就在今年，國(guó)外一家地方商業(yè)銀行遭遇黑客撞庫(kù)攻擊，導(dǎo)致部分客戶(hù)證件、手機(jī)號(hào)碼等信息被盜取，并出現(xiàn)頻繁試探性登錄的情況，最終導(dǎo)致上萬(wàn)用戶(hù)賬號(hào)里的資金被轉(zhuǎn)走。

不久之前，比特幣交易平臺(tái)OKEx賬戶(hù)遭遇撞庫(kù)攻擊，受攻擊者賬戶(hù)由于多次登陸失敗導(dǎo)致部分用戶(hù)賬戶(hù)被緊急臨時(shí)鎖定。

Akamai發(fā)布的《2018年互聯(lián)網(wǎng)安全狀況報(bào)告：撞庫(kù)攻擊》顯示，2017年11月初到2018年6月末，由撞庫(kù)攻擊造成的惡意登陸嘗試行為在8個(gè)月的時(shí)間里發(fā)生了300多億次。什么是“撞庫(kù)”?企業(yè)應(yīng)該如何防止“撞庫(kù)”攻擊?

撞庫(kù)攻擊肆虐，危害多個(gè)行業(yè)

“撞庫(kù)”是指黑客利用僵尸網(wǎng)絡(luò)入侵某網(wǎng)站后拿到大量用戶(hù)名、密碼等信息，之后去另一個(gè)網(wǎng)站嘗試登錄。而且黑客還會(huì)把盜取的數(shù)據(jù)進(jìn)行“拖庫(kù)”，把數(shù)據(jù)存到自己的“社工庫(kù)”里，通過(guò)暗網(wǎng)進(jìn)行出售。

攻擊者從網(wǎng)上或黑市買(mǎi)到這些信息后，會(huì)馬上拿出來(lái)去他感興趣的網(wǎng)絡(luò)上嘗試登陸。很多用戶(hù)為了方便記憶，會(huì)在不同網(wǎng)站使用相同的用戶(hù)名和密碼，這讓黑客有機(jī)可乘，攻擊者正是利用人性的這個(gè)弱點(diǎn)進(jìn)行“撞庫(kù)”，而且成功率非常高，已經(jīng)形成了黑色產(chǎn)業(yè)鏈。

除了金融行業(yè)之外，在線流媒體也是撞庫(kù)攻擊的“重災(zāi)區(qū)”?！痘ヂ?lián)網(wǎng)安全狀況報(bào)告：撞庫(kù)：攻擊與經(jīng)濟(jì)——特別媒體報(bào)告》顯示，2018年最高峰的攻擊發(fā)生在視頻媒體行業(yè)，2018年出現(xiàn)的三次最大規(guī)模的撞庫(kù)攻擊均針對(duì)流媒體服務(wù)，規(guī)模介于1.33億次到2億次攻擊嘗試，且都是在某平臺(tái)被報(bào)告數(shù)據(jù)泄漏不久后發(fā)生的，這表明黑客可能會(huì)在出售被盜證書(shū)之前對(duì)其進(jìn)行測(cè)試。

其實(shí)，撞庫(kù)攻擊事件在各行各業(yè)都有發(fā)生，早前12306網(wǎng)站上包括賬號(hào)密碼、身份證、郵箱等在內(nèi)的13萬(wàn)條用戶(hù)數(shù)據(jù)被公開(kāi)傳播售賣(mài);線上售票平臺(tái)大麥網(wǎng)被發(fā)現(xiàn)存在安全漏洞，600余萬(wàn)用戶(hù)賬戶(hù)密碼遭到泄露;凱悅集團(tuán)旗下11個(gè)國(guó)家的41家凱悅酒店支付系統(tǒng)被黑客入侵，大量客戶(hù)信息泄露……

然而撞庫(kù)攻擊的成本和技術(shù)門(mén)檻并不高：黑客在論壇下載社工庫(kù)，掛個(gè)腳本即可實(shí)施攻擊行為。雖然成本和技術(shù)門(mén)檻都不高，但撞庫(kù)攻擊者正在不斷改進(jìn)其攻擊手段。

一家國(guó)外的信用機(jī)構(gòu)遭遇到了惡意登陸嘗試，并且登陸次數(shù)一直在大幅度增加，技術(shù)人員發(fā)現(xiàn)，一個(gè)異常巨大的僵尸網(wǎng)絡(luò)將其網(wǎng)站作為攻擊目標(biāo)的同時(shí)，另一個(gè)僵尸網(wǎng)絡(luò)正在非常緩慢卻有條不紊地試圖侵入網(wǎng)站。撞庫(kù)攻擊者正在從海量攻擊，轉(zhuǎn)向‘低可見(jiàn)度慢速’隱形攻擊。在此類(lèi)攻擊的背后可能存在著專(zhuān)業(yè)的網(wǎng)絡(luò)犯罪組織。

用“爬蟲(chóng)管理”對(duì)付撞庫(kù)攻擊

如果沒(méi)有特定的專(zhuān)業(yè)知識(shí)和工具來(lái)抵御這些混合的、多方向的攻擊活動(dòng)，企業(yè)容易遭受巨大損失。據(jù)統(tǒng)計(jì)，亞太地區(qū)企業(yè)機(jī)構(gòu)每年因撞庫(kù)攻擊遭受的損失高達(dá)2850億美元。

針對(duì)撞庫(kù)攻擊，可利用人工智能和機(jī)器學(xué)習(xí)技術(shù)，能夠有效的識(shí)別出哪些是人工流量，哪些是爬蟲(chóng)流量。

爬蟲(chóng)管理方案的實(shí)施分為三個(gè)步驟：第一步，判斷流量是否來(lái)自爬蟲(chóng);第二步，判斷該爬蟲(chóng)是好爬蟲(chóng)還是惡意爬蟲(chóng)，以航空公司為例，客戶(hù)會(huì)在其平臺(tái)上購(gòu)買(mǎi)機(jī)票，這就要判斷爬蟲(chóng)行為是不是來(lái)自于客戶(hù)的購(gòu)票行為，如果屬于客戶(hù)的行為，就是好爬蟲(chóng);第三步，根據(jù)爬蟲(chóng)類(lèi)型采取相應(yīng)管理措施。

一般的處理手段是對(duì)惡意爬蟲(chóng)進(jìn)行阻擋，但這樣的效果并不明顯，因?yàn)閾踝×艘惶?，別處就會(huì)有越來(lái)越多的爬蟲(chóng)。原因在于運(yùn)行爬蟲(chóng)的人很聰明，如果感知到異常，他會(huì)修改爬蟲(chóng)程序，使之更加智能、更難防范。所以可以給它一個(gè)極慢的速度或者將計(jì)就計(jì)給他提供虛假的信息。

API正在成為新的攻擊目標(biāo)

在數(shù)字化浪潮下，企業(yè)的網(wǎng)絡(luò)安全問(wèn)題變得越發(fā)復(fù)雜，根據(jù)《2018年互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》顯示，除了撞庫(kù)攻擊之外，企業(yè)為了提高業(yè)務(wù)效率、優(yōu)化服務(wù)質(zhì)量而開(kāi)放的一系列API接口正在成為新的攻擊目標(biāo)。

數(shù)字化時(shí)代，應(yīng)用程序開(kāi)發(fā)中API的使用已成為一項(xiàng)標(biāo)準(zhǔn)。通過(guò)集成第三方服務(wù)的功能，開(kāi)發(fā)人員不用再?gòu)臒o(wú)到有自己構(gòu)建所有功能，同時(shí)還能加快新產(chǎn)品及服務(wù)的開(kāi)發(fā)過(guò)程。舉個(gè)例子，一個(gè)電商平臺(tái)希望銀行為其用戶(hù)提供賬戶(hù)查詢(xún)、支付、消費(fèi)貸款等服務(wù)，銀行開(kāi)放若干個(gè)金融服務(wù)接口供電商平臺(tái)調(diào)用，那么用戶(hù)就可以直接從該電商平臺(tái)在線獲得上述銀行服務(wù)而無(wú)需再到銀行辦理。

據(jù)統(tǒng)計(jì)，截至目前，企業(yè)平均管理著363個(gè)API，其中69%的公司會(huì)向公眾及其合作伙伴開(kāi)放這些API。經(jīng)歷數(shù)字化轉(zhuǎn)型的企業(yè)機(jī)構(gòu)正在大舉利用API來(lái)推動(dòng)新的客戶(hù)體驗(yàn)并創(chuàng)造新的收入來(lái)源，這給黑客帶來(lái)了更多入侵機(jī)會(huì)。

API本身是由原生APP發(fā)起的一個(gè)請(qǐng)求，并非通過(guò)‘人’和‘機(jī)器’交互、通過(guò)瀏覽器/點(diǎn)擊/翻頁(yè)/進(jìn)入而產(chǎn)生，相對(duì)來(lái)講這個(gè)請(qǐng)求的頻率更高、參數(shù)更多。現(xiàn)在很多原生APP的后臺(tái)不是傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器，而是很多微服務(wù)，黑客可以通過(guò)API里面的一些表達(dá)式去做一些操控，比如說(shuō)增加參數(shù)的數(shù)量以及嵌套的層數(shù)，使得同樣一個(gè)攻擊的請(qǐng)求到達(dá)后臺(tái)的時(shí)候，它對(duì)后臺(tái)資源的消耗更大。

黑客希望用最低的成本把企業(yè)的網(wǎng)絡(luò)資源快速耗盡，所以API的保護(hù)需要采用面向治理、管理和安全性的專(zhuān)用解決方案。API流量自動(dòng)保護(hù)、Web應(yīng)用程序防火墻上的新攻擊組以及API網(wǎng)關(guān)解決方案中的高級(jí)節(jié)流功能，能有效幫助企業(yè)阻擋黑客發(fā)起的攻擊，在黑客攻擊的第一時(shí)間防御體系就會(huì)開(kāi)啟，從邊緣切斷一切安全隱患。