撞庫、API攻擊日益猖獗，我們如何從邊緣保護企業的網絡安全？

就在今年，國外一家地方商業銀行遭遇黑客撞庫攻擊，導致部分客戶證件、手機號碼等信息被盜取，並出現頻繁試探性登錄的情況，最終導致上萬用戶賬號裡的資金被轉走。

不久之前，比特幣交易平臺OKEx賬戶遭遇撞庫攻擊，受攻擊者賬戶由於多次登陸失敗導致部分用戶賬戶被緊急臨時鎖定。

Akamai發佈的《2018年互聯網安全狀況報告：撞庫攻擊》顯示，2017年11月初到2018年6月末，由撞庫攻擊造成的惡意登陸嘗試行為在8個月的時間裡發生了300多億次。什麼是“撞庫”?企業應該如何防止“撞庫”攻擊?

撞庫攻擊肆虐，危害多個行業

“撞庫”是指黑客利用殭屍網絡入侵某網站後拿到大量用戶名、密碼等信息，之後去另一個網站嘗試登錄。而且黑客還會把盜取的數據進行“拖庫”，把數據存到自己的“社工庫”裡，通過暗網進行出售。

攻擊者從網上或黑市買到這些信息後，會馬上拿出來去他感興趣的網絡上嘗試登陸。很多用戶為了方便記憶，會在不同網站使用相同的用戶名和密碼，這讓黑客有機可乘，攻擊者正是利用人性的這個弱點進行“撞庫”，而且成功率非常高，已經形成了黑色產業鏈。

除了金融行業之外，在線流媒體也是撞庫攻擊的“重災區”。《互聯網安全狀況報告：撞庫：攻擊與經濟——特別媒體報告》顯示，2018年最高峰的攻擊發生在視頻媒體行業，2018年出現的三次最大規模的撞庫攻擊均針對流媒體服務，規模介於1.33億次到2億次攻擊嘗試，且都是在某平臺被報告數據洩漏不久後發生的，這表明黑客可能會在出售被盜證書之前對其進行測試。

其實，撞庫攻擊事件在各行各業都有發生，早前12306網站上包括賬號密碼、身份證、郵箱等在內的13萬條用戶數據被公開傳播售賣;線上售票平臺大麥網被發現存在安全漏洞，600餘萬用戶賬戶密碼遭到洩露;凱悅集團旗下11個國家的41家凱悅酒店支付系統被黑客入侵，大量客戶信息洩露……

然而撞庫攻擊的成本和技術門檻並不高：黑客在論壇下載社工庫，掛個腳本即可實施攻擊行為。雖然成本和技術門檻都不高，但撞庫攻擊者正在不斷改進其攻擊手段。

一家國外的信用機構遭遇到了惡意登陸嘗試，並且登陸次數一直在大幅度增加，技術人員發現，一個異常巨大的殭屍網絡將其網站作為攻擊目標的同時，另一個殭屍網絡正在非常緩慢卻有條不紊地試圖侵入網站。撞庫攻擊者正在從海量攻擊，轉向‘低可見度慢速’隱形攻擊。在此類攻擊的背後可能存在著專業的網絡犯罪組織。

用“爬蟲管理”對付撞庫攻擊

如果沒有特定的專業知識和工具來抵禦這些混合的、多方向的攻擊活動，企業容易遭受巨大損失。據統計，亞太地區企業機構每年因撞庫攻擊遭受的損失高達2850億美元。

針對撞庫攻擊，可利用人工智能和機器學習技術，能夠有效的識別出哪些是人工流量，哪些是爬蟲流量。

爬蟲管理方案的實施分為三個步驟：第一步，判斷流量是否來自爬蟲;第二步，判斷該爬蟲是好爬蟲還是惡意爬蟲，以航空公司為例，客戶會在其平臺上購買機票，這就要判斷爬蟲行為是不是來自於客戶的購票行為，如果屬於客戶的行為，就是好爬蟲;第三步，根據爬蟲類型採取相應管理措施。

一般的處理手段是對惡意爬蟲進行阻擋，但這樣的效果並不明顯，因為擋住了一處，別處就會有越來越多的爬蟲。原因在於運行爬蟲的人很聰明，如果感知到異常，他會修改爬蟲程序，使之更加智能、更難防範。所以可以給它一個極慢的速度或者將計就計給他提供虛假的信息。

API正在成為新的攻擊目標

在數字化浪潮下，企業的網絡安全問題變得越發複雜，根據《2018年互聯網發展狀況安全報告》顯示，除了撞庫攻擊之外，企業為了提高業務效率、優化服務質量而開放的一系列API接口正在成為新的攻擊目標。

數字化時代，應用程序開發中API的使用已成為一項標準。通過集成第三方服務的功能，開發人員不用再從無到有自己構建所有功能，同時還能加快新產品及服務的開發過程。舉個例子，一個電商平臺希望銀行為其用戶提供賬戶查詢、支付、消費貸款等服務，銀行開放若干個金融服務接口供電商平臺調用，那麼用戶就可以直接從該電商平臺在線獲得上述銀行服務而無需再到銀行辦理。

據統計，截至目前，企業平均管理著363個API，其中69%的公司會向公眾及其合作伙伴開放這些API。經歷數字化轉型的企業機構正在大舉利用API來推動新的客戶體驗並創造新的收入來源，這給黑客帶來了更多入侵機會。

API本身是由原生APP發起的一個請求，並非通過‘人’和‘機器’交互、通過瀏覽器/點擊/翻頁/進入而產生，相對來講這個請求的頻率更高、參數更多。現在很多原生APP的後臺不是傳統的網絡服務器，而是很多微服務，黑客可以通過API裡面的一些表達式去做一些操控，比如說增加參數的數量以及嵌套的層數，使得同樣一個攻擊的請求到達後臺的時候，它對後臺資源的消耗更大。

黑客希望用最低的成本把企業的網絡資源快速耗盡，所以API的保護需要採用面向治理、管理和安全性的專用解決方案。API流量自動保護、Web應用程序防火牆上的新攻擊組以及API網關解決方案中的高級節流功能，能有效幫助企業阻擋黑客發起的攻擊，在黑客攻擊的第一時間防禦體系就會開啟，從邊緣切斷一切安全隱患。