本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF欺诈控制账户接管预防 (ATP)
账户盗用是一种在线非法活动,攻击者通过这种活动获得了对个人账户的未经授权的访问权限。攻击者可能通过多种方式进行此操作,例如使用被盗的凭证或通过一系列尝试猜测受害者的密码。当攻击者获得访问权限时,他们可能会从受害者那里窃取金钱、信息或服务。攻击者可能冒充受害者,以获取受害者拥有的其他帐户的访问权限,或获得对其他人或组织帐户的访问权限。此外,他们可能会尝试更改用户的密码,以阻止受害者使用自己的帐户。
您可以通过实现以下方法来监控和控制账户接管尝试Amazon WAF欺诈控制账户接管防范 (ATP) 功能。Amazon WAF在中提供了此功能Amazon托管式规则AWSManagedRulesATPRuleSet和配套应用程序集成 SDK。
使用此托管规则组时,您需要支付额外费用。有关更多信息,请参阅 Amazon WAF 定价
ATP 使您可以查看和控制异常登录尝试和使用被盗凭据的登录尝试,以防止可能导致欺诈活动的账户盗用。ATP 会根据其被盗凭据数据库检查用户名和密码组合,该数据库会在黑暗网络上发现新的泄露凭据时定期更新。
此功能不适用于 Amazon Cognito 用户池。
的主要组成部分Amazon WAF欺诈控制账户盗用预防 (ATP) 如下:
-
AWSManagedRulesATPRuleSet— 这里的规则Amazon托管规则组检测、标记和处理各种类型的账户接管活动。规则组检查 HTTPPOST向您指定的登录端点发送的 Web 请求。有关规则组规则列表,请参阅Amazon WAF欺诈控制账户接管防范 (ATP) 规则组. 您可以使用托管规则组参考语句将此规则组包含在 Web ACL 中。有关使用此规则组的信息,请参阅使用 ATP 托管规则组.注意 使用此托管规则组时,您需要支付额外费用。有关更多信息,请参阅 Amazon WAF 定价
。 -
有关您的应用程序登录页面的详细信息— 添加登录页面时,必须提供有关登录页面的信息
AWSManagedRulesATPRuleSet规则组到您的 Web ACL。这允许规则组缩小其检查的请求范围,并正确验证 Web 请求中的凭证使用情况。有关更多信息,请参阅 使用 ATP 托管规则组。 -
JavaScript 和移动应用程序集成 SDK— ATP 提供 JavaScript 以及可以集成到应用程序中的移动 SDK,以增强对自动攻击的检测。SDK 对用户的浏览器或设备进行静默质询,以确定登录尝试是来自实际用户还是机器人。当您实施其中一个 SDK 时,ATP 规则组将令牌验证包含在其检查标准中。客户端应用程序集成不是必需的,但我们强烈建议您进行集成。有关更多信息,请参阅 Amazon WAF客户端应用程序集成。
您可以将您的 ATP 实施与以下内容相结合,以帮助您监控、调整和自定义保护措施。
-
日志和指标— 您可以通过配置和启用日志和 Amazon 来监控流量并了解 ATP 托管规则组对流量的影响 CloudWatch 您的网络 ACL 的指标。那些标签
AWSManagedRulesATPRuleSet您的 Web 请求中添加的内容包含在日志和亚马逊中 CloudWatch 指标。有关日志记录和指标的信息,请参阅记录 Web ACL 流量和通过Amazon 监控 CloudWatch.根据您的需求和看到的流量,您可能需要自定义您的
AWSManagedRulesATPRuleSet实施。例如,您可能想将某些流量排除在 ATP 评估之外,或者您可能想改变它处理其识别的某些账户接管尝试的方式,使用Amazon WAF作用域缩小语句或标签匹配规则等功能。 -
标签和标签匹配规则— 对于中的任何规则
AWSManagedRulesATPRuleSet,您可以将封禁行为切换为 count,然后与规则添加的标签进行匹配。这允许您自定义处理由 ATP 托管规则组标识的 Web 请求的方式。有关标记和使用标签匹配语句的更多信息,请参见标签匹配规则声明和网络请求上的标签. -
自定义请求和响应— 您可以向允许的请求添加自定义标头,也可以针对您屏蔽的请求发送自定义响应。为此,请将匹配的标签与Amazon WAF自定义请求和响应功能。有关自定义请求和响应的更多信息,请参阅中的自定义的 Web 请求和响应Amazon WAF.