利用威胁情报加固身份安全：抵御 Bulletproof Hosting 代理威胁

“防弹托管”（BPH）服务提供商是攻击者工具库中的常客，它们提供共享基础设施，并对滥用投诉蓄意忽视。这些服务为攻击者提供了大量租用的IP地址池，以掩盖其真实来源，这是对身份和访问管理（IAM）系统发起诸如凭据填充等自动化攻击的关键战术。

联合勒索软件工作组（JRTF）最近发布了一份指南，指导网络防御者如何管理来自这些服务的流量。虽然《防弹防御：缓解来自防弹托管提供商的风险》主要面向网络防御者，但追踪攻击者基础设施也为IAM团队提供了关键信号——特别是那些保护面向客户的应用程序免受欺诈和滥用的团队。

Auth0 的独特洞察

由于Auth0每天在全球数千家不同的企业中保障数十亿次登录交易，我们能够洞察到新兴威胁，这是小型提供商无法单独实现的。我们利用这种可见性，根据对我们的租户发起的真实攻击，来评估这些被称为自治系统（ASes）网络的历史声誉。

Auth0 威胁情报为您的防御赋能

机器人检测： Auth0机器人检测将网络声誉作为其机器学习模型的特征输入。当登录或注册请求到达时，Auth0机器人检测会利用请求来源网络的历史声誉对其进行评估。如果某个AS因高滥用率（这在BPH提供商中很常见）被标记，模型会自动提高该请求的风险评分，从而增加在登录或注册操作执行前触发CAPTCHA挑战的可能性。

Actions 与自适应多因素认证（MFA）： 对于需要明确控制的团队，AS声誉信号通过自适应MFA中的“不可信IP评估”功能公开。开发人员可以使用Auth0 Actions构建自定义逻辑，专门针对分类为 category: abuse、category: reputation 或 category: anonymizer 的流量。这使得开发人员可以创建规则，例如专门要求来自低声誉AS的用户进行加强版MFA，同时减少来自更可信网络用户的验证步骤。

防御 BPH：使用 Auth0 Actions 保护您的租户！

已经启用机器人检测的客户，只需启用此功能，就能受益于我们对易滥用网络行为的洞察。

订阅了自适应MFA的客户可以利用我们“不可信IP”威胁情报数据，通过Actions来管理来自恶意网络的流量。置信度评级可用于降低在BPH提供商上运行的机器人所带来的风险。以下是一个如何使用不可信IP来阻止来自已知托管恶意流量的地址的请求示例：

1
2
3
4
5
6
7
8

exports.onExecutePostLogin = async (event, api) => {
  const untrustedIP = event.authentication?.riskAssessment?.UntrustedIP;
  if (untrustedIP.code === 'found_on_deny_list' || untrustedIP.details.category === 'abuse') {
        console.log('User is deemed high risk.');
        // 这将撤销会话Cookie以拒绝登录。
        api.session.revoke('Session revoked, user is from a denied IP or has bad IP reputation.');
    }
};

最终，削弱防弹托管提供商的优势，需要一个由情报驱动的身份安全架构，在登录体验之前、期间和之后都增加一层防护。您的身份安全之旅从注册免费的Auth0账户开始。

（免责声明：此处材料及任何建议不构成法律、隐私、安全、合规或商业建议。这些材料仅供一般信息参考，可能不反映最新的安全、隐私和法律动态，也未涵盖所有相关问题。您有责任从您自己的律师或其他专业顾问处获取法律、安全、隐私、合规或商业建议，不应依赖本文中的建议。Okta对您因实施本文材料中任何建议而可能产生的任何损失或损害不承担责任。Okta不就这些材料的内容做出任何陈述、保证或其他承诺。有关Okta对其客户合同保证的信息，请访问 okta.com/agreements。）