隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷增加，撞庫攻擊現(xiàn)象也呈現(xiàn)日益上升的趨勢(shì)。金融行業(yè)因其業(yè)務(wù)的特殊性，受到的影響更嚴(yán)重。

根據(jù)Akamai發(fā)布的《2019年互聯(lián)網(wǎng)安全狀況報(bào)告：針對(duì)金融服務(wù)業(yè)的攻擊經(jīng)濟(jì)》顯示，所有撞庫攻擊中約有6%針對(duì)的是金融服務(wù)企業(yè)。

為幫助金融服務(wù)機(jī)構(gòu)抵御撞庫和降低風(fēng)險(xiǎn)，Akamai行業(yè)戰(zhàn)略顧問Gerhard?Giese提出了以下建議，具體來說：

1、重新審視應(yīng)用程序和網(wǎng)站登錄頁面

許多應(yīng)用程序和網(wǎng)站設(shè)計(jì)者會(huì)在不經(jīng)意間確認(rèn)用戶ID或其他可被用于發(fā)起攻擊的信息，這在無意中為犯罪分子提供了可乘之機(jī)。因此，金融服務(wù)機(jī)構(gòu)應(yīng)重新審視自己的身份驗(yàn)證流程和登錄界面。

2、強(qiáng)化多重身份驗(yàn)證解決方案

即便網(wǎng)絡(luò)犯罪分子獲得了有效的登錄憑據(jù)，多重身份驗(yàn)證解決方案也能防止金融服務(wù)應(yīng)用程序被非法訪問。雖然多重身份驗(yàn)證效果顯著，但它有時(shí)也無法阻止撞庫，甚至?xí)m得其反，為攻擊者提供幫助。

所以，為了達(dá)到全面保護(hù)的目的，金融服務(wù)機(jī)構(gòu)應(yīng)使用多重身份驗(yàn)證與其他保護(hù)措施相結(jié)合的多層深度防御安全架構(gòu)。另外，還必須防止攻擊者通過查詢網(wǎng)絡(luò)服務(wù)器響應(yīng)發(fā)現(xiàn)有效的憑據(jù)。

3、部署爬蟲管理解決方案以獲得超強(qiáng)保護(hù)

為了獲得針對(duì)撞庫的超強(qiáng)保護(hù)，金融服務(wù)機(jī)構(gòu)應(yīng)在多層安全解決方案中加入基于網(wǎng)絡(luò)的爬蟲管理解決方案。

Gerhard?Giese表示：“金融服務(wù)機(jī)構(gòu)的應(yīng)對(duì)之策包括重新審視其身份驗(yàn)證流程以及在多層安全架構(gòu)中引入諸如Akamai?Bot?Manager等爬蟲管理解決方案，從而在復(fù)雜的撞庫爬蟲到達(dá)應(yīng)用程序或數(shù)據(jù)中心之前，發(fā)現(xiàn)并阻止它們。”

撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。撞庫攻擊頻繁出現(xiàn)，將給用戶和企業(yè)都帶來了巨大損失。因此，如何才能夠有效的防止撞庫威脅到信息安全，成為了人們不得不面對(duì)的問題。
責(zé)任編輯:pj