企业资安方案解决商 F5 长期从应用层保护企业 IT,而企业越来需要在网络上架设服务的状况下,不可避免需要相关的防范措施。F5 Lab 公布应用程序保护报告,指出有 DdoS、账户存取劫持、注射攻击等方式,其中账户存取类型中,撞库攻击(credential stuffing attacks)上面的防护,未有充分意识,准备略为不足。
人们与网络服务连结越来越深,各大网络都有账号跟密码资讯,但人们可能难以依据资安建议,一个服务用一个独一的密码,常是好几个不同服务,所输入的账号密码组合一样,免得帐密常常忘记,得时常重设。人类的记性不足以及惰性,给予骇客可趁之机。只要取得某次服务帐密外泄的数据库,赌一把看看其他服务是不是采用一样的帐密,尝试登入看看,不必用暴力破解法多次尝试,还可能被发现打算入侵一事,反正能试的账号很多笔,总有懒惰的人在别处用一样的帐密组合。
撞库攻击不像其他的密户存取劫持那么受到瞩目,或钓鱼手法、社交工程方式那么广为人知,在 F5 报告中,2017 年至 2018 年第一季的 web 应用程序攻击事件中,账户存取劫持总共有 13% 的比率,在依据不同手法,撞库则占了 8.57% 的比率,未来将持续增加。
F5 报告指攻击者有两种类似,一种是目标攻击者,会锁定目标窃取特定目标的资讯,另一种是机会主义攻击,会以低成本且乱枪打鸟方式进行。随着资安事件泄露的个资帐密越来越多,撞库攻击能够得手的机会也越来越高了。
随着台湾厂商涉入 IoT 越来越深,IoT 可能的资安风险也相当大。F5 ANTICIPATE 2018 Taiwan 大会上面,特地请来新加坡林国恩教授分享 IoT 系统安全策略──从 IT 到 OT 系统的网络安全。他除了分享在 IoT Security 多年的尖端研究外,也探讨 IoT 系统的网络安全挑战,以及一些安全策略和安全维护方法。
对于企业来说,怎么因应不断演化的资安威胁,保护应用程序。F5 报告建议 5 点:第一,了解你的环境;第二,减少攻击面;第三,依照风险设定防护优先性;第四,选择弹性且整合的防护工具;第五,将安全性整合到开放程序。
(首图来源:F5)