自新冠疫情以來,電商行業(yè)的發(fā)展進(jìn)程加快,業(yè)務(wù)不斷擴(kuò)展的同時,新的網(wǎng)絡(luò)安全問題也不斷地暴露出來:
一方面,電商的互聯(lián)網(wǎng)特性使其網(wǎng)絡(luò)安全風(fēng)險面擴(kuò)大;另一方面,不同規(guī)模的電商對安全的重視程度和技術(shù)能力都有很大差異,這導(dǎo)致他們的安全防護(hù)水平參差不齊。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段已經(jīng)難以應(yīng)對當(dāng)前電商場景不斷發(fā)展的新局面,類似惡意爬蟲、勒索軟件這樣的網(wǎng)絡(luò)攻擊已經(jīng)呈現(xiàn)常態(tài)化。
電商如何做好防護(hù),減少這類網(wǎng)絡(luò)攻擊帶來的損失?就此問題,記者專訪了Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊和大中國區(qū)產(chǎn)品市場經(jīng)理劉炅。
互聯(lián)網(wǎng)攻擊升級
早在2020年,Akamai就針對電商行業(yè)提出了關(guān)于互聯(lián)網(wǎng)威脅在數(shù)量以及攻擊規(guī)模都有顯著提升的預(yù)警。
在最新的SOTI報告當(dāng)中,Akamai統(tǒng)計了2022年1月至2023年3月Akamai整體平臺的攻擊數(shù)據(jù),電商行業(yè)成為互聯(lián)網(wǎng)攻擊最主要的行業(yè),占比達(dá)到34%,這說明電商行業(yè)依然是互聯(lián)網(wǎng)黑客以及相關(guān)黑客產(chǎn)業(yè)重點關(guān)注的對象。
Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊
馬俊解釋道,疫情期間線上業(yè)務(wù)暴漲,特別是數(shù)字化轉(zhuǎn)型腳步進(jìn)一步加快,在這種趨勢背景下,越來越多的在線交易被黑客、黑客產(chǎn)業(yè)所關(guān)注也是必然。所以在報告中數(shù)據(jù)顯示有1/4的攻擊規(guī)模指向中國,僅次于印度,成為亞太地區(qū)第二位的攻擊目標(biāo)。
關(guān)于攻擊的形態(tài)變化,馬俊指出:
第一,我們通過分析140億次攻擊得出結(jié)論,大部分的攻擊都與Web應(yīng)用和API的攻擊相關(guān)。這其中排名第一的攻擊種類是本地文件包含,這種攻擊形態(tài)相比上一次2020年發(fā)布的報告增長超過3倍,超過了SQL注入這種攻擊形態(tài),升至第一位。
其次我們也發(fā)現(xiàn)三種服務(wù)器端的攻擊形態(tài)成為主流,分別是服務(wù)端的請求偽造、服務(wù)器端的模板注入和服務(wù)器代碼注入,這幾種新型的服務(wù)器端攻擊成為了主要的攻擊形態(tài)。
對于如何做好Web應(yīng)用和API的防護(hù),Akamai的建議是大家要先提高可見性,然后再去針對性地實施策略,簡單來說就是“先可見,再落地。”
進(jìn)階的攻防戰(zhàn)
報告中提到,惡意爬蟲和釣魚攻擊非常嚴(yán)重。在Akamai平臺關(guān)注到的釣魚行為當(dāng)中,有1/3來源于電商行業(yè)的釣魚。惡意爬蟲動作越來越多,過去15個月達(dá)到了5萬億次的規(guī)模。
在電商行業(yè)中, Magecart攻擊形態(tài)在不斷增加,它是在線盜取用戶信用卡信息、個人支付信息的一種手段。
Akamai針對PCI DSS的支付安全規(guī)范在PIM產(chǎn)品中實現(xiàn)了對合規(guī)要求的支持功能,讓客戶能夠監(jiān)控和跟蹤腳本的安全問題,從而保證支付的安全。
Akamai大中國區(qū)產(chǎn)品市場經(jīng)理 劉炅
針對行業(yè)經(jīng)常遇到的攻擊類型,劉炅總結(jié)道:
第一,電商行業(yè)的客戶受到的攻擊種類是多種多樣的。
第二,惡意爬蟲攻擊、釣魚攻擊,還是電商行業(yè)遇到的最大威脅。
第三,API攻擊已經(jīng)成為了Web應(yīng)用安全的一個新焦點。
第四,對于電商網(wǎng)站而言,第三方腳本以及和第三方腳本相關(guān)支付方面的安全攻擊越來越多。
對此,Akamai有一整套的解決方案,比如使用AAP(Web防火墻)防范Web應(yīng)用類攻擊,使用AHP應(yīng)對消費者劫持,使用BMP (Bot Manager Premier)防護(hù)爬蟲類攻擊,使用AP/BP產(chǎn)品防護(hù)賬戶接管、釣魚類的攻擊,使用PIM(頁面完整性)防護(hù)Magecart攻擊。
安全治理的重點
大部分電商都會針對互聯(lián)網(wǎng)的流量進(jìn)行有效的管控和治理,簡單來說,就是他們會搭建基于互聯(lián)網(wǎng)或者基于云端的Web訪問控制。這種治理會在互聯(lián)網(wǎng)外部,在云端搭建不同的防護(hù)層次。
馬俊表示,云端治理的好處就是能第一時間發(fā)現(xiàn)異常和問題,并且實施有效的安全策略控制,將惡意行為在“當(dāng)?shù)?rdquo;就進(jìn)行處理,不會把這些惡意的流量透傳到電商企業(yè)的數(shù)據(jù)中心,所以在云端進(jìn)行有效治理是一個共識。
接下來是相對精細(xì)化的管理。把用戶請求當(dāng)中的一些細(xì)節(jié)、參數(shù)和明顯惡意的報文識別出來,然后通過應(yīng)用層防火墻去檢查并管控,發(fā)現(xiàn)之后就丟棄掉。
再往后是爬蟲,它是從流量來源進(jìn)行檢查,識別是人的行為還是機(jī)器的行為。通過這種判斷,做進(jìn)一步的特征和策略治理,把流量進(jìn)一步收窄,從互聯(lián)網(wǎng)到數(shù)據(jù)中心形成一個漏斗,做整體管控。
劉炅補(bǔ)充道,從安全治理的角度來看,首先需要構(gòu)建一個基礎(chǔ)的Web應(yīng)用安全平臺,不僅適用于電商行業(yè),也適用于其他行業(yè)。我們可以參考Gartner報告中提到的WAAP架構(gòu),考慮Web應(yīng)用的安全問題、API的安全、爬蟲安全以及應(yīng)用層DDoS的安全。通過這個平臺,我們可以建立一個最基礎(chǔ)的Web應(yīng)用安全基礎(chǔ)。
對于電商行業(yè)的特點,惡意爬蟲是最頭疼的問題之一。因此,需要構(gòu)建基于爬蟲的可視化能力,對爬蟲進(jìn)行監(jiān)測和阻斷。如果支付環(huán)節(jié)存在類似問題,需要更為重點關(guān)注支付模塊的安全問題和第三方腳本的安全問題。
同時,電商行業(yè)有一些特殊性,如促銷季節(jié)會有攻擊形式和形態(tài)的變化。因此,在促銷季節(jié)期間需要重點保護(hù)安全能力和服務(wù)器承載能力,建立應(yīng)急服務(wù)響應(yīng)能力,以構(gòu)建一個完善的體系。
