泄露凭据的连锁反应
当用户放大企业风险时
凭据泄露的风险
一项研究发现,44% 的受访员工在其个人账户和工作账户中使用相同的登录凭据。
如果企业使用简单的用户名与密码组合来保护系统和数据,攻击者可以更轻松(也更快速)地入侵。同样,用户如果不养成良好的密码习惯,例如使用字典中的单词作为密码、不更改已泄露的密码等,可能会面临更大的攻击风险。
凭据填充攻击是入侵受保护的系统和帐户的最常见方法之一。这些攻击会使用泄露的凭据(在其他企业发生的数据泄露事件中遭到泄露的用户名和密码),向组织的登录端点发送垃圾邮件,并在获取访问权限后,进一步实施恶意活动。
通常,被盗凭据列表会在暗网上购买和出售,并且可用于尝试进入任意数量的企业。虽然利用这些被盗数据入侵的成功率很低,但由于攻击者可以访问的凭据数量众多,而用户往往在多个帐户中重复使用凭据,或者在得知发生了入侵事件后没有立即更改凭据,这使得入侵更容易得逞。
具体来说:根据 Cloudflare 的观察,在大规模暴力破解攻击中,使用泄露凭证的 HTTP 请求速度超过了每分钟 12,000 次。即便只有其中一小部分尝试取得成功,一旦攻击者突破防线,也可能会对企业造成严重损害。
鉴于凭据填充攻击尝试的数量和频率,需要一种主动的多层安全策略来防御此类攻击,该策略可以阻止欺诈性登录请求,执行可靠的身份验证,并在发生入侵时最大程度地减少横向移动。
为什么凭据填充依然有效
成功的凭据填充会导致帐户接管,使攻击者能够获得用户帐户的完全控制权,并窃取机密数据、破坏内部系统或执行更大范围的攻击。
以体育博彩公司 DraftKings 为例,该公司遭受了一次严重的凭据填充攻击,攻击者使用被盗凭据访问其系统,导致超过 67,000 名用户的个人数据泄露。
这些数据包括实际地址、电子邮件地址、电话号码、帐户余额信息、部分支付卡详情和其他敏感信息,但此次泄露的具体程度尚不清楚。结果,攻击者能够从多个用户账户提取大约 30 万美元。
遭受此类攻击后,一些用户可能会迅速更改被盗账户的密码。然而,许多其他用户仍在多个系统中重复使用密码,在账户泄露后选择保留相同的密码,或者将其更改为安全性较低的密码。卡内基梅隆大学的一项研究表明,在已知遭到入侵的域平台上拥有账户的用户中,只有三分之一的用户事后更改了密码。
此外,由于已知的数据泄露事件数量众多(仅 2022 年就产生了超过 7 亿个被盗凭据),对于有资源购买这些凭据的攻击者来说,获取被盗用户凭据往往相当容易。
一旦攻击者破解了合法用户帐户的凭据,他们就可以使用这些凭据组合来攻击多个企业。例如,如果员工的工作凭据在入侵事件中泄露并在暗网上出售,攻击者可能会使用这些凭据来攻击热门的银��行应用或其他高价值目标,如果受害者使用相同的密码访问多个平台,这可能会造成额外的损失。
安全访问的负担
谈到防范凭据填充和帐户接管,安全访问的负担落在个人用户和企业身上。养成良好的密码习惯很重要,但如果其他安全措施不到位,仅凭密码习惯也不足以抵御攻击。
例如,依赖单因素身份验证(例如仅要求用户名/密码)的企业,可能会无意中使其用户面临更大的帐户接管风险,因为攻击者只需进行一种攻击,即可攻破受保护的账户和系统。
相比之下,强制实施多因素身份验证的企业(例如要求使用户名/密码组合以及唯一的物理令牌,要求用户定期更新密码,以及实施 Zero Trust 安全措施)更有可能抵御凭据填充攻击尝试。
实施防御措施
多种因素可能会使企业防范凭据填充攻击的努力复杂化。由于这些攻击依赖于从其他公司盗窃或从暗网购买的数据,企业可能并未意识到其用户在重复使用被泄露的凭据。此外,攻击者常常通过凭据填充软件自动执�行攻击,即:使用恶意机器人向登录端点发送垃圾请求。
尽管如此,企业仍然可以采取多种策略来保护用户和数据,包括:
要求 MFA
防范凭据填充的最佳方法是采取主动措施。通过要求用户提供多种形式的身份验证才能访问受保护的系统和数据,企业可以最大程度地降低成功入侵的可能性,即使用户可能正在重新利用已泄露的凭据。为进一步增强安全态势,企业可能还会要求定期重置密码,并指定用户密码的长度和必须包含的字符。
阻止使用泄露凭据的访问请求
尽管凭据填充工具可能会将登录尝试伪装成合法登录尝试,但是企业可以配置 Web 应用防火墙 (WAF) 规则集,将这些请求与公开可用的被盗凭据数据库进行比对。如果匹配,系统可能会向用户发出交互式验证,或自动拒绝该请求。
采用 Zero Trust 安全方法
Zero Trust 是一种现代化安全模型,它假设企业网络内外部都可能存在威胁,并持续验证每一个用户、设备和请求。Zero Trust 强制执行最低权限访问原则(即:最大限度地减少用户接触敏感数据)、验证设备身份和权限,并反复验证用户身份。这些做法共同有助于防御入侵威胁,减少横向移动的几率,并减轻成功入侵的影响。
防范凭据填充
Cloudflare 解决方案建立在一个强大的全球网络基础之上,该网络覆盖 125 多个国家/地区的 330 个城市,可以获得对现有和新兴攻击模式前所未有的见解。这有助于更好地保护客户免遭各种自动化攻击和针对性攻击。
Cloudflare Zero Trust 可以帮助企业实施严格的访问要求,保护其登录端点免遭未经授权的请求攻击。此外,企业也可以通过使用 Cloudflare 解决方案来限制失败登录尝试的网络速率,识别并阻止恶意机器人行为,以及使用自定义防火墙规则,过滤来自潜在恶意来源的访问尝试,从而降低自身遭受凭据填充攻击的风险。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
查看《应用安全趋势》白皮书,了解 Cloudflare 如何帮助企业低于凭据填充和其他新兴威胁。
关键要点
阅读本文后,您将能够了解:
凭据填充攻击如何导致帐户接管
为什么 MFA 不足以阻止凭据填充攻击
保护企业免受容量耗尽攻击的策略