新的研究表明,絕大多數(shù)澳大利亞排名前250的網(wǎng)站都無法區(qū)分使用網(wǎng)絡(luò)瀏覽器的人和運(yùn)行腳本的機(jī)器人之間的區(qū)別,這使他們?nèi)菀资艿剿^的憑證填充攻擊。來自澳大利亞網(wǎng)絡(luò)安全公司Kasada的研究人員根據(jù)他們的Alexa排名選擇了目標(biāo)網(wǎng)站。他們專注于機(jī)器人攻擊最常見的行業(yè):零售,房地產(chǎn),投注,金融,航空,公用事業(yè)和醫(yī)療保險(xiǎn)。然后研究人員以三種方式加載網(wǎng)站的登錄頁(yè)面:常規(guī)網(wǎng)絡(luò)瀏覽器;使用curl或Node.js的腳本;和自動(dòng)化工具,Selenium。
大約86%的測(cè)試網(wǎng)站未能發(fā)現(xiàn)差異,這意味著攻擊者還可以使用憑據(jù)濫用工具加載登錄頁(yè)面,嘗試使用被盜用戶名和密碼重復(fù)登錄。
此外,90%的網(wǎng)站未能檢測(cè)到這些自動(dòng)登錄。
根據(jù)Kasada的首席現(xiàn)場(chǎng)工程師Nick Rieniets的說法,憑證填充是一種攻擊,其中壞人更容易建立投資回報(bào),鼓勵(lì)他們花錢逃避偵查。
Rieniets告訴ZDNet,“登錄頁(yè)面上活動(dòng)的可見性是所有需要開始的地方。”
“我們的觀察是這些憑據(jù)濫用攻擊,在很多情況下,已經(jīng)持續(xù)了幾周,然后組織才意識(shí)到正在發(fā)生的事情......攻擊者在逃避檢測(cè)方面做得很好。”
Rieniets解釋說,登錄請(qǐng)求本身并不是惡意流量,但即使它們并非來自同一個(gè)源,也會(huì)出現(xiàn)登錄嘗試失敗的模式。但是,阻止流量之前允許的失敗嘗試次數(shù)取決于上下文。
“面向消費(fèi)者的網(wǎng)站很難鎖定登錄,因?yàn)殒i定越多,最終創(chuàng)建的支持案例就越多,”他說。
Kasada的研究人員還發(fā)現(xiàn),在對(duì)自己客戶的100個(gè)憑證濫用機(jī)器人攻擊中,90%來自澳大利亞ISP網(wǎng)絡(luò)。
雖然100是一個(gè)小樣本,但客戶包括傳統(tǒng)零售商和更現(xiàn)代的電子商務(wù)業(yè)務(wù),在線游戲運(yùn)營(yíng)商和公用事業(yè),因此傾向于更高價(jià)值的目標(biāo)。
Kasada周二在Bots Down Under報(bào)告中公布了其研究結(jié)果和組織的行動(dòng)計(jì)劃。
對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的建議是只允許常規(guī)Web瀏覽器訪問登錄頁(yè)面;強(qiáng)制遵守請(qǐng)求流模式;采取行動(dòng)改變攻擊您網(wǎng)站的經(jīng)濟(jì)狀況;并根據(jù)您的登錄路徑可視化人與機(jī)器人活動(dòng)。
對(duì)于組織,建議他們定期對(duì)這些問題進(jìn)行報(bào)告;確保有必要的安全控制措施;并建立和測(cè)試數(shù)據(jù)泄露響應(yīng)計(jì)劃。
這些建議與其他一些針對(duì)攻擊緩解的優(yōu)先級(jí)列表不匹配,例如澳大利亞信號(hào)局(ASD)Essential Eight。但Rieniets表示,他建立優(yōu)先事項(xiàng)的參考資料是澳大利亞信息專員辦公室(OAIC)公布的有關(guān)法定數(shù)據(jù)泄露的數(shù)據(jù)。
“他們稱之為暴力攻擊的憑證濫用......實(shí)際上是導(dǎo)致數(shù)據(jù)泄露的第三種最可能的攻擊類型。對(duì)我來說,這非常重要,”他說。
Rieniets說,憑證填充是一種相當(dāng)新的攻擊類型,至少在第一次處理它的組織數(shù)量方面。Kasada的客戶群和其他地方的首席信息安全官(CISO)告訴他,防止他們是一個(gè)優(yōu)先事項(xiàng)。
“如果這不是今年大多數(shù)首席信息安全官的頭號(hào)優(yōu)先事項(xiàng),那肯定會(huì)非常高,”他說。