新的研究表明，絕大多數(shù)澳大利亞排名前250的網(wǎng)站都無法區(qū)分使用網(wǎng)絡(luò)瀏覽器的人和運(yùn)行腳本的機(jī)器人之間的區(qū)別，這使他們?nèi)菀资艿剿^的憑證填充攻擊。來自澳大利亞網(wǎng)絡(luò)安全公司Kasada的研究人員根據(jù)他們的Alexa排名選擇了目標(biāo)網(wǎng)站。他們專注于機(jī)器人攻擊最常見的行業(yè)：零售，房地產(chǎn)，投注，金融，航空，公用事業(yè)和醫(yī)療保險(xiǎn)。然后研究人員以三種方式加載網(wǎng)站的登錄頁(yè)面：常規(guī)網(wǎng)絡(luò)瀏覽器;使用curl或Node.js的腳本;和自動(dòng)化工具，Selenium。

大約86%的測(cè)試網(wǎng)站未能發(fā)現(xiàn)差異，這意味著攻擊者還可以使用憑據(jù)濫用工具加載登錄頁(yè)面，嘗試使用被盜用戶名和密碼重復(fù)登錄。

此外，90%的網(wǎng)站未能檢測(cè)到這些自動(dòng)登錄。

根據(jù)Kasada的首席現(xiàn)場(chǎng)工程師Nick Rieniets的說法，憑證填充是一種攻擊，其中壞人更容易建立投資回報(bào)，鼓勵(lì)他們花錢逃避偵查。

Rieniets告訴ZDNet，“登錄頁(yè)面上活動(dòng)的可見性是所有需要開始的地方。”

“我們的觀察是這些憑據(jù)濫用攻擊，在很多情況下，已經(jīng)持續(xù)了幾周，然后組織才意識(shí)到正在發(fā)生的事情......攻擊者在逃避檢測(cè)方面做得很好。”

Rieniets解釋說，登錄請(qǐng)求本身并不是惡意流量，但即使它們并非來自同一個(gè)源，也會(huì)出現(xiàn)登錄嘗試失敗的模式。但是，阻止流量之前允許的失敗嘗試次數(shù)取決于上下文。

“面向消費(fèi)者的網(wǎng)站很難鎖定登錄，因?yàn)殒i定越多，最終創(chuàng)建的支持案例就越多，”他說。

Kasada的研究人員還發(fā)現(xiàn)，在對(duì)自己客戶的100個(gè)憑證濫用機(jī)器人攻擊中，90%來自澳大利亞ISP網(wǎng)絡(luò)。

雖然100是一個(gè)小樣本，但客戶包括傳統(tǒng)零售商和更現(xiàn)代的電子商務(wù)業(yè)務(wù)，在線游戲運(yùn)營(yíng)商和公用事業(yè)，因此傾向于更高價(jià)值的目標(biāo)。

Kasada周二在Bots Down Under報(bào)告中公布了其研究結(jié)果和組織的行動(dòng)計(jì)劃。

對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的建議是只允許常規(guī)Web瀏覽器訪問登錄頁(yè)面;強(qiáng)制遵守請(qǐng)求流模式;采取行動(dòng)改變攻擊您網(wǎng)站的經(jīng)濟(jì)狀況;并根據(jù)您的登錄路徑可視化人與機(jī)器人活動(dòng)。

對(duì)于組織，建議他們定期對(duì)這些問題進(jìn)行報(bào)告;確保有必要的安全控制措施;并建立和測(cè)試數(shù)據(jù)泄露響應(yīng)計(jì)劃。

這些建議與其他一些針對(duì)攻擊緩解的優(yōu)先級(jí)列表不匹配，例如澳大利亞信號(hào)局(ASD)Essential Eight。但Rieniets表示，他建立優(yōu)先事項(xiàng)的參考資料是澳大利亞信息專員辦公室(OAIC)公布的有關(guān)法定數(shù)據(jù)泄露的數(shù)據(jù)。

“他們稱之為暴力攻擊的憑證濫用......實(shí)際上是導(dǎo)致數(shù)據(jù)泄露的第三種最可能的攻擊類型。對(duì)我來說，這非常重要，”他說。

Rieniets說，憑證填充是一種相當(dāng)新的攻擊類型，至少在第一次處理它的組織數(shù)量方面。Kasada的客戶群和其他地方的首席信息安全官(CISO)告訴他，防止他們是一個(gè)優(yōu)先事項(xiàng)。

“如果這不是今年大多數(shù)首席信息安全官的頭號(hào)優(yōu)先事項(xiàng)，那肯定會(huì)非常高，”他說。