凭证填充只是冰山一角

如今,凭据填充攻击正在网络安全室中消耗大量氧气。近年来,大规模的网络安全漏洞不断爆发,黑市上充斥着密码和其他凭据,这些密码和凭据用于随后的攻击,例如Reddit和State Farm上的攻击,以及为利用远程工作和在线获取所做的广泛努力-由 新冠肺炎 大流行。

凭证填充

但是,尽管企业理所当然地担心会遭受凭证填充攻击的飓风的侵袭,但他们还需要关注更微妙但同样危险的, 对API的威胁 可以在雷达下溜走。

除了凭据填充外,利用API进行的攻击还可以从针对独特API逻辑的有针对性的探测开始,并导致诸如个人信息被盗,批发数据泄露或全盘收购等攻击。

与基于区域的基于卷的自动泛洪凭据攻击不同,其他API攻击几乎是一对一地进行,并且以难以捉摸的方式进行,针对每个API的不同漏洞,这使得它们比发生在网络上的攻击更加难以检测大规模。但是,它们有能力造成甚至更多甚至更多的损害。随着API作为现代应用程序的基础,它们正变得越来越普遍。

超越凭证填充

凭证填充攻击是有充分理由的一个关键问题。高知名度的违规行为(例如,Equifax和LinkedIn的违规行为,仅举几例)已导致数十亿个受损的凭证在黑暗的网络上四处散布,为地下活动提供了恶意活动。根据Verizon的年度报告,在过去的几年中,大约80%的黑客入侵都涉及密码被盗和(或)漏洞。 数据泄露调查报告.

此外,Akamai的研究确定,四分之三的 凭证滥用攻击 针对2019年金融服务业的针对API。这些攻击中有许多是大规模进行的,以数百万次自动登录尝试淹没了组织。

对API的大多数威胁都超出了凭证填充,这只是2019 OWASP中所定义的对API的众多威胁之一 API安全性排名前10位。在许多情况下,它们不是自动化的,更加微妙,并且来自经过身份验证的用户。

对于越来越多的应用程序来说,API是必不可少的,它们是专门为特定组织执行特定功能的实体。利用银行,零售商或其他机构使用的API中的漏洞的人,可以通过几次微妙的调用来转储数据库,耗尽帐户,造成中断或造成各种其他损害,从而影响收入和品牌声誉。

攻击者甚至不必偷偷摸摸。例如,他们可以以合法用户身份登录Disney +,然后在API周围四处寻找机会。在前门方法的一个示例中,研究人员在Steam开发人员网站上发现了一个API漏洞,该漏洞可能导致盗版游戏许可证密钥。 (很幸运,他举报了该公司,并获得了20,000美元的奖励。)

API攻击 由于以这种秘密方式进行,因此很难发现和防御。由于API大多数都是唯一的,因此它们的漏洞不符合任何可大规模实施常见安全控制措施的模式或签名。甚至可能来自单一来源,损失也可能很大。例如,利用API弱点的攻击者可以通过单个请求发起成功的DoS攻击。

API DoS

与更常见的DDoS攻击(通过僵尸网络通过许多来源发出的请求淹没目标)相比,API DoS可以在攻击者操纵API的逻辑时发生,从而导致应用程序自身过度工作。如果一个API设计为每个请求返回10个项目,则攻击者可以将这个值更改为1000万,从而用完一个应用程序的所有资源并使之崩溃—只需一个请求。

凭据填充攻击本身就带来了安全挑战。轻松使用逃避工具,并且自身的复杂性得到显着改善 –攻击者可以在成千上万个IP地址和设备的网络后面掩盖其活动,这并不难。但是,凭证填充仍然是既定解决方案的既定问题。

企业如何改善

企业可以扩展基础架构以减轻凭据填充攻击,或购买能够识别和阻止攻击的解决方案。诀窍是评估大量活动并在不影响合法用户的情况下阻止恶意登录尝试,并迅速进行操作,确定成功的恶意登录并及时提醒用户以防止欺诈。

企业可以首先确定所有API,包括数据公开程度,使用率,甚至不知道存在的API,从而提高API安全性。当API在安全运营商的监视下飞来飞去时,否则安全基础架构将在围栏中留下漏洞。一旦获得完全可见性,企业就可以更严格地控​​制API的访问和使用,从而实现更好的安全性。

分享这个