量化身份威胁： 五分之一的身份验证请求是恶意的

F5 实验室的研究发现，19.4% 的身份验证请求可能是由凭证填充攻击引起的；

缓解措施可将流行率降低三分之二以上，但会增加后续攻击的复杂性；

75% 的被盗凭证来源不明。

西雅图--F5 实验室的最新研究发现，数字身份已成为网络安全的战场，五分之一的身份验证请求来自恶意的自动系统。

2023 年身份威胁报告 无补程序分析了 2022 年 3 月至 2023 年 4 月期间 159 个组织的系统中发生的 3200 亿次数据交易。 

在未采取任何缓解措施的情况下，平均自动化率（这是凭证填充的有力指标）为 19.4%。 在主动减少恶意流量后，这一比例下降了三分之二以上，降至 6%。  

凭证填充攻击是指坏人利用从一个系统中窃取的用户名和密码入侵其他系统。 自动化工具是其中的核心，它允许攻击者最大限度地增加尝试次数。

"F5 实验室威胁研究布道师 Sander Vinberg 说："数字身份长期以来一直是攻击者优先考虑的问题，随着非人类身份的普及，威胁也在不断增加。 "我们的研究表明了数字身份受到攻击的程度，以及有效缓解攻击的重要性。 值得注意的是，我们发现了一种一致的模式，即当保护措施到位时，恶意自动化的使用立即下降到较低水平，攻击者倾向于放弃，寻找更容易的目标。

缓解：之前和之后

研究的一个关键部分是探讨缓解措施对凭据填充攻击的影响。 这往往会改变攻击者的行为，并导致恶意自动化使用的减少。 

F5 实验室发现，如果不采取缓解措施，针对移动端点的攻击比针对网络的攻击更为普遍。 在引入缓解措施后，移动攻击的下降幅度更大，而且更多的后续攻击是通过网络端点发起的。

缓解措施对攻击的复杂程度也有影响。

针对未受保护的身份验证端点，64.5% 的恶意流量属于 "基本 "攻击，即不试图模仿人类行为或抵消僵尸防护。 在采取缓解措施后，这些攻击的比例大幅下降到 44%。

相比之下，"中间 "攻击--试图篡改反僵尸解决方案--在部署缓解措施后从 12% 上升到 27%。 高级攻击，即使用能够近似模拟人类用户浏览（包括鼠标移动、击键和屏幕尺寸）的工具，从 20% 增加到 23%。 

"Vinberg 说："我们的分析表明，在实施保护措施后，许多攻击者就直接转移了。 "继续攻击已采取缓解措施的系统的攻击者显然更加坚定和老练，他们利用的工具可以让他们近似复制人类的行为，或者更加努力地隐藏他们的活动。 

"例如，我们观察到一次攻击在 516,000 次请求中模拟了 513,000 次独特的用户交互，在不到 1%的情况下回收了可识别特征。 对于最复杂的攻击，有时需要人工观察来识别恶意行为并创建新的签名。

后卫面临的挑战越来越多

F5 实验室还检查了受损凭证的供应链。 令人担忧的是，后卫们似乎 很多 能见度比他们想象的要低。 在攻击期间提交的凭证中，多达 75% 以前并不知道已被泄露。

此外，防御者不得不应对旨在克服缓解措施的身份威胁。 例如，企业可以通过寻找异常低的身份验证请求成功率来监控凭证填充攻击。 研究发现，攻击者利用 "金丝雀 "账户来适应这种情况。 这些都可以持续访问，人为地提高整体成功率。 在一个例子中，一次凭证填充活动在同一周内为此目的登录同一金丝雀账户 3700 万次。

网络钓鱼攻击是 F5 实验室分析的另一个重点领域，它再次清楚地表明，反击措施的力度在不断加强。 值得注意的是，多因素身份验证的使用越来越多，助长了反向代理网络钓鱼的兴起，攻击者通过这种方式设置虚假登录页面，鼓励用户输入他们的凭据。 

此外，攻击者越来越多地利用 AntiRed 等逃避检测的功能。 这是一个 JavaScript 工具，旨在克服基于浏览器的网络钓鱼分析，如谷歌安全浏览（在遇到潜在的不安全网站时向用户发出红旗信息）。

地平线上的新威胁

在环境不断演变的背景下，F5 实验室还观察到新一代威胁是如何出现的。 

一个典型的例子是，2022 年 8 月，人们在暗网上看到一则广告，宣传一种语音网络钓鱼系统，该系统将利用人工智能自动拨打网络钓鱼电话。 人工智能越来越先进，成本越来越低，这意味着随着时间的推移，这种方法将变得越来越普遍和有效。

"展望未来，身份供应商应采用反机器人解决方案，以减少恶意自动化，如凭证填充。 Vinberg 补充说："即使是简单的反机器人解决方案，也能减少大量不复杂的凭据填充。

"组织可以通过使用基于密码学的 MFA 解决方案（如基于 WebAuthn 或 FIDO2 协议的解决方案）进一步加强防御。 归根结底，打击基于身份的攻击没有灵丹妙药。 防御者必须监控和检测攻击，量化检测错误率，并做出相应调整。 我们对这些攻击及其不断变化的性质研究得越多，就越能更好地管理用户必须证明身份才能访问的任何系统所固有的漏洞风险。