博客

数据隐私需要防范撞库攻击

Jim Downey 缩略图
吉姆·唐尼
2022 年 7 月 6 日发布

2022 年 6 月 27 日,由 130 多个数据保护和隐私监管部门和执法机构组成的协会全球隐私大会 (GPA)发布了第一份关于撞库攻击的政府间指南,声称撞库攻击对全球范围内的个人数据构成风险,数据保护法要求组织采取防范措施。

F5 很荣幸参与制定该指南,并感谢 GPA 的认可。 F5 早就认识到了撞库攻击的威胁。 F5 的 Sumit Agarwal 在担任五角大楼国防部副助理部长期间创造了“撞库攻击”一词,这一见解促使 Shape Security(现为 F5 的一部分)于 2011 年成立,成为首屈一指的机器人管理供应商。 如今,F5 继续保护全球最大的银行、电子商务零售商、航空公司、酒店服务提供商和社交媒体公司免遭撞库攻击和相关威胁。

新的指南由 GPA 的常设工作组国际执法合作工作组 (IEWG) 发布,记录了撞库攻击行为的实施方式,解释了推动其盛行的攻击者经济学,强调了为什么它成为一个全球关注的问题且需要纳入数据隐私法,并概述了缓解撞库攻击的几种方法。

GPA 指南以政府机构最近发出的几次警告为基础。 2022年1月5日,纽约州总检察长办公室发布了一份商业指南,介绍撞库攻击的猖獗以及公司采取预防措施的必要性。 2020年9月15日,美国证券交易委员会发布风险警告,称针对SEC注册的投资顾问、经纪商和交易商的撞库攻击行为急剧增加。 2020 年 9 月 10 日,美国联邦调查局发布了一份私营行业通知,警告美国金融机构遭受一系列撞库攻击攻击,影响超过 50,000 个账户,仅在通知和补救成本上就给企业造成平均每年 600 万美元的损失。 这些事件持续影响着首席隐私官,正如最近CPO 文章记录的针对通用汽车的大规模凭证攻击所证明的那样。

撞库攻击是一种网络犯罪,犯罪分子利用窃取的凭证在网站上测试,以窃取账户。 犯罪分子使用被称为机器人的自动化工具大规模地发动这些攻击。 这是一种非常有效的网络犯罪,具有很高的投资回报率,因为: 1) 被盗凭证随处可见;2) 多达 60% 的人在不同的账户中重复使用密码(根据 FBI 的数据);3) 许多组织依赖于 CAPTCHA 和 IP 拒绝列表等无效的缓解方法。

被盗凭证的数量令人震惊。 根据F5 实验室 2021 年撞库攻击报告,仅在 2020 年,就有 18.6 亿张凭证被盗。 GPA 指南指出,2013 年雅虎数据泄露等大型泄密事件已暴露了数十亿份凭证。 在漏洞被公开报告之前,攻击者可以利用这些被盗凭证多年。

“……私营部门的研究发现,2017 年 11 月至 2019 年 3 月期间,游戏行业共发生了 550 亿次撞库攻击攻击,相当于每月发生超过 30 亿次攻击,每天发生超过 1.07 亿次攻击。 进一步研究发现,2020 年全球发生了 1930 亿次撞库攻击攻击,相当于每月发生超过 16,000 亿次攻击,每天发生超过 5 亿次攻击。”

GPA 指南还指出,这些隐私泄露的受害者可能遭受的伤害不仅仅是金钱损失,还包括因虚假信息或在使用被盗账户时对个人做出虚假陈述而造成的声誉损害。 不难想象这些侵犯隐私的行为可能会毁掉人们的生活。

最重要的是,该指南得出结论,组织应该将防止撞库攻击的保护视为数据隐私法要求的“适当”安全措施之一,并引用了欧盟《GDPR》和美国联邦贸易委员会《保障措施规则》中的具体规定。

“鉴于撞库攻击攻击对个人数据的明显威胁(特别是对于用户帐户可在线访问的组织),以及可能导致的未经授权的处理/访问,数据保护和隐私法通常至少隐含地要求采取措施保护个人数据撞库攻击攻击。”

GPA 指南建议各组织考虑采取多种缓解方法来防止撞库攻击:

  • 访客结账,无需使用任何凭证
  • 强密码策略可最大程度降低重复使用风险
  • 密码替代品,例如单点登录 (SSO)
  • 多重身份验证 (MFA)
  • 二级密码和PIN码
  • 设备指纹识别
  • 不可预测的用户名
  • 识别泄露的密码
  • 速率限制
  • 登录页面及流程(多步登录)
  • 账户监控/检测
  • 对匿名网络(如 TOR)进行额外检查
  • 验证码
  • WAF
  • IP 阻止列表和允许列表
  • 事件响应计划和用户通知

这些无疑是有效的技术,有助于减轻撞库攻击攻击。 当您评估哪种方法最适合您的组织时,F5 在此领域已经创新多年,建议您考虑能够有效实时缓解机器人影响的技术,而不会给用户体验增加阻力,也不需要重新设计应用。

虽然二级密码和 PIN、不可预测的用户名以及多步骤登录页面增加了保护,但却是以增加用户摩擦为代价的。 想要提高客户转化率和减少购物车放弃率的企业会希望避免在客户和购买之间设置障碍。 访客结账可能也有帮助,但它会阻止组织提供个性化、有针对性的体验。 MFA 虽然有效,但也会给用户体验带来麻烦,因此成为犯罪分子的重点攻击目标

CAPTCHA 同样增加了摩擦,并且提供的防御效果比许多人意识到的要差。 CAPTCHA 解决服务使用机器学习和点击农场,使机器人能够以低成本绕过 CAPTCHA。 (阅读《人类 CAPTCHA 解答者的故事》中有关 Dan Woods 的冒险经历。)

与 F5 合作过的组织发现 IP 阻止列表和静态 WAF 规则太难维护。 代理服务使机器人能够利用数百万个有效的住宅 IP 地址。 同时,机器人一旦被阻止就会在数小时内重新调整。 这种做法迫使安全团队陷入一场必输的打地鼠游戏。

同样,帐户监控/检测、事件响应计划和用户通知都很重要,需要成为机器人管理程序的一部分,但这些保护措施是在事后应用的。 幸运的是,有一些技术可以从一开始就防止犯罪分子接管账户。

F5 与致力于保护自己和客户撞库攻击所导致的欺诈行为的组织合作,同时提供出色的数字体验,让客户满意并在当今竞争激烈的市场中获胜。 F5 通过以最高效的方式防御机器人,且不会给用户带来任何不便,赢得了客户忠诚度。 该技术基于多年对 JavaScript 和移动原生信号的研究和开发,涵盖设备环境和机器人的行为特征。 除了基于这些信号的实时检测之外,F5 分布式云机器人防御还包括一项机器学习分析服务,可快速检测并响应机器人重组。 为了确保长期有效性,信号收集代码经过了先进的混淆技术,可防止逆向工程和信号篡改。

F5 致力于将网络安全个性化,而撞库攻击攻击(欺骗组织并给个人带来毁灭性打击)正是我们致力于解决的问题类型。 正如 F5 全球情报主管 Dan Woods 在《Fast Company》中指出的那样,这些攻击之前没有受到太多关注。 值得庆幸的是,GPA 和多家隐私机构正在将个人隐私风险摆到风口浪尖。

“Colonial 袭击事件凸显了公众认知和媒体对网络安全的叙述存在明显脱节。 给数百万人带来一点痛苦:国际头条新闻。 通过不同的手段窃取人们的毕生积蓄,毁掉成千上万个家庭的生活:蟋蟀。”

在这个数字时代,我们生活中的很多数据都以在线存储的形式存在,我们依赖于组织以极其严肃的态度对待数据隐私,世界各国政府颁布的日益严格的隐私法也充分表明了这一点。 GDPR 等数据隐私立法要求组织采取一切适当措施来捍卫隐私。 由于我们现在对撞库攻击有了一定的了解,这些 GPA 指南明确指出,撞库攻击保护必须成为任何组织适当措施的一部分。

要进一步了解机器人保护的投资回报率,请参阅Forrester 总体经济影响报告。 了解更多信息并安排与 F5 机器人专家进行对话,网址为f5.com/bot-defense