樓主
最終用戶的賬戶安全始終是頭等大事,但也是難以解決的問題。更糟糕的是,驗證用戶身份并非易事。鑒于泄漏憑據日益泛濫,更先進的自動化爬蟲程序在全網發動著憑據填充攻擊,保護和監測身份驗證端點成為安全團隊面臨的一個挑戰。不但如此,很多身份驗證端點依然僅僅依賴于提供正確的用戶名和密碼,使得惡意攻擊者將未被甄別的憑證填充演變為賬號盜用。
Cloudflare 平臺的很多功能可以幫助為帳戶盜用提供保護。本文將介紹一些例子和多個新功能。其中包括:
●開放代理托管列表(新):確保對應用程序的身份驗證請求并非來自代理服務;
●超級自動程序攻擊模式(新):將自動化流量拒于驗證端點門外;
●暴露憑據檢查(新):在用戶使用已泄露憑據登錄時得到警告。這可用于啟動雙重驗證流程或密碼重置;
●Cloudflare Access:通過集成第三方 OATH 服務來輕松增加額外驗證層,即將推出可選的托管服務實施(新);
●對失敗登錄的速率限制:阻止對應用程序的暴力式憑據填充嘗試;
以上功能結合使用時,可成為一種強大易用的工具,增加終端用戶帳戶安全。
Cloudflare 開放代理列表
2020 年 7月,我們推出了?IP 列表?— 一個可重復使用的 IP 列表,用戶可在編寫自定義防火墻規則時作為基礎。雖然這個列表對任何防火墻管理員來說都是一個很棒的工具,但和任何用于訪問控制的 IP 列表一樣,這個列表很快就會過時。
通過我們新推出的?Cloudflare 開放代理托管列表,現在您可以根據一個由 Cloudflare 管理和定期更新(每小時)的列表來創建自定義防火墻規則并進行匹配。這個列表是基于觀察到的網絡流量和對開放端點的主動搜索而生成的。
要使用新的開放代理托管列表,請前往 Account Home → Configurations → Lists,或在自定義規則中直接使用
在編寫自定義防火墻規則時,將該 IP 列表與額外過濾器結合起來,可降低針對驗證端點的惡意登錄風險。使用 wirefilter 語法并利用這一新列表編寫的規則示例如下:http.request.uri.path contains "/login" and (not ip.src in $cf.open_proxies and cf.bot_management.score < 30)
這樣一來,任何登錄嘗試將依照規則中所選行動被阻止或質詢。
該 SOCKs 和 Proxy IP 列表面向所有 Enterprise 客戶提供。
超級自動程序攻擊模式和 API 濫用檢測
登錄端點為自動程序提供了機會。惡意自動程序會充分利用時間,短短幾秒內就能測試數千甚至數百萬個憑據。這些自動程序將持續運行,直至從您的網站獲得某種價值為止。
幸運地是,我們最近推出了超級自動程序攻擊模式。這個功能包含于所有 Pro 和 Business 計劃中,我們還將其與實時分析結合起來,以便您能實時觀察攻擊情況。超級自動程序攻擊模式旨在阻止憑據填充。在后端,我們運行著很多與?Enterprise Bot Management?產品相同的檢測引擎。
我們的全新超級自動程序攻擊模式。請前往 Firewall → Bots
最棒的是,您可以立即添加保護。Pro 用戶可選擇對互聯網上的“絕對自動程序”予以允許、阻止或質詢行動。Business 用戶甚至可以瞄準“疑似自動程序”,此類自動程序通常更加復雜,更難檢測。Free 用戶可繼續使用自動程序攻擊模式來獲得基本保護。
暴露憑據檢查
憑證填充攻擊者嘗試使用從針對另一個服務的攻擊中盜取的某個用戶憑據(用戶名/密碼對)來登錄目標帳戶。這種方法常常會奏效,因為超過 50% 的用戶在多個帳戶中使用相同的密碼?——導致大量帳戶被泄露。您的終端用戶安全不僅依賴于自身系統的安全,還依賴于用戶所用的所有其他系統的安全。雖然多因素驗證能提供深度防御,很多驗證服務和用戶尚未加以利用。即使如此,我們也希望能在某個用戶名/密碼對存在風險時對有關服務和用戶發出警告。
除了自動程序檢測等其他方法之外,一個新的行業最佳實踐是讓登錄服務自己檢查用戶的憑證是否存在于已知的數據泄露中。這需要有一個有用的已知泄露用戶名/密碼對列表。諸如?Have I Been Pwned?和?Google 的密碼泄漏警告服務匯總了龐大的已知泄漏用戶名/密碼數據庫,讓企業和終端用戶能通過查詢來確定是否存在風險。但集成并非易事,理想情況下,組織應當能通過點擊一個按鈕來啟用憑據檢查保護。
我們正是這樣做的。今天,我們發布?Web 應用程序防火墻(WAF)的一個新功能:暴露憑據檢查。
通過我們的托管規則及即可輕松啟用暴露憑據檢查。另外,您也可以編寫自定義規則。??
對于任何受 Cloudflare 保護的應用程序,其登錄請求都將通過 WAF 路由,這為在“路徑上”進行暴露憑據檢查提供了機會。啟用后,對于任何驗證嘗試,WAF 將自動根據 Cloudflare 收集和維護的一個泄露憑據數據庫來檢查最終用戶憑據。在找到匹配的情況下,WAF 將向源添加一個標頭,您的應用程序將收到有關泄露憑據的警告,并采取有關行動,例如為該用戶觸發密碼重置流程或雙重驗證質詢。
處理用戶名和密碼至少可以說是高度敏感的,我們設計暴露憑據檢查功能是為了保護用戶憑據。一個重要的設計原則是,用戶名/密碼對永遠不應該暴露在 WAF 進程的邊界之外,從而確保我們可以在不增加任何額外風險的情況下執行檢查。這意味著,這個功能絕對不會將用戶名和密碼發送到 WAF 進程以外或存入日志1,因為我們無意知道這些憑據是什么——除非它們對您的網絡安全構成威脅。但除此之外,我們還建立了一個保護隱私的加密協議來執行數據庫查詢。簡單地說,我們對 WAF 進程中的用戶名/密碼對使用一個鍵控加密哈希函數,并檢查生成的哈希值是否與數據庫中已知泄露憑證的鍵控哈希值相匹配。我們將在后續的技術深入探討中進一步說明這一點。
今天開始,Enterprise 用戶可在這個頁面聯系我們團隊來使用這個功能。暴露憑據檢查作為一種托管規則集提供,對 WordPress、Joomla 等常見系統中“開箱即用”,也可以作為自定義規則的過濾器,以支持任何應用程序。
Cloudflare Access 受管設備功能
通過使用?Cloudflare Access,您可在受 Cloudflare 保護的任何應用程序前添加一個額外的保護層。Access 對每一個請求通過驗證用戶身份、地點和網絡來保護應用程序。這自然會增加終端用戶帳戶的安全性。
然而,用戶使用的設備也許仍不夠安全。已經遭遇入侵的設備上的有效驗證會話可能導致數據滲漏,或更嚴重的是,該終端用戶帳戶或應用程序被完全破壞。企業嘗試通過管理和發放企業設備來降低這種風險,通過移動設備管理(MDM)解決方案在這些設備上執行安全策略。
為了解決這個問題,我們正在改良 Cloudflare Access,以強制要求僅企業設備能訪問敏感的應用程序。通過訪問規則,現在有可能在允許訪問前根據一個受管設備列表來驗證某個設備的序列號。即使某個用戶的憑據已暴露,由于設備的序列號不在受管設備列表中,任何未授權訪問都會被阻止。如需了解更多信息,請查看我們的近期公告。
失敗登錄的速率限制
暴力攻擊出奇地有效,尤其是在通過循環使用已泄露憑據數據庫。為了阻止這些攻擊,將其速度降至執行代價太大的程度往往就已經足夠。
在發生失敗登錄嘗試時,很多用戶名/密碼表單會發出一個 HTTP 403 Forbidden 狀態碼或其他可辨識的錯誤信息2。這可用作發出速率限制響應的一個非常有效的信號,從而避免對合法用戶的任何潛在副作用。
以上規則對一分鐘內 5 次連續失敗登錄的 IP 執行持續一個小時的速率限制。
速率限制響應可根據需要自定義,可根據端點同時支持APIs返回JSON或標準的HTML。
速率限制是面向所有自助服務客戶提供的收費附加功能。
未來計劃
我們正在花大量時間思考如何通過簡單的一鍵式解決方案來為終端用戶帳戶提供最佳保護。
通過利用我們網絡的可見性,我們正在開始獲得只有 Cloudflare 的規模才能提供的有價值的信息。我們的托管開放代理列表就是一個這樣的例子,但我們已經在試驗基于異常的檢測,這遠遠超出簡單的設備態勢或速率限制。此外,我們也在思考通過用例和情景,如何在我們的全體客戶中更廣泛地共享已驗證的異常,使我們回到最初基于 Cloudflare 所構建的方式的社區保護。
