阿卡迈(Akamai)与波耐蒙研究所(Ponemon Institute)于今天共同宣布了一项针对亚太地区的研究结果,有助于地区内的企业机构量化防御、检测和弥补撞库攻击(credential stuffing attacks)所导致的潜在损失。本次研究所调查的公司预计因遭受撞库攻击而导致的损失范围为284,649美元(假设1%的被盗账户造成货币损失)至2850万美元(假设100%的被盗账户造成货币损失)。
由Akamai发起、Ponemon开展的主题为“亚太地区撞库造成的损失”(The Cost of Credential Stuffing: Asia Pacific)的研究对538名IT安全从业人员进行了调查,这些被调查人员熟知各个行业的撞库攻击,其中包括金融服务、零售和电子商务、旅游和酒店、媒体、娱乐和游戏等行业。他们表示撞库攻击会造成代价高昂的应用程序宕机、客户流失以及IT安全投入,而这三项每年所招致的平均成本分别为120万美元、150万美元以及110万美元。
撞库(credential stuffing)通常是指欺诈者从暗网购买被盗凭据列表(credentials),例如用户ID和密码,然后使用僵尸网络在企业机构的登录页面验证这些凭据。通常,此类攻击的最终结果是导致账户被盗(account takeover),然后欺诈者利用被盗的已经验证的凭据来实施欺诈。此种犯罪类型的主要目的通常是进行欺诈性购买、参与欺诈性金融交易及盗取其他机密信息。
本次研究调查的主要发现包括:
- 应用程序和企业所面临的挑战
更为全面的战略有助于减少云端的撞库攻击:51%的被调查者认为,将应用程序迁移至云端会增加撞库带来的风险。就安全性的许多方面而言,企业机构制定更为全面的云战略有助于提升安全团队在不同的计算平台上保护日益增多的应用程序(以及支持不同类型客户端的端点)的能力。
- 防御、检测并补救撞库攻击的能力
企业机构在应对撞库攻击时总是举步维艰:41%的被调查者表示他们对撞库攻击的了解不到位。37%的被调查者认为他们未能快速检测针对其网站的撞库攻击并加以补救。
- 撞库攻击的巨量化
攻击会影响大量的用户账户:被调查者表示,一般情况下,每个撞库攻击平均会针对954个用户账户。
- 撞库攻击造成的后果和损失
企业机构缺乏足够的预算来解决问题:仅有37%的被调查者认为其公司具备足够的安全预算来防御和/或牵制撞库攻击。其中有20%的被调查者在此问题上表示不确定,而43%的被调查者表示不同意或强烈反对。
2016年Yahoo公司的数据泄露事件是撞库威胁严重程度的有力佐证。有总计约15亿的凭据数据经Yahoo公司泄露并在互联网上流出,而这类凭据是通过安全性较为薄弱的MD5哈希算法(MD5 hashing algorithm)进行保护。这些盗窃事件发生在2012年和2013年,让犯罪分子有最长4年的时间来冲破薄弱的防御机制。
报告下载:
