今年的隱私日特別重要,因為旨在繞過使帳戶登錄更安全的措施的攻擊急劇增加,從而保護我們的隱私。

例如,在中期-9 月,Uber 報告一個網絡漏洞導致其部分內部通信關閉並鎖定其代碼庫以防止任何新的代碼更改。據優步稱,據報導,攻擊者通過反復發送多因素身份驗證登錄消息來瞄準承包商,直到承包商接受並授予攻擊者訪問權限。幾天后,視頻遊戲製造商 Rockstar Games 宣布它也遭到了未經授權的第三方的網絡入侵派對。該公司表示,攻擊者能夠獲得機密信息,包括其即將推出且備受期待的遊戲 Grand Theft Auto VI 的早期開發鏡頭。

社會工程攻擊,當有能力的人嘗試時,是極其難以實施的抵禦他們針對我們人類的弱點而不是試圖繞過技術安全。

在 2019 年 論文,當時最常見的漏洞,現在仍然相關,包括:

商業電子郵件洩露-是一種形式網絡釣魚攻擊,犯罪分子試圖誘騙高級管理人員(或預算負責人)轉移資金或洩露敏感信息。僅受密碼保護的帳戶很容易成為攻擊目標。舊版協議–可能是您環境中出現重大漏洞的原因,因為一些使用基本協議(如 SMTP)的應用程序從未設計過管理多重身份驗證 (MFA)。黑客會尋找機會使用過時的瀏覽器或電子郵件應用程序來強制使用這些安全性較低的協議。密碼重用——這就是密碼噴灑和撞庫攻擊發揮作用的地方。攻擊者在公共漏洞中洩露的常用密碼和憑據用於對公司帳戶進行訪問以嘗試獲得訪問權限。在密碼噴灑攻擊中,攻擊者通過在嘗試另一個密碼之前在多個賬戶上“噴灑”相同的密碼來規避常見的對策(例如,賬戶鎖定)。憑據填充是攻擊者收集被盜帳戶憑據的地方,通常包括用戶名和/或電子郵件地址列表以及相應的密碼(通常來自數據洩露),然後使用這些憑據通過以下方式獲得對其他系統上用戶帳戶的未授權訪問針對 Web 應用程序的大規模自動登錄請求。

為了確保您和您公司的數據安全,使用強密碼至關重要。 BlueVoyant 繼續觀察到在暗網論壇上出售大量受損憑據,這些憑據反過來被用來破壞受害組織。組織應該確保他們有適當的監控,以檢測他們的憑據何時被洩露並可能被網絡犯罪分子出售。

除了密碼衛生之外,所有組織都應該默認啟用 MFA。多因素身份驗證 (MFA) 為僅使用密碼增加了另一層保護。 MFA 要求用戶提供至少兩個驗證因素才能訪問設備或帳戶。 BlueVoyant 已經看到威脅行為者在確定 MFA 到位後從潛在的受害組織轉移,並轉移到沒有 MFA 的組織。

但是,鑑於在他們的組織中使用 MFA 的組織數量增加在網絡防禦方面,最近 MFA 繞過攻擊有所增加。這些攻擊依靠社會工程技術來引誘和欺騙用戶接受虛假的 MFA 請求。一些具體的攻擊方式包括發送大量MFA請求(MFA疲勞)並希望目標最終接受一個讓噪音停止,或者每天發送一到兩個提示,這種方式引起的關注度較低,但仍然有很大的機會目標將接受請求。攻擊者還將使用更具攻擊性的社會工程,例如 Vishing(語音網絡釣魚),它需要呼叫目標,假裝是公司的一部分,並告訴目標他們需要發送 MFA 請求作為公司流程的一部分。有時攻擊者甚至使用機器人而不是真人來打電話。

儘管最近​​發生了攻擊,MFA 仍然是公司和個人網絡防禦戰略的重要組成部分。為了讓 MFA 盡可能安全,尋找機會使用來自應用程序的代碼,而不是通過短信發送的代碼。

您可以更進一步,實現無密碼。 WebAuthn 和 CTAP2 等協議於 2018 年獲得批准,使得完全從等式中刪除密碼成為可能。這些標準統稱為 FIDO2 標準,可確保用戶憑據受到保護。生物識別技術在移動設備和筆記本電腦上得到普及後,其使用已成為主流,成為許多用戶熟悉且經常首選的技術。

無密碼身份驗證技術不僅對人們來說更加方便,而且極其安全黑客難以妥協且代價高昂,這基本上就是您試圖與攻擊者完成的目標。一個好的隱私解決方案可以使攻擊的投資回報率如此之高,以至於攻擊者將轉向更容易攻擊的目標。因此,為了幫助保護您的數據,請記住;確保您的數據隱私的防禦措施應該有多層保護。不要只給攻擊者一個需要克服的障礙,要讓它變得盡可能困難。保持安全,隱私日快樂!

圖片來源:jianghongyan/depositphotos.com

Tom Huckle 是 BlueVoyant

By Henry Taylor

我是後端開發人員。 你們中有些人可能在開發者大會上見過我。 最近我一直在做一個開源項目。