認證外洩的連鎖反應
當使用者放大組織的風險時
暴露憑證的風險
一項研究表明,44% 的受訪員工在個人和工作帳戶中使用相同的登入憑證。
僅使用簡單的使用者名稱和密碼組合來保護其系統和資料的組織,會使攻擊者更容易(且更快)突破其防禦。同樣,如果使用者不遵循良好的安全習慣(例如使用字典單詞作為密碼、不變更已洩露的密碼等),則可能會面臨更大的攻擊風險。
用於滲透受保護系統和帳戶的最常見方法之一是透過憑證填充攻擊。這類攻擊會使用在其他組織資料外洩事件中暴露的被盜憑證(使用者名稱和密碼),對目標組織的登入端點進行大規模嘗試。一旦成功獲取存取權限,攻擊者便會進一步實施惡意活動。
通常,被盜認證清單會在暗網上被買賣,並可能被用來嘗試入侵任意數量的組織。雖然使用這些被盜資料成功入侵的比例相對較低,但由於攻擊者可以獲取大量的認證,以及使用者傾向於在多個帳戶中重複使用相同的認證,或者在已知資料外洩事件後未能及時變更密碼,這使得攻擊的成功率大大提高。
具體來說:在大型暴力密碼破解嘗試攻擊期間,Cloudflare 觀察到使用暴露憑證的 HTTP 請求以每分鐘 12,000 多個的速度進行。即使其中只有一小部分嘗試成功,一旦攻擊者突破防禦,也可能對組織造成嚴重的損害。
由於憑證填充攻擊的嘗試次數和頻率都非常高,防禦這類攻擊需要採取主動且多層次的安全策略。這樣的策略應能夠封鎖詐欺性的登入請求,強制執行強大的驗證要求,並在發生漏洞時最大限度地減少橫向移動的風險。
為什麼憑證填充仍然有效
成功的憑證填充攻擊會導致帳戶盜用,使攻擊者能夠完全控制使用者的帳戶,竊取機密資料、破壞內部系統,甚至發起更大規模的攻擊。
以體育博彩公司 DraftKings 為例,該公司曾遭遇一次嚴重的憑證填充攻擊。在此次攻擊中,攻擊者利用被盜憑證存取了其系統,導致超過 67,000 名使用者的個人資料遭到洩漏。
這些資料包括實際地址和電子郵件地址、電話號碼、帳戶餘額資訊、部分支付卡詳細資訊和其他敏感性資訊,但洩露的全部範圍尚不清楚。其結果是,攻擊者從多個使用者帳戶中提取了大約 30 萬美元。
在這類攻擊發生後,一些使用者可能會迅速變更其被洩漏帳戶的密碼。然而,許多其他使用者仍然會在多個系統中重複使用相同的密碼、選擇在資料洩漏後繼續使用原密碼,或者將其變更為更不安全的密碼。卡內基·梅隆大學的一項研究顯示,在已知被洩漏的網域中擁有帳戶的使用者中,僅有三分之一的人在事件後變更了密碼。
而且,由於已知資料外洩事件數量眾多(僅在 2022 年就導致超過 7 億個認證被盜),對於有資源購買被盜使用者認證的攻擊者來說,獲取這些資料通常相當容易。
一旦攻擊者破解了合法使用者帳戶的認證,他們就可以使用這些組合來針對多個組織。例如,如果某員工的工作認證在一次資料外洩事件中被暴露並在暗網上出售,攻擊者可能會使用這些認證來針對熱門的銀行應用程式或其他高價值目標發起攻擊,如果受害者使用相同的密碼存取多個平台,這可能會導致額外的損失。
安全存取的負擔
在防止憑證填充和帳戶盜用方面,安全存取是個人使用者和組織共同的責任。養成良好的密碼習慣固然重要,但如果沒有其他安全措施的支援,僅靠這一點是不足以防禦攻擊的。
例如,依賴單一要素驗證(例如僅要求提供使用者名稱和密碼)的組織可能會在不知不覺中使其使用者面臨更高的帳戶盜用風險,因為攻擊者只需執行一種形式的攻擊即可入侵受保護的帳戶和系統。
相較之下,那些實施多重要素驗證(例如要求使用者名稱/密碼組合以及獨特的實體權杖)、要求使用者定期更新密碼並實施 Zero Trust 安全措施的組織,更有可能抵禦憑證填充攻擊。
實施防禦措施
組織在防禦憑證填充攻擊時可能面臨多重挑戰。由於這類攻擊依賴於從其他公司竊取的資料或在暗網上購買的憑證,組織可能無法察覺其使用者正在重複使用已洩漏的憑證。此外,攻擊者通常會使用憑證填充軟體自動化其攻擊行為,這些軟體利用惡意機器人對登入端點進行大規模的請求轟炸,進一步增加了防禦的難度。
儘管如此,組織仍然可以採取幾種策略來保護其使用者和資料,包括:
需要 MFA
防止憑證填充的最佳防禦措施是主動防禦。透過要求使用者提供多種形式的身分證明才能存取受保護的系統和資料,組織可以最大限度地降低成功入侵的可能性——即使對於那些可能重複使用已暴露憑證的使用者而言也是如此。為了進一步加強其安全狀態,他們可能還要求定期重設密碼,並指定使用者密碼的長度和必須包含的字元。
封鎖使用已暴露憑證的請求
雖然憑證填充工具可以將其登入嘗試偽裝成合法的請求,但組織可以設定 Web 應用程式防火牆 (WAF) 的規則集,將這些請求與公開可用的被盜憑證資料庫進行比對。如果發現相符項,系統可以向使用者呈現互動式驗證,或者直接自動拒絕該請求。
採用 Zero Trust 安全性
Zero Trust 是一種現代安全性模型,其假設組織網路內外都存在威脅,因而會持續驗證每個使用者、裝置和請求。Zero Trust 遠遠優於 MFA,其會強制執行最低權限存取(即最大限度地減少使用者對敏感性資料的接觸)、驗證裝置身分和權限,以及重複驗證使用者身分。這些措施共同幫助防止入侵、減少橫向移動的機會,並降低成功攻擊的影響。
防止憑證填充
Cloudflare 建立在一個覆蓋超過 125 個國家/地區 330 座城市的強大全球網路之上,對現有和新興攻擊模式擁有前所未有的見解。這有助於更好地保護客戶免受各種自動攻擊和針對性攻擊。
Cloudflare Zero Trust 可協助組織實作嚴格的存取要求,以保護其登入端點免受未經授權的請求。此外,組織可以使用 Cloudflare 來限制失敗的登入嘗試次數,識別並封鎖惡意機器人行為,並透過自訂防火牆規則篩選來自潛在惡意來源的存取嘗試,從而減少遭受憑證填充的風險。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
取得《應用程式安全性現狀》白皮書,瞭解 Cloudflare 如何幫助保護組織免受憑證填充和其他新興威脅的侵害。
重點
閱讀本文後,您將能夠瞭解:
憑證填充攻擊如何導致帳戶盜用
為什麼 MFA 不足以阻止憑證填充
保護組織免受巨流量攻擊的策略