被納入《財(cái)富》雜志世界500強(qiáng)的公司，一夜之間商業(yè)機(jī)密被盜、銀行賬戶(hù)清零是何等體驗(yàn)？對(duì)于創(chuàng)立者來(lái)說(shuō)，那種痛，或許已經(jīng)到了難以言表的地步。

這種假設(shè)看似荒唐，但并非絕無(wú)可能。因?yàn)?，開(kāi)啟這扇災(zāi)禍大門(mén)的“鑰匙”，已經(jīng)在暗網(wǎng)上流傳許久。

10月30日，網(wǎng)絡(luò)安全公司ImmuniWeb發(fā)布研究報(bào)告，聲稱(chēng)發(fā)現(xiàn)了暗網(wǎng)中有超過(guò)2100萬(wàn)（21040296）個(gè)屬于多家《財(cái)富》世界500強(qiáng)公司的用戶(hù)憑證被盜用。在過(guò)去一年時(shí)間里，有超過(guò)1600萬(wàn)（16055871）已被盜用。

猜猜看，你的公司會(huì)不會(huì)就在其中？

命門(mén)大開(kāi)，攻擊隱患橫跨多領(lǐng)域

剛剛發(fā)布的新報(bào)告針對(duì)全球財(cái)富500強(qiáng)企業(yè)的憑證泄露情況做了總結(jié)，他們采用機(jī)器學(xué)習(xí)技術(shù)（專(zhuān)有的ML模型）來(lái)清理和驗(yàn)證手中的數(shù)據(jù)。

然而，清理結(jié)果要比平時(shí)更令人不安。因?yàn)镮mmuniWeb研究人員發(fā)現(xiàn)ML模型給出的異常企業(yè)不光數(shù)量龐大，還橫跨多個(gè)國(guó)家的“命門(mén)”行業(yè)。

研究結(jié)果顯示，受影響的企業(yè)以能源行業(yè)、金融業(yè)、服務(wù)業(yè)居多，其中42％的密碼被盜。這些密碼在某種程度上與受害人的公司名稱(chēng)或所涉資源有關(guān)，這使得密碼暴力攻擊非常嚴(yán)重且高效。

研究人員稱(chēng)，其中最令人不安的方面之一是大量的通用和簡(jiǎn)單密碼。

對(duì)于小型甚至沒(méi)有安全團(tuán)隊(duì)的小公司來(lái)說(shuō)，這不足為奇，但在擁有資源來(lái)培訓(xùn)其員工和實(shí)施密碼管理流程資源的大型公司中，這無(wú)疑是企業(yè)安全體系的巨大缺口，任何員工都有可能成為“幫兇”。

被泄露的密碼中，有五個(gè)密碼類(lèi)型直接涉及十個(gè)行業(yè)的安全。在這里，最受歡迎的密碼是passw0rd及其變體，而在收集到的2100萬(wàn)個(gè)憑據(jù)中，只有490萬(wàn)個(gè)是真正唯一的密碼，這表明，即使是《財(cái)富》 500強(qiáng)公司其密碼策略也非常薄弱。

研究人員稱(chēng)，調(diào)查發(fā)現(xiàn)有95％的企業(yè)憑據(jù)包含未加密的或已經(jīng)被攻擊者強(qiáng)行破解的明文密碼。密碼強(qiáng)度最弱的行業(yè)是零售業(yè)，其中幾乎一半的密碼少于8個(gè)字符長(zhǎng)，且可以在常用詞典中找到。

另一方面，ImmuniWeb報(bào)告顯示，其他公司使用的密碼強(qiáng)度最低的前十名行業(yè)中，大多數(shù)行業(yè)的登錄次數(shù)可能會(huì)超過(guò)三分之一，甚至幾秒鐘即可被破解。

研究人員稱(chēng)，建議企業(yè)使用攻擊面管理（ASM）解決方案來(lái)映射風(fēng)險(xiǎn)，實(shí)施可在內(nèi)部和第三方系統(tǒng)的完整性上強(qiáng)制實(shí)施的組織范圍內(nèi)的密碼策略，并始終在業(yè)務(wù)上使用兩因素身份驗(yàn)證（2FA）關(guān)鍵系統(tǒng)。

黑客“剁手節(jié)”

這些憑證的來(lái)源是暗網(wǎng)，在這里，很多類(lèi)似電商網(wǎng)站的平臺(tái)在售賣(mài)一些非法盜取的企業(yè)用戶(hù)憑證，如果說(shuō)雙十一是全民剁手節(jié)，那黑客這回怕是也要在暗網(wǎng)平臺(tái)狂歡一把了。

這些憑證被放置在暗網(wǎng)上以供黑客們?cè)L問(wèn)，其網(wǎng)站特點(diǎn)是適用于迅速增長(zhǎng)的威脅參與者，他們甚至不需要投資昂貴的0day或耗時(shí)的APT，由于得到了憑證權(quán)限，他們很容易被安全系統(tǒng)忽視而不受干擾。

ImmuniWeb首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko稱(chēng)，更糟糕的是，由于缺乏日志或?qū)κ艿狡茐牡腫第三方]系統(tǒng)的控制，許多此類(lèi)入侵在技術(shù)上無(wú)法進(jìn)行調(diào)查。”

在暗網(wǎng)上購(gòu)得這些憑證后，會(huì)對(duì)企業(yè)帶來(lái)安全風(fēng)險(xiǎn)，使得黑客的攻擊變得極易得手，進(jìn)而造成危害，其中具體包括：

1、進(jìn)入獲利的網(wǎng)絡(luò)報(bào)告確定了12類(lèi)工具或服務(wù)，它們可能以網(wǎng)絡(luò)破壞或數(shù)據(jù)泄露的形式帶來(lái)風(fēng)險(xiǎn)：

感染或攻擊，包括惡意軟件，分布式拒絕服務(wù)（DDoS）和僵尸網(wǎng)絡(luò)

訪問(wèn)，包括遠(yuǎn)程訪問(wèn)木馬（RAT），鍵盤(pán)記錄程序和漏洞利用

間諜活動(dòng)，包括服務(wù)，定制和定位

支持服務(wù)，例如教程

證書(shū)

網(wǎng)絡(luò)釣魚(yú)

退款

客戶(hù)資料

營(yíng)運(yùn)數(shù)據(jù)

財(cái)務(wù)數(shù)據(jù)

知識(shí)產(chǎn)權(quán)/商業(yè)秘密

其他新興威脅

2、該報(bào)告還概述了每個(gè)類(lèi)別的三個(gè)風(fēng)險(xiǎn)變量：

使企業(yè)貶值，這可能包括削弱品牌信任度，聲譽(yù)受損或?qū)Ω?jìng)爭(zhēng)對(duì)手造成損失

破壞企業(yè)，其中可能包括DDoS攻擊或其他影響業(yè)務(wù)運(yùn)營(yíng)的惡意軟件

對(duì)企業(yè)進(jìn)行欺詐，其中可能包括損害公司競(jìng)爭(zhēng)能力或造成直接財(cái)務(wù)損失的IP盜竊或間諜活動(dòng)

參考鏈接：CSO；CBR

更多精彩內(nèi)容請(qǐng)關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全欄目或雷鋒網(wǎng)旗下微信公眾號(hào)宅客頻道。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。