08 2021.12
產品消息
了解 Imperva Bot Management 如何幫助您應對撞庫攻擊
近期發生多起證券商遭受駭客撞庫攻擊資安事件,「撞庫」是指洩露在網路上的用户帳號和密碼遭駭客收集後,在其他網站或平台嘗試登入的行為,只要一次登入成功,就可竊取到用戶資訊。
了解 Imperva Bot Management 如何幫助您應對撞庫攻擊
Imperva 機器人管理解決⽅案
了解 Imperva Bot Management 如何幫助您應對撞庫攻擊
Imperva 機器人管理解決⽅案
Imperva 行業領先的爬蟲程式管理解決方案,多了一層自動化安全邏輯,可防止通過惡意機器人執行的撞庫、刷卡、票務和許多其他自動攻擊。除了惡意機器⼈保護之外,Imperva 還提供多層保護,以確保網站和應⽤程式可⽤、易於登入且安全。Imperva 應用程式安全解決方案包括:
DDoS 保護:在所有情況下保持正常運⾏狀態,可防⽌任何類型、規模的 DDoS 攻擊,阻⽌其連結至您的網站和網路基礎設施。
CDN:經由專為開發⼈員設計的 CDN 提⾼網站性能並降低頻寬用量。在邊緣緩存靜態資源, 同時加速 API 和動態網站。
WAF:可支援雲端的解決⽅案,允許合法流量並阻⽌惡意流量,以確保網路內的應⽤程式和 API 安全。
API 安全性:確保只有所需流量才能連結至您的 API 端點,以及透過檢測並阻⽌漏洞利⽤來保護 API。
帳戶接管保護:利用基於意圖的檢測過程,來識別和防禦來自惡意意圖接管⽤⼾帳⼾的攻擊。
RASP:從內部保護您的應⽤程式免受已知與零⽇攻擊,快速準確的保護,無需簽名或學習模式。
什麼是憑證填充
憑證填充是⼀種網路攻擊⽅法,攻擊者使⽤受感染的⽤⼾憑證列表來⼊侵系統。該攻擊使⽤機器⼈來實現⾃動化和擴大,並且假設許多⽤⼾在多個服務中重複使⽤⽤⼾名和密碼。根據數據顯⽰,憑據填充攻擊⼤約有 0.1% 的機率會導致成功登入。
憑證填充是⼀個不斷上升的威脅向量,主要有兩個原因:
DDoS 保護:在所有情況下保持正常運⾏狀態,可防⽌任何類型、規模的 DDoS 攻擊,阻⽌其連結至您的網站和網路基礎設施。
CDN:經由專為開發⼈員設計的 CDN 提⾼網站性能並降低頻寬用量。在邊緣緩存靜態資源, 同時加速 API 和動態網站。
WAF:可支援雲端的解決⽅案,允許合法流量並阻⽌惡意流量,以確保網路內的應⽤程式和 API 安全。
API 安全性:確保只有所需流量才能連結至您的 API 端點,以及透過檢測並阻⽌漏洞利⽤來保護 API。
帳戶接管保護:利用基於意圖的檢測過程,來識別和防禦來自惡意意圖接管⽤⼾帳⼾的攻擊。
RASP:從內部保護您的應⽤程式免受已知與零⽇攻擊,快速準確的保護,無需簽名或學習模式。
什麼是憑證填充
憑證填充是⼀種網路攻擊⽅法,攻擊者使⽤受感染的⽤⼾憑證列表來⼊侵系統。該攻擊使⽤機器⼈來實現⾃動化和擴大,並且假設許多⽤⼾在多個服務中重複使⽤⽤⼾名和密碼。根據數據顯⽰,憑據填充攻擊⼤約有 0.1% 的機率會導致成功登入。
憑證填充是⼀個不斷上升的威脅向量,主要有兩個原因:
- 大量憑證資料庫的廣泛可⽤性,例如“ Collection #1-5 ”,它向駭客公開了 220 億個⽤⼾名和密碼組合。
- 更複雜的機器⼈同時嘗試多次登入,並且似乎來⾃不同的 IP 地址。這些機器⼈通常可以繞過簡單的安全措施,例如禁⽌嘗試登入失敗多次的使用者 IP 位址。
憑證填充與暴⼒攻擊
憑證填充類似於暴⼒攻擊,但有幾個重要區別:
- 暴⼒攻擊嘗試在沒有脈絡或線索的情況下猜測密碼,例如使⽤隨機字元、常見的密碼組合。
- 如果⽤⼾選擇過於簡單、容易猜測的密碼,暴⼒攻擊就很可能會得逞。
- 暴⼒攻擊缺乏憑證數據庫,因此其登入成功機率要比憑證填充低許多。
憑證填充攻擊的原理
攻擊者在⼤規模撞庫攻擊中遵循的典型過程如下:
- 設置⼀個能夠⾃⾏登入多個⽤⼾帳號的機器⼈,同時偽造不同的 IP 位址。
- 經由⼀個⾃動化過程,來檢查被盜憑證是否在許多網站上有效。透過跨多點運行的過程,以減少重複登入單個服務的需要。
- 監控成功登入並從遭受感染的帳⼾中獲取個⼈⾝份資訊、信⽤卡或其他有價值的數據。
- 保留帳⼾資訊以備將來使⽤,例如網路釣⿂攻擊或受感染服務啟⽤的其他交易。
憑證填充攻擊⽰例:
預防憑證填充攻擊措施
以下措施可以幫助您保護自己的網站免受撞庫攻擊:
- 多重身份驗證 (MFA)
要求⽤⼾只使用自己才知道的資訊來進⾏⾝份驗證,是防⽌撞庫的最好⽅法,機器⼈將無法提供實體⾝份驗證⽅法,例如⼿機驗證。然而,在許多情況下,要求對整個⽤⼾群進⾏多重⾝份驗證是不可行的,於是它多了可以與其他技術結合的可能性,例如:MFA 只能與設備指紋識別整合使⽤。
- 使用驗證碼
CAPTCHA 要求用戶執行操作以證明他們是人類而非機器人,可降低憑證填充的有效性。 但駭客可以經由使用無介面瀏覽器輕鬆繞過 CAPTCHA。 與 MFA 一樣,CAPTCHA 可以與其他方法結合,僅應用於特定場景。
- 裝置指紋
您可以使⽤ JavaScript 收集有關⽤⼾設備的資訊,並為每個階段建立“指紋”認證。指紋是由操作系統、語⾔、瀏覽器、時區、代理⽤⼾等參數的組合,如果同⼀組參數嘗試依序多次登入,就很可能是暴⼒破解或撞庫攻擊。
如果您使⽤具備多個參數組合的嚴密指紋,便可執行得更加嚴謹,例如禁⽌ IP。為了誘捕更多駭客攻擊,您也可以重複使⽤ 2 至 3 個常⽤參數組合,並以簡易的執⾏措施,例如臨時禁⽌。最常⾒的指紋組合是操作系統 + 地理位置 + 語⾔。
- IP 黑名單
攻擊者通常擁有有限的 IP 位址,因此另⼀種有效的防禦措施是阻⽌或利用沙箱嘗試登入多個帳⼾的 IP。您可以監控⽤於登入特定帳⼾的最後幾個 IP,並將它們與可疑的錯誤 IP 進⾏⽐較,以減少誤報。
- 限速非住宅流量來源
很容易識別來⾃ Amazon Web Services 或其他商業數據中⼼的流量。這種流量幾乎可以肯定是來自機器⼈的流量,應該⽤更嚴謹的速率限制阻⽌或禁⽌具有可疑⾏為的 IP。
- 阻止無介面瀏覽器
PhantomJS 等無介面瀏覽器可以經由它們使⽤的 JavaScript 輕鬆識別。避免對無介面瀏覽器的連結,因為它們不是合法⽤⼾,幾乎可以認定是可疑⾏為。
- 禁止將電子信箱帳號作為使用者帳號
憑證填充依據重複使⽤相同的使用者帳號在不同網站上登入,假設帳號即是電⼦信箱帳號,便有可能遭受威脅的風險。因此防止⽤⼾使⽤他們的電⼦信箱帳號作為使用者帳號,便可以⼤幅降低駭客在其他站點上重複使⽤相同帳號及密碼登入的機會。