解决黑客撞库,从威胁情报开始
据台湾省多家媒体报道,11月25日,包括中国台湾省领先券商元大证券在内的多家券商的交易系统涉嫌被黑客撞库攻击,大量客户的证券账户自动下单,批量购买港股。仅在11月25日当天,深蓝科技股价遭遇暴跌,单日跌幅高达33%。
撞库攻击,仍然是很传统的威胁手法
黑客的撞库方式不外乎以下几种:
·探测存在类似123456、000000等简单密码的业务账号;
·利用拖库中存在不同业务系统但密码相同的攻击方式进行撞库;
·针对高权限账号进行目标明确的暴力破解以及针对管理员密码进行试探。
撞库攻击的技术手段,主要有:
·漏洞利用:利用web应用系统的漏洞和服务器操作系统的漏洞;
·社会工程学:通过社交平台、邮件、网页等形式获取账号及密码;
·XSS劫持:钓鱼攻击、水坑攻击、Cookies劫持等获取账号密码等。
黑客攻击的目的:
·以窃取数据或经济利益为目的。
撞库攻击的危害:
·对个人来说,这会导致个人信息泄露或个人数据泄露、账号被盗,进而造成财产或名誉损失;
·对企业来说,不仅会造成企业信息或商业机密的泄露,还会对企业的经济、声誉和形象造成严重损害。
威胁情报,是主动防御的重要底座
通过撞库攻击的方式和技术手段,不难看出黑客攻击早已日夜相伴于我们的身边。以往我们的防御思路是以抵御网络攻击为目的的安全防御方法,只能在发生攻击事件后采取安全措施,缺乏事前和事中的主动防御思维。
我们常用的主动防御技术有蜜罐狩猎、自动漏扫、入侵防护、流量检测、访问控制、大数据分析等等,但都无法全面覆盖层出不穷的新型的、持续的、高级的网络攻击。我们需要利用具备网络攻击行为证据且具有威胁指标的情报知识库,提升不同场景中的防御技术对高级威胁和未知威胁的防御能力。
历史总是惊人的相似
历史性的黑客攻击事件一直在重复上演:
早在2017年2月份,中国台湾已有数家证券公司(德信证券、台新证券等)的业务系统遭到黑客攻击,多家证券公司称遭黑客恶意DDoS攻击,致使交易系统部分时段无法接受下单交易;另有一家证券公司称遭黑客团队勒索,要求支付一定数额的比特币,否则将在系统内植入木马病毒。