凭证攻击（Credential attacks）是指基于凭证的攻击，攻击者窃取凭证以获得访问权、绕过组织的安全措施并窃取关键数据。凭证攻击是一个日益严重的问题。

“各种密码喷射，暴力破解和令牌盗窃技术”和“会话重放攻击，以利用可能通过非法销售获得的被盗凭证来获得对云资源的初始访问，这些攻击使用住宅代理服务来隐藏攻击的来源。这类针对企业的凭证攻击案例，几乎每天都会发生，因为网络犯罪分子越来越多地试图获得尽可能多的泄露凭证。事实上，Verizon 在其 2023 年数据泄露调查报告 （DBIR） 中报告说，86% 的Web 应用程序攻击涉及使用泄露凭证。

Microsoft在 3 月份发布了一个补丁来解决上述安全问题，但最近发布报告称，针对“政府、IT 服务提供商、非政府组织、国防工业和关键制造业”的此类凭证攻击活动有所增加。 那么，企业可以做些什么来反击想要泄露凭证的攻击者，并加强其安全性以抵御凭证攻击？

一、凭证攻击的几种方式

凭证管理不善是可能导致身份验证中断。不幸的是，攻击者可以通过多种方式破坏您员工或客户的凭证。让我们探索其中的几个：

1、使用网络钓鱼攻击策略来吸引受害者

网络钓鱼既是一类网络攻击，也是一种特定类型的攻击方法。常见的网络钓鱼攻击类型包括：

（1）一般网络钓鱼 — 这是网络犯罪分子向大量列表发送一般网络钓鱼电子邮件以查看他们是否得到任何响应的时候。用钓鱼的比喻，他们把网扔进水里，看看他们能拖进去什么。这些策略基本上没有针对性，成功率较低，但它们仍然等于攻击者的发薪日。

（2）鱼叉式网络钓鱼 — 此攻击具有高度针对性，涉及攻击者编写包含特定信息的电子邮件。这种类型的攻击者不是用宽网捕鱼，而是像冲浪者 - 使用多根鱼竿在海滩上钓鱼的人。他们用诱饵设置线，然后坐下来等着看什么咬人。

（3）CEO 欺诈 — 这种类型的攻击涉及冒充组织内经理或其他高级官员的人。他们利用这种感知的权限地位来欺骗、威胁或操纵员工交出登录凭证或执行电汇。

但是，如果这些事情还不够糟糕，一些网络犯罪分子将利用人性本身作为工具，将他们的攻击提升到一个新的水平。

2、用恶意软件感染设备以进行监视或窃取数据

坏人喜欢恶意软件已经不是什么秘密了。实际上，每天都有数百万个恶意软件程序，每天都有新的恶意软件程序被攻击者用来获取您受损的凭证，比如使用键盘记录器。键盘记录器是一种恶意软件应用程序，可记录您的击键并将该数据发送给部署它的攻击者。它可以是一个独立的程序，也可以将键盘记录器嵌入到另一个程序中以帮助它逃避检测。

3、通过中间人 （MitM） 攻击窃取登录信息

这种攻击方法涉及破坏人们用于访问互联网或特定网站的连接。在这些攻击中，MitM 攻击者将自己置于用户的浏览器和他们正在连接的服务或网站之间。通过这样做，他们能够拦截传输中的数据（包括敏感的登录凭证），以便他们可以随心所欲地使用它。

网络钓鱼攻击、恶意软件攻击、中间人攻击是非常典型的攻击组合，而沃通“SSL证书 + 代码签名证书”能够帮助企业建立安全可信机制，加密传输数据、识别服务器身份、标识软件代码来源，让最终用户轻松识别网站真实身份、判断软件来源可信，从而避免遭受上述组合攻击，从根本上预防凭证攻击带来的危害。

二、凭证泄露可能造成的损害

使用这些凭证攻击方法中的任何一种都可能使攻击者访问您的网络、电子邮件服务器、网站或其他数字资产。他们如何使用新发现的访问权限的一些示例包括：

• 从系统中泄露敏感的客户数据、知识产权和其他信息。
• 使用企业电子邮件入侵 （BEC） 攻击从您的合法帐户发送网络钓鱼或恶意电子邮件，以您的客户、合作伙伴、供应商或其他相关组织为目标。
• 将恶意代码和文件上传到您的网站。

三、7 个步骤来防止或抵御凭证攻击

既然您知道了凭证泄露的组成以及坏人如何不断寻求获取它们，那么是时候看看您可以反击使用它们的凭证攻击的一些方法了。本节包括预防性和反应性方法。

1. 评估您的身份和访问管理系统，以确定需要改进的领域

花时间查看和分析公司的网络、网站、服务器、API 和其他资源。除了评估您拥有的资源之外，您还可以确定如何访问这些资源以及您采取了哪些安全措施来保护对这些资源的访问。

2. 设置强大的访问控制，以确保只有需要访问权限的用户才能拥有访问权限

访问控制的一个重要组成部分是根据特权用户的角色或权限创建特权用户列表。这些列表授予用户访问特定系统和数据的授权。您拥有的分配访问级别决定了您可以在每个受保护资产中访问的内容。

3. 实施和执行强密码安全要求

密码是保护对帐户或数字资产访问的传统方法。密码本身还不错;它们服务于有用的目的。这就是人们使用、保护和存储密码的方式，这些密码通常是密码安全问题的核心。

4. 实施强无密码身份验证

顾名思义，无密码身份验证是一个概念，专注于使用其他机密进行身份验证（即证明您的数字身份），以便您可以访问安全的系统和数据。这为传统的用户名 + 密码登录凭证提供了一种更安全的替代方案。示例包括：

• 基于公钥基础结构 （PKI） 证书的身份验证。这种流行的方法使用数字签名的 X.509 数字证书（例如，客户端身份证书）来确保只有合法用户才能进行身份验证和访问敏感资源。这些证书充当您员工的数字身份，就像他们的数字护照一样，通过证明每个员工都是他们所说的人，消除了身份验证过程中的猜测。
• 基于生物识别、应用或令牌的多重身份验证 （MFA） 系统。MFA 涉及使用至少两个识别因素（生物识别、应用或物理令牌）对用户进行身份验证。

5. 遵循行业标识、机密和密钥管理最佳实践

身份管理是关于确保经过授权、经过身份验证的用户可以访问预定的资源、系统和数据。因此，其中的一个重要部分是确保这些数字身份是安全的，并且不容易受到损害。为此，它需要保护构成每个数字身份安全性基础的加密属性。

PKI 密钥管理可帮助您保护用于实现该安全性的加密工具。如果证书的私钥不受保护，则用于保护或身份验证的任何内容都容易受到攻击。这就是为什么实施密钥管理最佳实践对于企业加密机密的安全性至关重要的原因。它们涵盖了从密钥管理的策略和标准到用于在整个生命周期中保护密钥的技术、工具和流程的所有内容。

安全存储密钥和其他机密的方法的一个示例是使用安全的集中式解决方案，例如硬件安全模块 （HSM） 或密钥保管库。

6. 将其他访问安全措施纳入您的系统和流程

除了将无密码身份验证集成到您的 IAM 流程中之外，您还可以采取一些其他步骤来帮助加强对系统的访问，以防止凭证泄露攻击。此处的方法是识别和防止尝试使用已泄露凭证的基于机器人的攻击。

7. 为员工和其他授权用户提供网络意识培训

SpyCloud 报告称，他们在 2022 年观察到 7.21 亿个暴露的凭证和 86 亿个个人身份信息 （PII） 实例。同年，在 2022 年的数据泄露事件中，凭证被泄露的用户中有近四分之三重复使用以前暴露的密码。

专题推荐

网络勒索不断，企业该如何防范勒索软件攻击

警惕“未知发布者”应用，软件代码签名证书帮助远离恶意软件

网络通信安全，需要https守护——SSL证书助力保障网站安全可信

最新资讯

工信部：推动建立工业互联网安全分类分级管理制度

电子签名助力企业数字化转型，怎么签署电子签名你知道吗？

网络钓鱼事件频发，网络安全须重视，如何防范网络钓鱼攻击？

CA/B论坛新规：9月1日起弃用SSL证书中的 OU字段

俄乌冲突凸显网络对抗加剧：“热战”之前网络战先行

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书