86%的澳大利亚顶级网站无法检测机器人攻击

新的研究表明，绝大多数澳大利亚排名前250的网站都无法区分使用网络浏览器的人和运行脚本的机器人之间的区别，这使他们容易受到所谓的凭证填充攻击。来自澳大利亚网络安全公司Kasada的研究人员根据他们的Alexa排名选择了目标网站。他们专注于机器人攻击最常见的行业：零售，房地产，投注，金融，航空，公用事业和医疗保险。然后研究人员以三种方式加载网站的登录页面：常规网络浏览器;使用curl或Node.js的脚本;和自动化工具，Selenium。

大约86%的测试网站未能发现差异，这意味着攻击者还可以使用凭据滥用工具加载登录页面，尝试使用被盗用户名和密码重复登录。

此外，90%的网站未能检测到这些自动登录。

根据Kasada的首席现场工程师Nick Rieniets的说法，凭证填充是一种攻击，其中坏人更容易建立投资回报，鼓励他们花钱逃避侦查。

Rieniets告诉ZDNet，“登录页面上活动的可见性是所有需要开始的地方。”

“我们的观察是这些凭据滥用攻击，在很多情况下，已经持续了几周，然后组织才意识到正在发生的事情......攻击者在逃避检测方面做得很好。”

Rieniets解释说，登录请求本身并不是恶意流量，但即使它们并非来自同一个源，也会出现登录尝试失败的模式。但是，阻止流量之前允许的失败尝试次数取决于上下文。

“面向消费者的网站很难锁定登录，因为锁定越多，最终创建的支持案例就越多，”他说。

Kasada的研究人员还发现，在对自己客户的100个凭证滥用机器人攻击中，90%来自澳大利亚ISP网络。

虽然100是一个小样本，但客户包括传统零售商和更现代的电子商务业务，在线游戏运营商和公用事业，因此倾向于更高价值的目标。

Kasada周二在Bots Down Under报告中公布了其研究结果和组织的行动计划。

对网络安全团队的建议是只允许常规Web浏览器访问登录页面;强制遵守请求流模式;采取行动改变攻击您网站的经济状况;并根据您的登录路径可视化人与机器人活动。

对于组织，建议他们定期对这些问题进行报告;确保有必要的安全控制措施;并建立和测试数据泄露响应计划。

这些建议与其他一些针对攻击缓解的优先级列表不匹配，例如澳大利亚信号局(ASD)Essential Eight。但Rieniets表示，他建立优先事项的参考资料是澳大利亚信息专员办公室(OAIC)公布的有关法定数据泄露的数据。

“他们称之为暴力攻击的凭证滥用......实际上是导致数据泄露的第三种最可能的攻击类型。对我来说，这非常重要，”他说。

Rieniets说，凭证填充是一种相当新的攻击类型，至少在第一次处理它的组织数量方面。Kasada的客户群和其他地方的首席信息安全官(CISO)告诉他，防止他们是一个优先事项。

“如果这不是今年大多数首席信息安全官的头号优先事项，那肯定会非常高，”他说。