負(fù)責(zé)提供安全數(shù)字化體驗的智能邊緣平臺阿卡邁技術(shù)公司（Akamai Technologies, Inc.，以下簡稱：Akamai）與波耐蒙研究所（Ponemon Institute，以下簡稱：Ponemon）于今天共同宣布了一項針對亞太地區(qū)的研究結(jié)果，有助于地區(qū)內(nèi)的企業(yè)機構(gòu)量化防御、檢測和彌補撞庫攻擊（credential stuffing attacks）所導(dǎo)致的潛在損失。本次研究所調(diào)查的公司預(yù)計因遭受撞庫攻擊而導(dǎo)致的損失范圍為284,649美元（假設(shè)1%的被盜賬戶造成貨幣損失）至2850萬美元（假設(shè)100%的被盜賬戶造成貨幣損失）。

      由Akamai發(fā)起、Ponemon開展的主題為“亞太地區(qū)撞庫造成的損失”（The Cost of Credential Stuffing: Asia Pacific）的研究對538名IT安全從業(yè)人員進行了調(diào)查，這些被調(diào)查人員熟知各個行業(yè)的撞庫攻擊，其中包括金融服務(wù)、零售和電子商務(wù)、旅游和酒店、媒體、娛樂和游戲等行業(yè)。他們表示撞庫攻擊會造成代價高昂的應(yīng)用程序宕機、客戶流失以及IT安全投入，而這三項每年所招致的平均成本分別為120萬美元、150萬美元以及110萬美元。

      撞庫（credential stuffing）通常是指欺詐者從暗網(wǎng)購買被盜憑據(jù)列表（credentials），例如用戶ID和密碼，然后使用僵尸網(wǎng)絡(luò)在企業(yè)機構(gòu)的登錄頁面驗證這些憑據(jù)。通常，此類攻擊的最終結(jié)果是導(dǎo)致賬戶被盜（account takeover），然后欺詐者利用被盜的已經(jīng)驗證的憑據(jù)來實施欺詐。此種犯罪類型的主要目的通常是進行欺詐性購買、參與欺詐性金融交易及盜取其他機密信息。

本次研究調(diào)查的主要發(fā)現(xiàn)包括：

•   應(yīng)用程序和企業(yè)所面臨的挑戰(zhàn)

o    更為全面的戰(zhàn)略有助于減少云端的撞庫攻擊：51%的被調(diào)查者認(rèn)為，將應(yīng)用程序遷移至云端會增加撞庫帶來的風(fēng)險。就安全性的許多方面而言，企業(yè)機構(gòu)制定更為全面的云戰(zhàn)略有助于提升安全團隊在不同的計算平臺上保護日益增多的應(yīng)用程序（以及支持不同類型客戶端的端點）的能力。

•   防御、檢測并補救撞庫攻擊的能力

o    企業(yè)機構(gòu)在應(yīng)對撞庫攻擊時總是舉步維艱：41%的被調(diào)查者表示他們對撞庫攻擊的了解不到位。37%的被調(diào)查者認(rèn)為他們未能快速檢測針對其網(wǎng)站的撞庫攻擊并加以補救。

•   撞庫攻擊的巨量化

o    攻擊會影響大量的用戶賬戶：被調(diào)查者表示，一般情況下，每個撞庫攻擊平均會針對954個用戶賬戶。

•   撞庫攻擊造成的后果和損失

o    企業(yè)機構(gòu)缺乏足夠的預(yù)算來解決問題：僅有37%的被調(diào)查者認(rèn)為其公司具備足夠的安全預(yù)算來防御和/或牽制撞庫攻擊。其中有20%的被調(diào)查者在此問題上表示不確定，而43%的被調(diào)查者表示不同意或強烈反對。

      2016年Yahoo公司的數(shù)據(jù)泄露事件是撞庫威脅嚴(yán)重程度的有力佐證。有總計約15億的憑據(jù)數(shù)據(jù)經(jīng)Yahoo公司泄露并在互聯(lián)網(wǎng)上流出，而這類憑據(jù)是通過安全性較為薄弱的MD5哈希算法（MD5 hashing algorithm）進行保護。這些盜竊事件發(fā)生在2012年和2013年，讓犯罪分子有最長4年的時間來沖破薄弱的防御機制。

研究方法

      “亞太地區(qū)撞庫造成的損失”（The Cost of Credential Stuffing: Asia Pacific）研究的抽樣范圍包括15,365名IT安全從業(yè)人員，這些被調(diào)查人員熟知撞庫攻擊，并且負(fù)責(zé)其公司網(wǎng)站的安全工作。共有591名被調(diào)查者完成了調(diào)查，通過篩查和可靠性檢查去除了其中的53份調(diào)查。最終樣本包含538份調(diào)查。

標(biāo)簽： 安全 電子商務(wù) 互聯(lián)網(wǎng) 金融 媒體 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。