就在今年,国外一家地方商业银行遭遇黑客撞库攻击,导致部分客户证件、手机号码等信息被盗取,并出现频繁试探性登录的情况,最终导致上万用户账号里的资金被转走。
不久之前,比特币交易平台OKEx账户遭遇撞库攻击,受攻击者账户由于多次登陆失败导致部分用户账户被紧急临时锁定。
Akamai发布的《2018年互联网安全状况报告:撞库攻击》显示,2017年11月初到2018年6月末,由撞库攻击造成的恶意登陆尝试行为在8个月的时间里发生了300多亿次。什么是“撞库”?企业应该如何防止“撞库”攻击?
撞库攻击肆虐,危害多个行业
“撞库”是指黑客利用僵尸网络入侵某网站后拿到大量用户名、密码等信息,之后去另一个网站尝试登录。而且黑客还会把盗取的数据进行“拖库”,把数据存到自己的“社工库”里,通过暗网进行出售。
攻击者从网上或黑市买到这些信息后,会马上拿出来去他感兴趣的网络上尝试登陆。很多用户为了方便记忆,会在不同网站使用相同的用户名和密码,这让黑客有机可乘,攻击者正是利用人性的这个弱点进行“撞库”,而且成功率非常高,已经形成了黑色产业链。
除了金融行业之外,在线流媒体也是撞库攻击的“重灾区”。《互联网安全状况报告:撞库:攻击与经济——特别媒体报告》显示,2018年最高峰的攻击发生在视频媒体行业,2018年出现的三次最大规模的撞库攻击均针对流媒体服务,规模介于1.33亿次到2亿次攻击尝试,且都是在某平台被报告数据泄漏不久后发生的,这表明黑客可能会在出售被盗证书之前对其进行测试。
其实,撞库攻击事件在各行各业都有发生,早前12306网站上包括账号密码、身份证、邮箱等在内的13万条用户数据被公开传播售卖;线上售票平台大麦网被发现存在安全漏洞,600余万用户账户密码遭到泄露;凯悦集团旗下11个国家的41家凯悦酒店支付系统被黑客入侵,大量客户信息泄露……
然而撞库攻击的成本和技术门槛并不高:黑客在论坛下载社工库,挂个脚本即可实施攻击行为。虽然成本和技术门槛都不高,但撞库攻击者正在不断改进其攻击手段。
一家国外的信用机构遭遇到了恶意登陆尝试,并且登陆次数一直在大幅度增加,技术人员发现,一个异常巨大的僵尸网络将其网站作为攻击目标的同时,另一个僵尸网络正在非常缓慢却有条不紊地试图侵入网站。撞库攻击者正在从海量攻击,转向‘低可见度慢速’隐形攻击。在此类攻击的背后可能存在着专业的网络犯罪组织。
用“爬虫管理”对付撞库攻击
如果没有特定的专业知识和工具来抵御这些混合的、多方向的攻击活动,企业容易遭受巨大损失。据统计,亚太地区企业机构每年因撞库攻击遭受的损失高达2850亿美元。
针对撞库攻击,可利用人工智能和机器学习技术,能够有效的识别出哪些是人工流量,哪些是爬虫流量。
爬虫管理方案的实施分为三个步骤:第一步,判断流量是否来自爬虫;第二步,判断该爬虫是好爬虫还是恶意爬虫,以航空公司为例,客户会在其平台上购买机票,这就要判断爬虫行为是不是来自于客户的购票行为,如果属于客户的行为,就是好爬虫;第三步,根据爬虫类型采取相应管理措施。
一般的处理手段是对恶意爬虫进行阻挡,但这样的效果并不明显,因为挡住了一处,别处就会有越来越多的爬虫。原因在于运行爬虫的人很聪明,如果感知到异常,他会修改爬虫程序,使之更加智能、更难防范。所以可以给它一个极慢的速度或者将计就计给他提供虚假的信息。
API正在成为新的攻击目标
在数字化浪潮下,企业的网络安全问题变得越发复杂,根据《2018年互联网发展状况安全报告》显示,除了撞库攻击之外,企业为了提高业务效率、优化服务质量而开放的一系列API接口正在成为新的攻击目标。
数字化时代,应用程序开发中API的使用已成为一项标准。通过集成第三方服务的功能,开发人员不用再从无到有自己构建所有功能,同时还能加快新产品及服务的开发过程。举个例子,一个电商平台希望银行为其用户提供账户查询、支付、消费贷款等服务,银行开放若干个金融服务接口供电商平台调用,那么用户就可以直接从该电商平台在线获得上述银行服务而无需再到银行办理。
据统计,截至目前,企业平均管理着363个API,其中69%的公司会向公众及其合作伙伴开放这些API。经历数字化转型的企业机构正在大举利用API来推动新的客户体验并创造新的收入来源,这给黑客带来了更多入侵机会。
API本身是由原生APP发起的一个请求,并非通过‘人’和‘机器’交互、通过浏览器/点击/翻页/进入而产生,相对来讲这个请求的频率更高、参数更多。现在很多原生APP的后台不是传统的网络服务器,而是很多微服务,黑客可以通过API里面的一些表达式去做一些操控,比如说增加参数的数量以及嵌套的层数,使得同样一个攻击的请求到达后台的时候,它对后台资源的消耗更大。
黑客希望用最低的成本把企业的网络资源快速耗尽,所以API的保护需要采用面向治理、管理和安全性的专用解决方案。API流量自动保护、Web应用程序防火墙上的新攻击组以及API网关解决方案中的高级节流功能,能有效帮助企业阻挡黑客发起的攻击,在黑客攻击的第一时间防御体系就会开启,从边缘切断一切安全隐患。
