被納入《財(cái)富》雜志世界500強(qiáng)的公司，一夜之間商業(yè)機(jī)密被盜、銀行賬戶清零是何等體驗(yàn)？對于創(chuàng)立者來說，那種痛，或許已經(jīng)到了難以言表的地步。

這種假設(shè)看似荒唐，但并非絕無可能。因?yàn)?，開啟這扇災(zāi)禍大門的“鑰匙”，已經(jīng)在暗網(wǎng)上流傳許久。

10月30日，網(wǎng)絡(luò)安全公司ImmuniWeb發(fā)布研究報(bào)告，聲稱發(fā)現(xiàn)了暗網(wǎng)中有超過2100萬（21040296）個(gè)屬于多家《財(cái)富》世界500強(qiáng)公司的用戶憑證被盜用。在過去一年時(shí)間里，有超過1600萬（16055871）已被盜用。

猜猜看，你的公司會不會就在其中？

命門大開，攻擊隱患橫跨多領(lǐng)域

剛剛發(fā)布的新報(bào)告針對全球財(cái)富500強(qiáng)企業(yè)的憑證泄露情況做了總結(jié)，他們采用機(jī)器學(xué)習(xí)技術(shù)（專有的ML模型）來清理和驗(yàn)證手中的數(shù)據(jù)。

然而，清理結(jié)果要比平時(shí)更令人不安。因?yàn)镮mmuniWeb研究人員發(fā)現(xiàn)ML模型給出的異常企業(yè)不光數(shù)量龐大，還橫跨多個(gè)國家的“命門”行業(yè)。

研究結(jié)果顯示，受影響的企業(yè)以能源行業(yè)、金融業(yè)、服務(wù)業(yè)居多，其中42％的密碼被盜。這些密碼在某種程度上與受害人的公司名稱或所涉資源有關(guān)，這使得密碼暴力攻擊非常嚴(yán)重且高效。

研究人員稱，其中最令人不安的方面之一是大量的通用和簡單密碼。

對于小型甚至沒有安全團(tuán)隊(duì)的小公司來說，這不足為奇，但在擁有資源來培訓(xùn)其員工和實(shí)施密碼管理流程資源的大型公司中，這無疑是企業(yè)安全體系的巨大缺口，任何員工都有可能成為“幫兇”。

被泄露的密碼中，有五個(gè)密碼類型直接涉及十個(gè)行業(yè)的安全。在這里，最受歡迎的密碼是passw0rd及其變體，而在收集到的2100萬個(gè)憑據(jù)中，只有490萬個(gè)是真正唯一的密碼，這表明，即使是《財(cái)富》 500強(qiáng)公司其密碼策略也非常薄弱。

研究人員稱，調(diào)查發(fā)現(xiàn)有95％的企業(yè)憑據(jù)包含未加密的或已經(jīng)被攻擊者強(qiáng)行破解的明文密碼。密碼強(qiáng)度最弱的行業(yè)是零售業(yè)，其中幾乎一半的密碼少于8個(gè)字符長，且可以在常用詞典中找到。

另一方面，ImmuniWeb報(bào)告顯示，其他公司使用的密碼強(qiáng)度最低的前十名行業(yè)中，大多數(shù)行業(yè)的登錄次數(shù)可能會超過三分之一，甚至幾秒鐘即可被破解。

研究人員稱，建議企業(yè)使用攻擊面管理（ASM）解決方案來映射風(fēng)險(xiǎn)，實(shí)施可在內(nèi)部和第三方系統(tǒng)的完整性上強(qiáng)制實(shí)施的組織范圍內(nèi)的密碼策略，并始終在業(yè)務(wù)上使用兩因素身份驗(yàn)證（2FA）關(guān)鍵系統(tǒng)。

黑客“剁手節(jié)”

這些憑證的來源是暗網(wǎng)，在這里，很多類似電商網(wǎng)站的平臺在售賣一些非法盜取的企業(yè)用戶憑證，如果說雙十一是全民剁手節(jié)，那黑客這回怕是也要在暗網(wǎng)平臺狂歡一把了。

這些憑證被放置在暗網(wǎng)上以供黑客們訪問，其網(wǎng)站特點(diǎn)是適用于迅速增長的威脅參與者，他們甚至不需要投資昂貴的0day或耗時(shí)的APT，由于得到了憑證權(quán)限，他們很容易被安全系統(tǒng)忽視而不受干擾。

ImmuniWeb首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko稱，更糟糕的是，由于缺乏日志或?qū)κ艿狡茐牡腫第三方]系統(tǒng)的控制，許多此類入侵在技術(shù)上無法進(jìn)行調(diào)查?！?/p>

在暗網(wǎng)上購得這些憑證后，會對企業(yè)帶來安全風(fēng)險(xiǎn)，使得黑客的攻擊變得極易得手，進(jìn)而造成危害，其中具體包括：

1、進(jìn)入獲利的網(wǎng)絡(luò)報(bào)告確定了12類工具或服務(wù)，它們可能以網(wǎng)絡(luò)破壞或數(shù)據(jù)泄露的形式帶來風(fēng)險(xiǎn)：

感染或攻擊，包括惡意軟件，分布式拒絕服務(wù)（DDoS）和僵尸網(wǎng)絡(luò)

訪問，包括遠(yuǎn)程訪問木馬（RAT），鍵盤記錄程序和漏洞利用

間諜活動，包括服務(wù)，定制和定位

支持服務(wù)，例如教程

證書

網(wǎng)絡(luò)釣魚

退款

客戶資料

營運(yùn)數(shù)據(jù)

財(cái)務(wù)數(shù)據(jù)

知識產(chǎn)權(quán)/商業(yè)秘密

其他新興威脅

2、該報(bào)告還概述了每個(gè)類別的三個(gè)風(fēng)險(xiǎn)變量：

使企業(yè)貶值，這可能包括削弱品牌信任度，聲譽(yù)受損或?qū)Ω偁帉κ衷斐蓳p失

破壞企業(yè)，其中可能包括DDoS攻擊或其他影響業(yè)務(wù)運(yùn)營的惡意軟件

對企業(yè)進(jìn)行欺詐，其中可能包括損害公司競爭能力或造成直接財(cái)務(wù)損失的IP盜竊或間諜活動

參考鏈接：CSO；CBR

更多精彩內(nèi)容請關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全欄目或雷鋒網(wǎng)旗下微信公眾號宅客頻道。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。