企業資安方案解決商 F5 長期從應用層保護企業 IT,而企業越來需要在網路上架設服務的狀況下,不可避免需要相關的防範措施。F5 Lab 公布應用程式保護報告,指出有 DdoS、帳戶存取劫持、注射攻擊等方式,其中帳戶存取類型中,撞庫攻擊(credential stuffing attacks)上面的防護,未有充分意識,準備略為不足。
人們與網路服務連結越來越深,各大網路都有帳號跟密碼資訊,但人們可能難以依據資安建議,一個服務用一個獨一的密碼,常是好幾個不同服務,所輸入的帳號密碼組合一樣,免得帳密常常忘記,得時常重設。人類的記性不足以及惰性,給予駭客可趁之機。只要取得某次服務帳密外洩的資料庫,賭一把看看其他服務是不是採用一樣的帳密,嘗試登入看看,不必用暴力破解法多次嘗試,還可能被發現打算入侵一事,反正能試的帳號很多筆,總有懶惰的人在別處用一樣的帳密組合。
撞庫攻擊不像其他的密戶存取劫持那麼受到矚目,或釣魚手法、社交工程方式那麼廣為人知,在 F5 報告中,2017 年至 2018 年第一季的 web 應用程式攻擊事件中,帳戶存取劫持總共有 13% 的比率,在依據不同手法,撞庫則占了 8.57% 的比率,未來將持續增加。
F5 報告指攻擊者有兩種類似,一種是目標攻擊者,會鎖定目標竊取特定目標的資訊,另一種是機會主義攻擊,會以低成本且亂槍打鳥方式進行。隨著資安事件洩露的個資帳密越來越多,撞庫攻擊能夠得手的機會也越來越高了。
隨著台灣廠商涉入 IoT 越來越深,IoT 可能的資安風險也相當大。F5 ANTICIPATE 2018 Taiwan 大會上面,特地請來新加坡林國恩教授分享 IoT 系統安全策略──從 IT 到 OT 系統的網路安全。他除了分享在 IoT Security 多年的尖端研究外,也探討 IoT 系統的網路安全挑戰,以及一些安全策略和安全維護方法。
對於企業來說,怎麼因應不斷演化的資安威脅,保護應用程式。F5 報告建議 5 點:第一,了解你的環境;第二,減少攻擊面;第三,依照風險設定防護優先性;第四,選擇彈性且整合的防護工具;第五,將安全性整合到開放程序。
(首圖來源:F5)
