻击者可能通过入侵一家大型百货公司获得大量用户名和相应的密码,并使用相同的登录凭据尝试登录一家国际银行的网站。攻击者猜测,这些百货公司的客户中有一部分也有银行账户,他们使用的用户名和密码与百货公司相同。很多人可能习惯将其与“暴力破解”相提并论,但两者之间有着明显的区别。OWASP将凭证填充归类为暴力攻击的一个子集。但严格来说,撞库与传统的暴力破解有很大不同。暴力攻击试图根据上下文或线索猜测密码,有时会按照常规密码设置的建议随机化字符。凭据填充利用泄露的数据,可能的正确答案数量减少。防止暴力攻击的有效方法是使用由多个字符组成的强密码,包括大写字母、数字和特殊字符。但密码强度并不能防止凭据填充。密码有多强并不重要——如果密码在不同账户之间共享,它仍然会遭受撞库攻击。数字:撞库攻击的状态HaveIBeenPwned.com(HIBP)—由安全研究员TroyHunt运行的免费数据泄露通知服务—从410起数据泄露事件中追踪到超过85亿个被泄露的凭据。而这只是来自公共数据集或广泛分布在地下论坛上的数据集的凭据。还有许多数据转储仍然是私有的,只供一小部分黑客使用,因此泄露凭证的规模可想而知。鉴于地下黑市正在出售被盗凭证和启用自动凭证填充攻击的专用工具,这意味着发起此类攻击不需要特殊技能或知识,任何人只要花几百美元就可以执行工具和数据凭证填充攻击。2020年,安全和内容交付公司Akamai在其发布的《互联网现状报告》中指出,仅凭据攻击尝试就有1930亿次失败,与2019年的470亿次相比,凭据登录攻击尝试次数激增了310%+。而且,某些行业比其他行业更容易成为目标——例如,仅金融服务行业就经历了34.5亿次撞库攻击。Akamai于2021年5月发布的最新报告指出,撞库攻击的数量出现了几次激增,包括2020年底的一天发生了超过10亿次攻击。研究人员认为,这些攻击应该与犯罪经济中发生的事件有关。报告称,2020年底撞库攻击的激增与2020年第一季度和第二季度的几起重大数据泄露事件有关,最初在几个地下论坛的犯罪分子中流传。一旦这些受损凭据开始传播,恶意行为者就会使用它们来测试针对各种目标的攻击,最主要的是金融机构。撞库攻击“加速器”从统计上看,撞库攻击的成功率很低,但凭据数据集的交易量非常大,攻击者觉得即使成功率很低,也值得一试。这些集合包含数千甚至数亿个登录凭据。使用0.1%的成功率,拥有一百万组凭据的攻击者将能够获得大约1,000个成功入侵的帐户。即使只有一小部分受感染的帐户产生有利可图的数据(通常以信用卡号码或网络钓鱼攻击中使用的敏感数据的形式),也值得发起这样的攻击。而且,由于人们有重复使用密码的习惯,撞库攻击的成功率也有所提高。数据表明,高达约85%的用户对多项服务重复使用相同的登录凭据。只要这种做法继续下去,凭据填充就会继续起作用。此外,被盗的凭据和可用于发送撞库攻击的工具在地下市场出售,这进一步加剧了此类攻击,因为即使是没有任何技能和专业知识储备的人也可以花几百美元买到合适的。工具和数据来发动成功的攻击。机器人技术的进步也使凭据填充成为一种可行的攻击。Web应用程序登录表单中内置的安全功能通常包括故意延迟和在多次登录尝试失败后禁止用户的IP地址。现代凭证填充软件通过使用机器人同时尝试多次登录(表面上来自多种设备类型和多个IP地址)来规避这些保护。恶意机器人旨在使攻击者的登录尝试与典型的登录流量不同,并且有效。通常,受害公司意识到攻击的唯一迹象是登录尝试总数的增加。即便如此,受害公司也很难在不影响合法用户登录服务的情况下阻止这些恶意尝试。撞库带来的合规风险自欧盟《通用数据保护法案》GDPR生效以来,全球监管机构都非常重视数据保护,甚至出现了多起巨额罚款。根据GDPR,个人数据泄露是指“个人数据在传输、存储、处理过程中因违反安全政策而发生的意外或非法损坏、丢失、篡改、披露或访问”。泄露数据进行撞库攻击,但企业自身的安全防护工作不能防止未授权访问也是违规行为。同时,美国(HIPAA)也规定“以HIPAA隐私规则不允许的方式获取、访问、使用或披露个人医疗信息等同于危害安全或隐私”。即使非法访问的数据被加密,但系统和数据已经受到未经授权的攻击,这也是HIPAA隐私规则不允许的披露。2018年,信用评级公司穆迪将“网络安全风险”纳入现有信用评级标准,将被评估者抵御网络攻击的能力量化并纳入最终评级结果。信用评级广泛影响着投资者在选择投资对象时所考虑的风险评估和投资决策。对于上市公司,重新考虑他们的网络安全和合规方法,尤其是在法规变得更加难以遵守的情况下。不仅如此,特定行业还将面临更多、不同的处罚。如何检测撞库?凭据填充攻击是通过僵尸网络和支持使用代理将恶意请求分发到不同IP地址的自动化工具发起的。此外,攻击者经常配置他们的工具来模仿合法的用户代理。所有这些使得防御者很难区分撞库攻击和合法登录尝试,尤其是在登录请求突然涌入的高流量站点上。也就是说,短时间内登录失败率的增加可能是撞库攻击正在进行中的明显迹象。同时,一些商业网络应用程序防火墙和服务使用更先进的行为技术来检测可疑的登录尝试,网站所有者可以采取措施防止此类攻击。如何防止和缓解撞库?一种有效的缓解措施是实施和鼓励使用多因素身份验证(MFA)。虽然一些自动网络钓鱼和帐户接管工具可以绕过MFA,但这些攻击需要更多资源,并且比撞库更难大规模实施。由于多因素身份验证在一定程度上影响用户体验,因此许多组织只是建议用户启用它而不强制执行。如果感觉对所有用户帐户强制执行多重身份验证对业务影响太大,折衷方案是为确定具有更大风险的用户自动启用它,例如,在他们的帐户经历异常大量的失败后登录尝试。许多大型企业已经开始积极监控公共数据转储,并检查受影响的电子邮件地址是否也存在于他们的系统中。对于在他们的服务中发现的此类帐户,即使他们在其他地方遭到破坏,他们也会强制重置密码并强烈建议启用多因素身份验证。想要监控员工使用工作电子邮件设置的帐户是否受到外部违规影响的公司可以使用HIBP等服务为其整个域名设置警报。HIBP的公共API甚至被用于开发可以集成到网站或移动应用程序中的各种编程语言的脚本。最后,密码卫生应该成为任何公司员工安全意识培训的一部分。密码重用是撞库攻击的重要促成因素,无论是在工作中还是在家中,都应强烈反对。用户可以使用密码管理器为每个在线帐户生成唯一且复杂的密码。如果在公共数据转储中检测到用户的电子邮件地址,其中一些应用程序甚至会自动通知用户。摘要撞库将始终存在。由于无法完全消除这种行为,组织和用户所能做的就是让撞库攻击变得更加困难。弱口令和口令复用是账户安全的祸根;无论我们是在谈论游戏、零售、媒体和娱乐,还是任何其他行业,这一点都至关重要。如果密码太弱或同一密码在多个帐户中重复使用,总有一天会被泄露。人们需要提高对这些事实的认识,密码管理器和多因素身份验证的推广也是如此。本文翻译自:https://www.csoonline.com/article/3448558/credential-stuffing-explained-how-to-prevent-detect-and-defend-against-it.html【责任编辑:赵宁宁电话:(010)68476606]
