作為一種通過互聯(lián)網(wǎng)平臺實現(xiàn)商品銷售和交易的商業(yè)模式�����,電商行業(yè)在近年來可謂是發(fā)展迅猛�����,其規(guī)模正在隨著互聯(lián)網(wǎng)的普及不斷擴大�,不過��,在整個電商行業(yè)極速發(fā)展的同時�,也不可避免地面臨著網(wǎng)絡安全風險,且有愈演愈烈之勢�。
Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術經(jīng)理馬俊
(相關資料圖)
“Akamai為電商行業(yè)提供相關互聯(lián)網(wǎng)安全威脅的研究已經(jīng)有十余年了,在最新的SOTI報告中����,我們統(tǒng)計了從2022年1月到2023年3月的15個月內(nèi)整體平臺的攻擊情況進行了匯總,發(fā)現(xiàn)電商行業(yè)成為了這15個月期間受到互聯(lián)網(wǎng)攻擊的最主要的行業(yè)�,占比達到了34%,有統(tǒng)計的145億次攻擊中����,有34%的攻擊都指向了電子商務行業(yè)�,特別是62%是針對在線零售相關的���?���!盇kamai大中華區(qū)企業(yè)事業(yè)部高級售前技術經(jīng)理馬俊近日在接受采訪時表示����。
值得一提的是,在Akamai的報告中����,還特別指出中國成為了亞太乃至環(huán)太平洋地區(qū)受攻擊次數(shù)最多的地區(qū)之一,僅次于印度�,這意味著即便是在疫情的尾聲期間,電商行業(yè)仍然是互聯(lián)網(wǎng)黑客和相關黑產(chǎn)重點關注的對象�����。
“這和我們2020年發(fā)布報告時的預測相同�,疫情期間廣大企業(yè)傾向于把自身的業(yè)務部署到線上,特別是在數(shù)字轉(zhuǎn)型的背景趨勢之下,業(yè)務上云的速度變得比以往更快��,因此越來越多的在線交易都會被黑客和黑產(chǎn)所關注���,這也造成了其中1/4的攻擊都指向了中國?!瘪R俊補充道。
從攻擊方式的角度來看����,大部分的攻擊都和Web應用攻擊和API攻擊相關,其中排名第一的攻擊種類是本地文件包含的攻擊形態(tài)���,而非過去的SQL注入����。報告顯示����,通過進一步分析,這種攻擊形態(tài)主要是因為服務器端的新型漏洞引起��,黑客會利用本地文件引用來進行網(wǎng)絡掃描或者情報收集����。
服務器端面臨的威脅不止如此�,報告中顯示��,服務器端的請求偽造�、模板注入和服務器代碼注入這幾種服務器端的攻擊形態(tài)正在成為主流。針對這些風險�����,Akamai也在報告中建議電商行業(yè)的IT運營及安全團隊能夠更加注重這些攻擊的種類��,特別是紅藍對抗或者滲透測試過程中�����,需要針對本地文件包含�����、SSRF這種攻擊形式進行專項的測試和加固�,并有針對性地進行SOC聯(lián)動的應急響應的演練,從而提供針對這部分的保護�。
而針對API的防護,Akamai給出的建議是先提高可見性����,然后針對性地實施策略����,也就是“先可見����,再落地”。
具體來說�,API防護可以分為四個層次���,第一個層次是API的可見性與概況����,首先要知道API有哪些����、在哪里。
第二個層次主要針對了解API應用之后進行的DDoS防護�,無論是網(wǎng)絡防護還是速率控制防護,都可以把大量好識別����、好攔截的部分過濾掉。
第三個層次則是通過精細化的工作,來進行針對性和細粒度的防護����。這部分主要涉及到預定義API規(guī)格來進行請求限制,以及通過自動檢查JSON和XML請求來檢測攻擊���。
最后一個層次是業(yè)務層的治理���,包括針對異常流量如爬蟲流量,以及API權限管理����,在數(shù)據(jù)中心的家門口來進行最后一步的檢測,從而實現(xiàn)整個API和Web應用防護的治理���。
值得一提的是����,Akamai針對電商安全有著一整套完善的解決方案�,例如其AAP產(chǎn)品,也就是外界熟知的Web防火墻產(chǎn)品����,就是用來防范基于Web應用類攻擊的本地文件包含��、SQL注入�����、SSRF等攻擊行為的����。
針對在線購物的行為本身�,消費者訪問購物主頁,瀏覽并進行購買商品的過程中也存在一些風險���,例如一些瀏覽器的比價/低價插件在無形中會把用戶的個人隱私和相關數(shù)據(jù)進行竊取�,還可能涉及到引導用戶去惡意網(wǎng)站進行支付的欺詐行為�。
除此之外�����,在在線購物過程中還有一些其他的風險��,例如:在購物季的搶購活動中��,很多惡意用戶會通過不法方式來搶占這些商品進行倒賣���;登陸環(huán)節(jié)中����,很多用戶的用戶名和密碼在多個網(wǎng)站是共用的,這就造成了一旦有一處泄露��,購物網(wǎng)站的相關信息就可能被盜?�?�;部分攻擊者會通過釣魚郵件����,以提供優(yōu)惠券等形式來誘導消費者進行點擊;以及在支付環(huán)節(jié)�����,數(shù)量正在不斷上升的Magecart攻擊形式……這些都是日常購物中可能遇到的潛在風險����。
針對這些問題,Akamai在報告中也給出了一系列建議��,以爬蟲和釣魚攻擊為例��,根據(jù)報告,在整個Akamai平臺關注到的釣魚行為中�����,有1/3來源于電商行業(yè)�����;而惡意爬蟲方面�,在統(tǒng)計的15個月達到了5萬億次的規(guī)模。
不過這里也要指明的是�,電商行業(yè)中的爬蟲并非只會帶來負面影響,例如搜索引擎���、推薦網(wǎng)站或者比價網(wǎng)站用來引流的爬蟲�����,是可以為電商帶來真實流量的,行業(yè)需要警惕和阻止的是那些影響業(yè)務的惡意爬蟲����。
馬俊介紹道,惡意爬蟲會帶來的一個影響是撞庫攻擊���,爬蟲是撞庫場景中最主要的一個基礎設施來源�,另外還有很多常見的情況,在秒殺場景下���,機器人程序�����、爬蟲幫助消費者搶購商品的過程中���,商品價格可能會被競爭對手或者惡意程序來抓取,并有可能造成實際的業(yè)務影響�����。
通常來說�����,撞庫的過程可以分為三個不同階段���,第一個階段是憑據(jù)獲取���,通?����?梢詮暮诋a(chǎn)或者暗網(wǎng)上批量購買泄露的用戶名和密碼�;第二個階段是憑據(jù)填充����,指的是通過自動化程序來嘗試這些口令;第三個階段是賬戶接管��,在成功登陸這些已經(jīng)被驗證過的用戶名和口令之后��,會進行人工的精細化操作�����,例如竊取客戶的購物卡���、修改收貨地址或者盜取虛擬資產(chǎn)等等�����。
因此,針對不同的階段���,就有必要通過不同的方式來加以應對��,例如在自動化的過程�,可以采取爬蟲機器人檢測的手段,手工化的過程可以通過機器學習技術���,針對用戶行為習慣建立正常和異常模式來加以識別���。
除了惡意爬蟲攻擊之外,金融欺詐和Magecart攻擊也是電商行業(yè)經(jīng)常面臨的兩個問題���,根據(jù)Akamai的報告��,有59%的零售商都報告了交易欺詐或者消費者劫持的場景����,其中有15%的用戶會話會被客戶感知到����。
而Magecart的風險則直接關系到用戶的財產(chǎn)安全,在消費者進行在線交易的時候��,需要在支付環(huán)節(jié)輸入用戶名和密碼,黑客會通過在網(wǎng)站上植入代碼來盜取這部分信息��,進而產(chǎn)生安全風險�。
“PCI DSS最新的支付認證也考慮到了新型攻擊的風險,并且在去年特別針對這樣的風險進行了新的標準制定�����,其中兩個條款規(guī)定了所有網(wǎng)站運營管理者必須提供在線腳本當中的審計�����、授權�����、完整性檢查和相關的材料記錄��,且必須有專門的團隊和機制能夠在出現(xiàn)風險的時候發(fā)出告警����,并具備實施對應策略的能力。這些都是針對Magecart和消費者劫持這樣的業(yè)務風險的保障���。我們還是建議電商用戶先提高可見性�����,然后進行實時的監(jiān)控和治理����?�!瘪R俊表示�����。
從攻防的角度來看��,攻擊者和電商企業(yè)的攻防更像是一場“貓鼠游戲”����,攻擊者越來越隱蔽,而電商企業(yè)則需要盡快發(fā)現(xiàn)對方�����,Akamai在報告中所強調(diào)的提高可見性��,就是防守方需要具備的能力���,而為了提高可見性����,企業(yè)就需要擁有Akamai這樣的全球平臺,來提供數(shù)據(jù)分析和安全分析方面的能力��。截至目前�,Akamai已經(jīng)在全球130多個國家和地區(qū)部署了服務器,每天接收的日常數(shù)據(jù)量都超過了150TB的規(guī)模�,并且能為這些電商用戶提供豐富的解決方案。
Akamai大中國區(qū)產(chǎn)品市場經(jīng)理劉炅
除了上文中提到的AAP產(chǎn)品之外�,Akamai針對特定的攻擊場景也提供了特定的解決方案,例如AHP(Audience Hijacking Protector)的主要功能就是清除瀏覽器端的惡意插件���?���!癆HP產(chǎn)品的原理是通過一段代碼�����,快速在服務器端或者邊緣側進行部署�,它會監(jiān)控瀏覽器端所有的惡意插件行為,然后進行定點定向的防護�?!盇kamai大中華區(qū)產(chǎn)品市場經(jīng)理劉炅介紹道����。
而針對不斷泛濫的爬蟲攻擊,Akamai則提供了BMP(Bot Management Premier)產(chǎn)品�,該Bot管理工具可以防護包括單IP攻擊�、分布式攻擊等各種類型的爬蟲攻擊。該產(chǎn)品在澳洲的一個提供在線電商的超市中得到了有效的應用����。受疫情影響,這家超市在2020年的流量增長了200%��,因此爬蟲流量和撞庫攻擊也非常突出����,但超市本身沒有能力了解網(wǎng)站是否受到了攻擊,在數(shù)據(jù)隱私法規(guī)法案的驅(qū)動下�,該超市采用了Akamai的BMP產(chǎn)品,得到了很好的防護效果���。
此外���,針對賬戶接管的攻擊方式�����,Akamai提供了AP(Account Protector)解決方案�����,該方案會構建用戶畫像�,根據(jù)行為特征(使用設備����、活躍程度、活躍時間��、地理位置等)來判斷用戶是否合法�����。
對于上文中提到的釣魚攻擊方式��,Akamai則提供了Brand Protector釣魚網(wǎng)站解決方案��,通過情報��、檢測�����、報警和報告,以及緩解四個步驟來緩解釣魚威脅�。
最后,Akamai的PIM產(chǎn)品則主要針對Magecart攻擊和第三方腳本攻擊��,PIM有著對PCI合規(guī)性要求的支持能力��,通過PIM產(chǎn)品����,可以直觀的看到整個攻擊鏈條�����,這意味著一旦最終用戶的支付信息被傳到惡意域名中��,可以通過PIM產(chǎn)品洞察到�,之后商戶就可以對代碼進行檢查,清除第三方腳本或者惡意腳本��,這對代碼的審核���、審計來說都有著非常好的作用����。
“通過技術手段和解決方案提供保護只是個開始,除了建立層次化的Web防護體系之外��,電商企業(yè)也有必要建立自身的安全團隊���,特別是需要在應急響應方面建立完善的流程���。此外,由于安全不是一個簡單的事情����,新的攻擊方式會不斷涌現(xiàn),電商企業(yè)有必要選擇長期的安全合作伙伴���,特別是SOC(安全運營中心)���,來和自身的安全團隊聯(lián)動,去解決未來可能出現(xiàn)的問題��?��!瘪R俊在最后表示�。
網(wǎng)絡安全態(tài)勢感知
[經(jīng)銷商]京東商城
[產(chǎn)品售價]¥128元
進入購買
關鍵詞:
