自新冠疫情以來,電商行業的發展進程加快,業務不斷擴展的同時,新的網絡安全問題也不斷地暴露出來:
一方面,電商的互聯網特性使其網絡安全風險面擴大;另一方面,不同規模的電商對安全的重視程度和技術能力都有很大差異,這導致他們的安全防護水平參差不齊。
傳統的網絡安全防護手段已經難以應對當前電商場景不斷發展的新局面,類似惡意爬蟲、勒索軟件這樣的網絡攻擊已經呈現常態化。
電商如何做好防護,減少這類網絡攻擊帶來的損失?就此問題,記者專訪了Akamai大中華區企業事業部高級售前技術經理馬俊和大中國區產品市場經理劉炅。
互聯網攻擊升級
早在2020年,Akamai就針對電商行業提出了關于互聯網威脅在數量以及攻擊規模都有顯著提升的預警。
在最新的SOTI報告當中,Akamai統計了2022年1月至2023年3月Akamai整體平臺的攻擊數據,電商行業成為互聯網攻擊最主要的行業,占比達到34%,這說明電商行業依然是互聯網黑客以及相關黑客產業重點關注的對象。
Akamai大中華區企業事業部高級售前技術經理 馬俊
馬俊解釋道,疫情期間線上業務暴漲,特別是數字化轉型腳步進一步加快,在這種趨勢背景下,越來越多的在線交易被黑客、黑客產業所關注也是必然。所以在報告中數據顯示有1/4的攻擊規模指向中國,僅次于印度,成為亞太地區第二位的攻擊目標。
關于攻擊的形態變化,馬俊指出:
第一,我們通過分析140億次攻擊得出結論,大部分的攻擊都與Web應用和API的攻擊相關。這其中排名第一的攻擊種類是本地文件包含,這種攻擊形態相比上一次2020年發布的報告增長超過3倍,超過了SQL注入這種攻擊形態,升至第一位。
其次我們也發現三種服務器端的攻擊形態成為主流,分別是服務端的請求偽造、服務器端的模板注入和服務器代碼注入,這幾種新型的服務器端攻擊成為了主要的攻擊形態。
對于如何做好Web應用和API的防護,Akamai的建議是大家要先提高可見性,然后再去針對性地實施策略,簡單來說就是“先可見,再落地。”
進階的攻防戰
報告中提到,惡意爬蟲和釣魚攻擊非常嚴重。在Akamai平臺關注到的釣魚行為當中,有1/3來源于電商行業的釣魚。惡意爬蟲動作越來越多,過去15個月達到了5萬億次的規模。
在電商行業中, Magecart攻擊形態在不斷增加,它是在線盜取用戶信用卡信息、個人支付信息的一種手段。
Akamai針對PCI DSS的支付安全規范在PIM產品中實現了對合規要求的支持功能,讓客戶能夠監控和跟蹤腳本的安全問題,從而保證支付的安全。
Akamai大中國區產品市場經理 劉炅
針對行業經常遇到的攻擊類型,劉炅總結道:
第一,電商行業的客戶受到的攻擊種類是多種多樣的。
第二,惡意爬蟲攻擊、釣魚攻擊,還是電商行業遇到的最大威脅。
第三,API攻擊已經成為了Web應用安全的一個新焦點。
第四,對于電商網站而言,第三方腳本以及和第三方腳本相關支付方面的安全攻擊越來越多。
對此,Akamai有一整套的解決方案,比如使用AAP(Web防火墻)防范Web應用類攻擊,使用AHP應對消費者劫持,使用BMP (Bot Manager Premier)防護爬蟲類攻擊,使用AP/BP產品防護賬戶接管、釣魚類的攻擊,使用PIM(頁面完整性)防護Magecart攻擊。
安全治理的重點
大部分電商都會針對互聯網的流量進行有效的管控和治理,簡單來說,就是他們會搭建基于互聯網或者基于云端的Web訪問控制。這種治理會在互聯網外部,在云端搭建不同的防護層次。
馬俊表示,云端治理的好處就是能第一時間發現異常和問題,并且實施有效的安全策略控制,將惡意行為在“當地”就進行處理,不會把這些惡意的流量透傳到電商企業的數據中心,所以在云端進行有效治理是一個共識。
接下來是相對精細化的管理。把用戶請求當中的一些細節、參數和明顯惡意的報文識別出來,然后通過應用層防火墻去檢查并管控,發現之后就丟棄掉。
再往后是爬蟲,它是從流量來源進行檢查,識別是人的行為還是機器的行為。通過這種判斷,做進一步的特征和策略治理,把流量進一步收窄,從互聯網到數據中心形成一個漏斗,做整體管控。
劉炅補充道,從安全治理的角度來看,首先需要構建一個基礎的Web應用安全平臺,不僅適用于電商行業,也適用于其他行業。我們可以參考Gartner報告中提到的WAAP架構,考慮Web應用的安全問題、API的安全、爬蟲安全以及應用層DDoS的安全。通過這個平臺,我們可以建立一個最基礎的Web應用安全基礎。
對于電商行業的特點,惡意爬蟲是最頭疼的問題之一。因此,需要構建基于爬蟲的可視化能力,對爬蟲進行監測和阻斷。如果支付環節存在類似問題,需要更為重點關注支付模塊的安全問題和第三方腳本的安全問題。
同時,電商行業有一些特殊性,如促銷季節會有攻擊形式和形態的變化。因此,在促銷季節期間需要重點保護安全能力和服務器承載能力,建立應急服務響應能力,以構建一個完善的體系。
