資料外洩頻傳，撞庫攻擊事件將越來越多

企業資安方案解決商 F5 長期從應用層保護企業 IT，而企業越來需要在網路上架設服務的狀況下，不可避免需要相關的防範措施。F5 Lab 公布應用程式保護報告，指出有 DdoS、帳戶存取劫持、注射攻擊等方式，其中帳戶存取類型中，撞庫攻擊（credential stuffing attacks）上面的防護，未有充分意識，準備略為不足。

人們與網路服務連結越來越深，各大網路都有帳號跟密碼資訊，但人們可能難以依據資安建議，一個服務用一個獨一的密碼，常是好幾個不同服務，所輸入的帳號密碼組合一樣，免得帳密常常忘記，得時常重設。人類的記性不足以及惰性，給予駭客可趁之機。只要取得某次服務帳密外洩的資料庫，賭一把看看其他服務是不是採用一樣的帳密，嘗試登入看看，不必用暴力破解法多次嘗試，還可能被發現打算入侵一事，反正能試的帳號很多筆，總有懶惰的人在別處用一樣的帳密組合。

撞庫攻擊不像其他的密戶存取劫持那麼受到矚目，或釣魚手法、社交工程方式那麼廣為人知，在 F5 報告中，2017 年至 2018 年第一季的 web 應用程式攻擊事件中，帳戶存取劫持總共有 13% 的比率，在依據不同手法，撞庫則占了 8.57% 的比率，未來將持續增加。

F5 報告指攻擊者有兩種類似，一種是目標攻擊者，會鎖定目標竊取特定目標的資訊，另一種是機會主義攻擊，會以低成本且亂槍打鳥方式進行。隨著資安事件洩露的個資帳密越來越多，撞庫攻擊能夠得手的機會也越來越高了。

隨著台灣廠商涉入 IoT 越來越深，IoT 可能的資安風險也相當大。F5 ANTICIPATE 2018 Taiwan 大會上面，特地請來新加坡林國恩教授分享 IoT 系統安全策略──從 IT 到 OT 系統的網路安全。他除了分享在 IoT Security 多年的尖端研究外，也探討 IoT 系統的網路安全挑戰，以及一些安全策略和安全維護方法。

對於企業來說，怎麼因應不斷演化的資安威脅，保護應用程式。F5 報告建議 5 點：第一，了解你的環境；第二，減少攻擊面；第三，依照風險設定防護優先性；第四，選擇彈性且整合的防護工具；第五，將安全性整合到開放程序。

（首圖來源：F5）