就在今年，國外一家地方商業(yè)銀行遭遇黑客撞庫攻擊，導(dǎo)致部分客戶證件、手機號碼等信息被盜取，并出現(xiàn)頻繁試探性登錄的情況，最終導(dǎo)致上萬用戶賬號里的資金被轉(zhuǎn)走。

不久之前，比特幣交易平臺OKEx賬戶遭遇撞庫攻擊，受攻擊者賬戶由于多次登陸失敗導(dǎo)致部分用戶賬戶被緊急臨時鎖定。

Akamai發(fā)布的《2018年互聯(lián)網(wǎng)安全狀況報告：撞庫攻擊》顯示，2017年11月初到2018年6月末，由撞庫攻擊造成的惡意登陸嘗試行為在8個月的時間里發(fā)生了300多億次。

什么是“撞庫”?企業(yè)應(yīng)該如何防止“撞庫”攻擊?撞庫攻擊肆虐，危害多個行業(yè)“撞庫”是指黑客利用僵尸網(wǎng)絡(luò)入侵某網(wǎng)站后拿到大量用戶名、密碼等信息，之后去另一個網(wǎng)站嘗試登錄。

而且黑客還會把盜取的數(shù)據(jù)進行“拖庫”，把數(shù)據(jù)存到自己的“社工庫”里，通過暗網(wǎng)進行出售。

攻擊者從網(wǎng)上或黑市買到這些信息后，會馬上拿出來去他感興趣的網(wǎng)絡(luò)上嘗試登陸。

很多用戶為了方便記憶，會在不同網(wǎng)站使用相同的用戶名和密碼，這讓黑客有機可乘，攻擊者正是利用人性的這個弱點進行“撞庫”，而且成功率非常高，已經(jīng)形成了黑色產(chǎn)業(yè)鏈。

除了金融行業(yè)之外，在線流媒體也是撞庫攻擊的“重災(zāi)區(qū)”。

《互聯(lián)網(wǎng)安全狀況報告：撞庫：攻擊與經(jīng)濟——特別媒體報告》顯示，2018年最高峰的攻擊發(fā)生在視頻媒體行業(yè)，2018年出現(xiàn)的三次最大規(guī)模的撞庫攻擊均針對流媒體服務(wù)，規(guī)模介于1.33億次到2億次攻擊嘗試，且都是在某平臺被報告數(shù)據(jù)泄漏不久后發(fā)生的，這表明黑客可能會在出售被盜證書之前對其進行測試。

其實，撞庫攻擊事件在各行各業(yè)都有發(fā)生，早前12306網(wǎng)站上包括賬號密碼、身份證、郵箱等在內(nèi)的13萬條用戶數(shù)據(jù)被公開傳播售賣;線上售票平臺大麥網(wǎng)被發(fā)現(xiàn)存在安全漏洞，600余萬用戶賬戶密碼遭到泄露;凱悅集團旗下11個國家的41家凱悅酒店支付系統(tǒng)被黑客入侵，大量客戶信息泄露&helpp;&helpp;然而撞庫攻擊的成本和技術(shù)門檻并不高：黑客在論壇下載社工庫，掛個腳本即可實施攻擊行為。

雖然成本和技術(shù)門檻都不高，但撞庫攻擊者正在不斷改進其攻擊手段。

一家國外的信用機構(gòu)遭遇到了惡意登陸嘗試，并且登陸次數(shù)一直在大幅度增加，技術(shù)人員發(fā)現(xiàn)，一個異常巨大的僵尸網(wǎng)絡(luò)將其網(wǎng)站作為攻擊目標的同時，另一個僵尸網(wǎng)絡(luò)正在非常緩慢卻有條不紊地試圖侵入網(wǎng)站。

撞庫攻擊者正在從海量攻擊，轉(zhuǎn)向‘低可見度慢速’隱形攻擊。

在此類攻擊的背后可能存在著專業(yè)的網(wǎng)絡(luò)犯罪組織。

用“爬蟲管理”對付撞庫攻擊如果沒有特定的專業(yè)知識和工具來抵御這些混合的、多方向的攻擊活動，企業(yè)容易遭受巨大損失。

據(jù)統(tǒng)計，亞太地區(qū)企業(yè)機構(gòu)每年因撞庫攻擊遭受的損失高達2850億美元。

針對撞庫攻擊，可利用人工智能和機器學(xué)習(xí)技術(shù)，能夠有效的識別出哪些是人工流量，哪些是爬蟲流量。

爬蟲管理方案的實施分為三個步驟：第一步，判斷流量是否來自爬蟲;第二步，判斷該爬蟲是好爬蟲還是惡意爬蟲，以航空公司為例，客戶會在其平臺上購買機票，這就要判斷爬蟲行為是不是來自于客戶的購票行為，如果屬于客戶的行為，就是好爬蟲;第三步，根據(jù)爬蟲類型采取相應(yīng)管理措施。

一般的處理手段是對惡意爬蟲進行阻擋，但這樣的效果并不明顯，因為擋住了一處，別處就會有越來越多的爬蟲。

原因在于運行爬蟲的人很聰明，如果感知到異常，他會修改爬蟲程序，使之更加智能、更難防范。

所以可以給它一個極慢的速度或者將計就計給他提供虛假的信息。

API正在成為新的攻擊目標在數(shù)字化浪潮下，企業(yè)的網(wǎng)絡(luò)安全問題變得越發(fā)復(fù)雜，根據(jù)《2018年互聯(lián)網(wǎng)發(fā)展狀況安全報告》顯示，除了撞庫攻擊之外，企業(yè)為了提高業(yè)務(wù)效率、優(yōu)化服務(wù)質(zhì)量而開放的一系列API接口正在成為新的攻擊目標。

數(shù)字化時代，應(yīng)用程序開發(fā)中API的使用已成為一項標準。

通過集成第三方服務(wù)的功能，開發(fā)人員不用再從無到有自己構(gòu)建所有功能，同時還能加快新產(chǎn)品及服務(wù)的開發(fā)過程。

舉個例子，一個電商平臺希望銀行為其用戶提供賬戶查詢、支付、消費貸款等服務(wù)，銀行開放若干個金融服務(wù)接口供電商平臺調(diào)用，那么用戶就可以直接從該電商平臺在線獲得上述銀行服務(wù)而無需再到銀行辦理。

據(jù)統(tǒng)計，截至目前，企業(yè)平均管理著363個API，其中69%的公司會向公眾及其合作伙伴開放這些API。

經(jīng)歷數(shù)字化轉(zhuǎn)型的企業(yè)機構(gòu)正在大舉利用API來推動新的客戶體驗并創(chuàng)造新的收入來源，這給黑客帶來了更多入侵機會。

API本身是由原生APP發(fā)起的一個請求，并非通過‘人’和‘機器’交互、通過瀏覽器/點擊/翻頁/進入而產(chǎn)生，相對來講這個請求的頻率更高、參數(shù)更多。

現(xiàn)在很多原生APP的后臺不是傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器，而是很多微服務(wù)，黑客可以通過API里面的一些表達式去做一些操控，比如說增加參數(shù)的數(shù)量以及嵌套的層數(shù)，使得同樣一個攻擊的請求到達后臺的時候，它對后臺資源的消耗更大。

黑客希望用最低的成本把企業(yè)的網(wǎng)絡(luò)資源快速耗盡，所以API的保護需要采用面向治理、管理和安全性的專用解決方案。

API流量自動保護、Web應(yīng)用程序防火墻上的新攻擊組以及API網(wǎng)關(guān)解決方案中的高級節(jié)流功能，能有效幫助企業(yè)阻擋黑客發(fā)起的攻擊，在黑客攻擊的第一時間防御體系就會開啟，從邊緣切斷一切安全隱患。

/