近年來,盡管我們的防護手段不斷提升,但DDoS網(wǎng)絡(luò)攻擊的頻率和規(guī)模仍然在不斷增長,攻擊手段的復(fù)雜度也有明顯提高趨勢,這令企業(yè)對DDoS防護難度逐步加大。
據(jù)調(diào)查數(shù)據(jù)顯示,DDoS攻擊者對行為具有較強的針對性,通常傾向于更具有網(wǎng)絡(luò)經(jīng)濟收益和用戶基礎(chǔ)較好的行業(yè),這其中電商行業(yè)因自身特性而更容易在DDoS攻擊中遭受巨大的經(jīng)濟損失和用戶信任危機。
DDoS攻擊瞄準電商
DDoS攻擊日益猖獗,并且正在跟隨電商數(shù)字業(yè)務(wù)的變化變得手段更加復(fù)雜。不幸的是,雖然電商都部署了某種程度的DDoS防護,但無法應(yīng)對DDoS攻擊的加速發(fā)展,這確實是一項不容易完成的任務(wù)。
據(jù)Akamai的觀察數(shù)據(jù)表明,2023年DDoS攻擊的數(shù)量與頻率呈現(xiàn)出過山車般的劇烈波動。應(yīng)用層 DDoS 攻擊對在線零售商構(gòu)成嚴重威脅,尤其是在他們準備應(yīng)對假日購物季流量增加的時候。網(wǎng)絡(luò)犯罪分子可以利用人工智能來策劃復(fù)雜的 DDoS 攻擊,讓電商網(wǎng)站和App不堪重負,無法正常運營。
Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示:雖然許多DDoS攻擊通常會綜合利用多種攻擊向量(即多種攻擊方式),但在2023年和2024年內(nèi),針對金融行業(yè)的DDoS攻擊中,單一向量的攻擊占據(jù)了主導(dǎo)地位。單一向量的攻擊由于有針對性地利用某些漏洞,往往能夠以較小的資源和較容易的執(zhí)行方式發(fā)起大規(guī)模的DDoS攻擊。
DDoS攻擊除了常見的網(wǎng)絡(luò)層(即第三層和第四層)攻擊之外,另一個顯著特點是針對HTTP Web的第七層攻擊在大幅增加。API,特別是那些未被標記、未被識別的影子API,成為了主要關(guān)注點。
一般情況下主流的云廠商會有比較嚴密的防護,但對于一些受運營成本所限,或一些出海企業(yè)在海外選擇小運營商時,往往是不具備更高級別的抗DDoS的能力。即便是某些較大的運營商出現(xiàn)DDoS攻擊時,解決故障的時間也是不可控的。這就造成了防護的效果大打折扣,電商企業(yè)總會有部分受到影響。尤其是某些自行部署DDoS防護方案的電商,在帶寬有限,安全機制保障缺失的情況下,其防護能力必然也捉襟見肘了。
劉燁表示,DDoS 攻擊的成本低、針對性強,但可能造成驚人的經(jīng)濟影響,企業(yè)將面臨收入損失、恢復(fù)成本增加以及品牌聲譽可能遭受長期損害。為了應(yīng)對這種威脅,電商必須構(gòu)建強大的 DDoS 防御策略,以便在攻擊擾亂正常業(yè)務(wù)之前識別并消除攻擊。
電商平臺如何破局
面對如此嚴峻的網(wǎng)絡(luò)安全威脅,電商是時候重新考慮其安全策略了。
越來越多的企業(yè)希望能夠借助專業(yè)防護廠商的能力來保障業(yè)務(wù)安全,選擇一個穩(wěn)定可靠又專業(yè)高效的安全服務(wù),比自己攢防護方案切合實際需要。因為專家安全廠商通過其先進的技術(shù)和全面的安全防護策略,能夠為電商平臺提供強大的防護能力,確保其既能保證高質(zhì)量的訪問,又能防御DDoS等非法請求,從而確保業(yè)務(wù)持續(xù)穩(wěn)定發(fā)展。
劉燁建議道:電商平臺可以這樣構(gòu)筑自身的安全壁壘:
• 與專業(yè)的安全廠商合作,建立層次化的Web防護體系。這部分是針對請求的異常情況可以做異常行為檢查或者說針對性的一些policy檢查。通過針對異常問題的檢查可以實現(xiàn)細粒度的控制,確保進到數(shù)據(jù)中心的流量是干凈的。
• 建設(shè)專業(yè)的安全團隊。我們看到安全的部分需要投入,最主要的是我們要建立一支完整的安全團隊。其次,安全團隊要對應(yīng)流程,特別是我們需要在應(yīng)急響應(yīng)上建立自己完善的流程,如何發(fā)現(xiàn)問題,如何應(yīng)急響應(yīng),如何修補漏洞,如何定期做安全加固等等,這些都是屬于日常流程該有的部分。
• 考慮到網(wǎng)絡(luò)安全是不斷發(fā)展變化的,建議電商企業(yè)選擇一個長期的安全合作伙伴,特別是有安全中心運營能力的SOC,可以幫助電商企業(yè)和自己的安全團隊聯(lián)動解決更復(fù)雜、更隱蔽的問題。
Akamai通過構(gòu)建三大安全防護層面,為客戶帶來顯著價值:
• 零信任安全框架:此框架涵蓋了網(wǎng)絡(luò)訪問控制、微分段技術(shù)及主動安全監(jiān)測等多個方面,有效應(yīng)對域名威脅與惡意釣魚攻擊。借助零信任架構(gòu),能夠?qū)崿F(xiàn)對此類風險的預(yù)警與防護。
• 應(yīng)用安全保障:專注于在線交易、互聯(lián)網(wǎng)應(yīng)用及API的全面保護。提供的解決方案包括網(wǎng)絡(luò)應(yīng)用防火墻、第七層DDoS防護,以及API的實時深度分析能力,助力客戶應(yīng)對各種信息安全挑戰(zhàn)。尤為突出的是其高級API防護功能,以及針對爬蟲活動和欺詐行為的專項防護。
• 基礎(chǔ)設(shè)施安全防護:重點在于流量凈化與DNS保護,直接關(guān)聯(lián)DNS安全風險。利用Akamai平臺的安全情報資源,結(jié)合外部數(shù)據(jù)與生態(tài)系統(tǒng)信息,為客戶提供全面的互聯(lián)網(wǎng)安全解決方案。此外,Akamai的安全專業(yè)服務(wù)團隊能夠迅速協(xié)助客戶充分利用這些平臺及產(chǎn)品,最大化其安全防護效能。
從近幾年DDoS攻擊的數(shù)據(jù)來看,并不再局限于電商、金融、政府等幾個特殊行業(yè),有向各行各業(yè)蔓延的趨勢,需要引起廣泛關(guān)注這個安全問題。企業(yè)需要進一步加強防護措施,借助專業(yè)安全機構(gòu)來構(gòu)建更加智能化、融合化、高效的DDoS防護系統(tǒng),以應(yīng)對日益復(fù)雜的DDoS網(wǎng)絡(luò)攻擊。
