互聯網撞庫攻擊現象呈現日益上升態(tài)勢

隨著互聯網技術的不斷發(fā)展，網絡應用的不斷增加，撞庫攻擊現象也呈現日益上升的趨勢。金融行業(yè)因其業(yè)務的特殊性，受到的影響更嚴重。

根據Akamai發(fā)布的《2019年互聯網安全狀況報告：針對金融服務業(yè)的攻擊經濟》顯示，所有撞庫攻擊中約有6%針對的是金融服務企業(yè)。

為幫助金融服務機構抵御撞庫和降低風險，Akamai行業(yè)戰(zhàn)略顧問Gerhard?Giese提出了以下建議，具體來說：

1、重新審視應用程序和網站登錄頁面

許多應用程序和網站設計者會在不經意間確認用戶ID或其他可被用于發(fā)起攻擊的信息，這在無意中為犯罪分子提供了可乘之機。因此，金融服務機構應重新審視自己的身份驗證流程和登錄界面。

2、強化多重身份驗證解決方案

即便網絡犯罪分子獲得了有效的登錄憑據，多重身份驗證解決方案也能防止金融服務應用程序被非法訪問。雖然多重身份驗證效果顯著，但它有時也無法阻止撞庫，甚至會適得其反，為攻擊者提供幫助。

所以，為了達到全面保護的目的，金融服務機構應使用多重身份驗證與其他保護措施相結合的多層深度防御安全架構。另外，還必須防止攻擊者通過查詢網絡服務器響應發(fā)現有效的憑據。

3、部署爬蟲管理解決方案以獲得超強保護

為了獲得針對撞庫的超強保護，金融服務機構應在多層安全解決方案中加入基于網絡的爬蟲管理解決方案。

Gerhard?Giese表示：“金融服務機構的應對之策包括重新審視其身份驗證流程以及在多層安全架構中引入諸如Akamai?Bot?Manager等爬蟲管理解決方案，從而在復雜的撞庫爬蟲到達應用程序或數據中心之前，發(fā)現并阻止它們?！?/p>

撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。撞庫攻擊頻繁出現，將給用戶和企業(yè)都帶來了巨大損失。因此，如何才能夠有效的防止撞庫威脅到信息安全，成為了人們不得不面對的問題。
責任編輯:pj