作為一種通過(guò)互聯(lián)網(wǎng)平臺(tái)實(shí)現(xiàn)商品銷(xiāo)售和交易的商業(yè)模式�,電商行業(yè)在近年來(lái)可謂是發(fā)展迅猛,其規(guī)模正在隨著互聯(lián)網(wǎng)的普及不斷擴(kuò)大����,不過(guò),在整個(gè)電商行業(yè)極速發(fā)展的同時(shí)��,也不可避免地面臨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����,且有愈演愈烈之勢(shì)��。
Akamai大中華區(qū)企業(yè)事業(yè)部高級(jí)售前技術(shù)經(jīng)理馬俊
(相關(guān)資料圖)
“Akamai為電商行業(yè)提供相關(guān)互聯(lián)網(wǎng)安全威脅的研究已經(jīng)有十余年了�,在最新的SOTI報(bào)告中,我們統(tǒng)計(jì)了從2022年1月到2023年3月的15個(gè)月內(nèi)整體平臺(tái)的攻擊情況進(jìn)行了匯總�,發(fā)現(xiàn)電商行業(yè)成為了這15個(gè)月期間受到互聯(lián)網(wǎng)攻擊的最主要的行業(yè),占比達(dá)到了34%���,有統(tǒng)計(jì)的145億次攻擊中,有34%的攻擊都指向了電子商務(wù)行業(yè)���,特別是62%是針對(duì)在線零售相關(guān)的�����?!盇kamai大中華區(qū)企業(yè)事業(yè)部高級(jí)售前技術(shù)經(jīng)理馬俊近日在接受采訪時(shí)表示。
值得一提的是�,在Akamai的報(bào)告中,還特別指出中國(guó)成為了亞太乃至環(huán)太平洋地區(qū)受攻擊次數(shù)最多的地區(qū)之一���,僅次于印度�����,這意味著即便是在疫情的尾聲期間��,電商行業(yè)仍然是互聯(lián)網(wǎng)黑客和相關(guān)黑產(chǎn)重點(diǎn)關(guān)注的對(duì)象���。
“這和我們2020年發(fā)布報(bào)告時(shí)的預(yù)測(cè)相同,疫情期間廣大企業(yè)傾向于把自身的業(yè)務(wù)部署到線上�����,特別是在數(shù)字轉(zhuǎn)型的背景趨勢(shì)之下����,業(yè)務(wù)上云的速度變得比以往更快����,因此越來(lái)越多的在線交易都會(huì)被黑客和黑產(chǎn)所關(guān)注�����,這也造成了其中1/4的攻擊都指向了中國(guó)��?���!瘪R俊補(bǔ)充道。
從攻擊方式的角度來(lái)看����,大部分的攻擊都和Web應(yīng)用攻擊和API攻擊相關(guān),其中排名第一的攻擊種類(lèi)是本地文件包含的攻擊形態(tài)����,而非過(guò)去的SQL注入。報(bào)告顯示����,通過(guò)進(jìn)一步分析����,這種攻擊形態(tài)主要是因?yàn)榉?wù)器端的新型漏洞引起�,黑客會(huì)利用本地文件引用來(lái)進(jìn)行網(wǎng)絡(luò)掃描或者情報(bào)收集��。
服務(wù)器端面臨的威脅不止如此���,報(bào)告中顯示�,服務(wù)器端的請(qǐng)求偽造���、模板注入和服務(wù)器代碼注入這幾種服務(wù)器端的攻擊形態(tài)正在成為主流���。針對(duì)這些風(fēng)險(xiǎn),Akamai也在報(bào)告中建議電商行業(yè)的IT運(yùn)營(yíng)及安全團(tuán)隊(duì)能夠更加注重這些攻擊的種類(lèi)��,特別是紅藍(lán)對(duì)抗或者滲透測(cè)試過(guò)程中��,需要針對(duì)本地文件包含����、SSRF這種攻擊形式進(jìn)行專(zhuān)項(xiàng)的測(cè)試和加固,并有針對(duì)性地進(jìn)行SOC聯(lián)動(dòng)的應(yīng)急響應(yīng)的演練�����,從而提供針對(duì)這部分的保護(hù)。
而針對(duì)API的防護(hù)���,Akamai給出的建議是先提高可見(jiàn)性����,然后針對(duì)性地實(shí)施策略���,也就是“先可見(jiàn)���,再落地”。
具體來(lái)說(shuō)���,API防護(hù)可以分為四個(gè)層次�����,第一個(gè)層次是API的可見(jiàn)性與概況���,首先要知道API有哪些、在哪里。
第二個(gè)層次主要針對(duì)了解API應(yīng)用之后進(jìn)行的DDoS防護(hù)�,無(wú)論是網(wǎng)絡(luò)防護(hù)還是速率控制防護(hù),都可以把大量好識(shí)別�����、好攔截的部分過(guò)濾掉��。
第三個(gè)層次則是通過(guò)精細(xì)化的工作����,來(lái)進(jìn)行針對(duì)性和細(xì)粒度的防護(hù)�。這部分主要涉及到預(yù)定義API規(guī)格來(lái)進(jìn)行請(qǐng)求限制,以及通過(guò)自動(dòng)檢查JSON和XML請(qǐng)求來(lái)檢測(cè)攻擊����。
最后一個(gè)層次是業(yè)務(wù)層的治理,包括針對(duì)異常流量如爬蟲(chóng)流量�����,以及API權(quán)限管理��,在數(shù)據(jù)中心的家門(mén)口來(lái)進(jìn)行最后一步的檢測(cè)��,從而實(shí)現(xiàn)整個(gè)API和Web應(yīng)用防護(hù)的治理。
值得一提的是���,Akamai針對(duì)電商安全有著一整套完善的解決方案��,例如其AAP產(chǎn)品�����,也就是外界熟知的Web防火墻產(chǎn)品�,就是用來(lái)防范基于Web應(yīng)用類(lèi)攻擊的本地文件包含����、SQL注入、SSRF等攻擊行為的���。
針對(duì)在線購(gòu)物的行為本身���,消費(fèi)者訪問(wèn)購(gòu)物主頁(yè),瀏覽并進(jìn)行購(gòu)買(mǎi)商品的過(guò)程中也存在一些風(fēng)險(xiǎn)�����,例如一些瀏覽器的比價(jià)/低價(jià)插件在無(wú)形中會(huì)把用戶(hù)的個(gè)人隱私和相關(guān)數(shù)據(jù)進(jìn)行竊取����,還可能涉及到引導(dǎo)用戶(hù)去惡意網(wǎng)站進(jìn)行支付的欺詐行為����。
除此之外�,在在線購(gòu)物過(guò)程中還有一些其他的風(fēng)險(xiǎn),例如:在購(gòu)物季的搶購(gòu)活動(dòng)中���,很多惡意用戶(hù)會(huì)通過(guò)不法方式來(lái)?yè)屨歼@些商品進(jìn)行倒賣(mài)��;登陸環(huán)節(jié)中,很多用戶(hù)的用戶(hù)名和密碼在多個(gè)網(wǎng)站是共用的���,這就造成了一旦有一處泄露��,購(gòu)物網(wǎng)站的相關(guān)信息就可能被盜?����?����;部分攻擊者會(huì)通過(guò)釣魚(yú)郵件�,以提供優(yōu)惠券等形式來(lái)誘導(dǎo)消費(fèi)者進(jìn)行點(diǎn)擊;以及在支付環(huán)節(jié)�����,數(shù)量正在不斷上升的Magecart攻擊形式……這些都是日常購(gòu)物中可能遇到的潛在風(fēng)險(xiǎn)�����。
針對(duì)這些問(wèn)題�����,Akamai在報(bào)告中也給出了一系列建議����,以爬蟲(chóng)和釣魚(yú)攻擊為例,根據(jù)報(bào)告�����,在整個(gè)Akamai平臺(tái)關(guān)注到的釣魚(yú)行為中��,有1/3來(lái)源于電商行業(yè)�;而惡意爬蟲(chóng)方面,在統(tǒng)計(jì)的15個(gè)月達(dá)到了5萬(wàn)億次的規(guī)模���。
不過(guò)這里也要指明的是�,電商行業(yè)中的爬蟲(chóng)并非只會(huì)帶來(lái)負(fù)面影響,例如搜索引擎����、推薦網(wǎng)站或者比價(jià)網(wǎng)站用來(lái)引流的爬蟲(chóng),是可以為電商帶來(lái)真實(shí)流量的�,行業(yè)需要警惕和阻止的是那些影響業(yè)務(wù)的惡意爬蟲(chóng)。
馬俊介紹道�����,惡意爬蟲(chóng)會(huì)帶來(lái)的一個(gè)影響是撞庫(kù)攻擊���,爬蟲(chóng)是撞庫(kù)場(chǎng)景中最主要的一個(gè)基礎(chǔ)設(shè)施來(lái)源,另外還有很多常見(jiàn)的情況����,在秒殺場(chǎng)景下,機(jī)器人程序��、爬蟲(chóng)幫助消費(fèi)者搶購(gòu)商品的過(guò)程中����,商品價(jià)格可能會(huì)被競(jìng)爭(zhēng)對(duì)手或者惡意程序來(lái)抓取���,并有可能造成實(shí)際的業(yè)務(wù)影響。
通常來(lái)說(shuō)��,撞庫(kù)的過(guò)程可以分為三個(gè)不同階段�����,第一個(gè)階段是憑據(jù)獲取����,通常可以從黑產(chǎn)或者暗網(wǎng)上批量購(gòu)買(mǎi)泄露的用戶(hù)名和密碼��;第二個(gè)階段是憑據(jù)填充��,指的是通過(guò)自動(dòng)化程序來(lái)嘗試這些口令��;第三個(gè)階段是賬戶(hù)接管�����,在成功登陸這些已經(jīng)被驗(yàn)證過(guò)的用戶(hù)名和口令之后�����,會(huì)進(jìn)行人工的精細(xì)化操作,例如竊取客戶(hù)的購(gòu)物卡���、修改收貨地址或者盜取虛擬資產(chǎn)等等��。
因此�����,針對(duì)不同的階段�����,就有必要通過(guò)不同的方式來(lái)加以應(yīng)對(duì)���,例如在自動(dòng)化的過(guò)程,可以采取爬蟲(chóng)機(jī)器人檢測(cè)的手段�,手工化的過(guò)程可以通過(guò)機(jī)器學(xué)習(xí)技術(shù),針對(duì)用戶(hù)行為習(xí)慣建立正常和異常模式來(lái)加以識(shí)別���。
除了惡意爬蟲(chóng)攻擊之外,金融欺詐和Magecart攻擊也是電商行業(yè)經(jīng)常面臨的兩個(gè)問(wèn)題����,根據(jù)Akamai的報(bào)告����,有59%的零售商都報(bào)告了交易欺詐或者消費(fèi)者劫持的場(chǎng)景����,其中有15%的用戶(hù)會(huì)話會(huì)被客戶(hù)感知到。
而Magecart的風(fēng)險(xiǎn)則直接關(guān)系到用戶(hù)的財(cái)產(chǎn)安全����,在消費(fèi)者進(jìn)行在線交易的時(shí)候,需要在支付環(huán)節(jié)輸入用戶(hù)名和密碼����,黑客會(huì)通過(guò)在網(wǎng)站上植入代碼來(lái)盜取這部分信息,進(jìn)而產(chǎn)生安全風(fēng)險(xiǎn)�����。
“PCI DSS最新的支付認(rèn)證也考慮到了新型攻擊的風(fēng)險(xiǎn)����,并且在去年特別針對(duì)這樣的風(fēng)險(xiǎn)進(jìn)行了新的標(biāo)準(zhǔn)制定,其中兩個(gè)條款規(guī)定了所有網(wǎng)站運(yùn)營(yíng)管理者必須提供在線腳本當(dāng)中的審計(jì)����、授權(quán)�����、完整性檢查和相關(guān)的材料記錄���,且必須有專(zhuān)門(mén)的團(tuán)隊(duì)和機(jī)制能夠在出現(xiàn)風(fēng)險(xiǎn)的時(shí)候發(fā)出告警,并具備實(shí)施對(duì)應(yīng)策略的能力�����。這些都是針對(duì)Magecart和消費(fèi)者劫持這樣的業(yè)務(wù)風(fēng)險(xiǎn)的保障�����。我們還是建議電商用戶(hù)先提高可見(jiàn)性�����,然后進(jìn)行實(shí)時(shí)的監(jiān)控和治理�����?�!瘪R俊表示�。
從攻防的角度來(lái)看,攻擊者和電商企業(yè)的攻防更像是一場(chǎng)“貓鼠游戲”��,攻擊者越來(lái)越隱蔽���,而電商企業(yè)則需要盡快發(fā)現(xiàn)對(duì)方�����,Akamai在報(bào)告中所強(qiáng)調(diào)的提高可見(jiàn)性�,就是防守方需要具備的能力��,而為了提高可見(jiàn)性���,企業(yè)就需要擁有Akamai這樣的全球平臺(tái)�,來(lái)提供數(shù)據(jù)分析和安全分析方面的能力����。截至目前,Akamai已經(jīng)在全球130多個(gè)國(guó)家和地區(qū)部署了服務(wù)器����,每天接收的日常數(shù)據(jù)量都超過(guò)了150TB的規(guī)模,并且能為這些電商用戶(hù)提供豐富的解決方案。
Akamai大中國(guó)區(qū)產(chǎn)品市場(chǎng)經(jīng)理劉炅
除了上文中提到的AAP產(chǎn)品之外�,Akamai針對(duì)特定的攻擊場(chǎng)景也提供了特定的解決方案,例如AHP(Audience Hijacking Protector)的主要功能就是清除瀏覽器端的惡意插件�����?���!癆HP產(chǎn)品的原理是通過(guò)一段代碼,快速在服務(wù)器端或者邊緣側(cè)進(jìn)行部署���,它會(huì)監(jiān)控瀏覽器端所有的惡意插件行為��,然后進(jìn)行定點(diǎn)定向的防護(hù)���。”Akamai大中華區(qū)產(chǎn)品市場(chǎng)經(jīng)理劉炅介紹道�。
而針對(duì)不斷泛濫的爬蟲(chóng)攻擊,Akamai則提供了BMP(Bot Management Premier)產(chǎn)品����,該Bot管理工具可以防護(hù)包括單IP攻擊、分布式攻擊等各種類(lèi)型的爬蟲(chóng)攻擊��。該產(chǎn)品在澳洲的一個(gè)提供在線電商的超市中得到了有效的應(yīng)用。受疫情影響�����,這家超市在2020年的流量增長(zhǎng)了200%����,因此爬蟲(chóng)流量和撞庫(kù)攻擊也非常突出�����,但超市本身沒(méi)有能力了解網(wǎng)站是否受到了攻擊����,在數(shù)據(jù)隱私法規(guī)法案的驅(qū)動(dòng)下,該超市采用了Akamai的BMP產(chǎn)品��,得到了很好的防護(hù)效果�����。
此外�����,針對(duì)賬戶(hù)接管的攻擊方式,Akamai提供了AP(Account Protector)解決方案���,該方案會(huì)構(gòu)建用戶(hù)畫(huà)像��,根據(jù)行為特征(使用設(shè)備�、活躍程度���、活躍時(shí)間��、地理位置等)來(lái)判斷用戶(hù)是否合法����。
對(duì)于上文中提到的釣魚(yú)攻擊方式����,Akamai則提供了Brand Protector釣魚(yú)網(wǎng)站解決方案,通過(guò)情報(bào)��、檢測(cè)�、報(bào)警和報(bào)告,以及緩解四個(gè)步驟來(lái)緩解釣魚(yú)威脅���。
最后����,Akamai的PIM產(chǎn)品則主要針對(duì)Magecart攻擊和第三方腳本攻擊,PIM有著對(duì)PCI合規(guī)性要求的支持能力���,通過(guò)PIM產(chǎn)品����,可以直觀的看到整個(gè)攻擊鏈條�,這意味著一旦最終用戶(hù)的支付信息被傳到惡意域名中����,可以通過(guò)PIM產(chǎn)品洞察到,之后商戶(hù)就可以對(duì)代碼進(jìn)行檢查��,清除第三方腳本或者惡意腳本����,這對(duì)代碼的審核、審計(jì)來(lái)說(shuō)都有著非常好的作用����。
“通過(guò)技術(shù)手段和解決方案提供保護(hù)只是個(gè)開(kāi)始,除了建立層次化的Web防護(hù)體系之外�����,電商企業(yè)也有必要建立自身的安全團(tuán)隊(duì),特別是需要在應(yīng)急響應(yīng)方面建立完善的流程�����。此外���,由于安全不是一個(gè)簡(jiǎn)單的事情����,新的攻擊方式會(huì)不斷涌現(xiàn)�,電商企業(yè)有必要選擇長(zhǎng)期的安全合作伙伴,特別是SOC(安全運(yùn)營(yíng)中心)���,來(lái)和自身的安全團(tuán)隊(duì)聯(lián)動(dòng)�����,去解決未來(lái)可能出現(xiàn)的問(wèn)題�����?����!瘪R俊在最后表示��。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知
[經(jīng)銷(xiāo)商]京東商城
[產(chǎn)品售價(jià)]¥128元
進(jìn)入購(gòu)買(mǎi)
關(guān)鍵詞:
