作為一種通過互聯網平臺實現商品銷售和交易的商業模式，電商行業在近年來可謂是發展迅猛，其規模正在隨著互聯網的普及不斷擴大，不過，在整個電商行業極速發展的同時，也不可避免地面臨著網絡安全風險，且有愈演愈烈之勢。

Akamai大中華區企業事業部高級售前技術經理馬俊

【資料圖】

“Akamai為電商行業提供相關互聯網安全威脅的研究已經有十余年了，在最新的SOTI報告中，我們統計了從2022年1月到2023年3月的15個月內整體平臺的攻擊情況進行了匯總，發現電商行業成為了這15個月期間受到互聯網攻擊的最主要的行業，占比達到了34%，有統計的145億次攻擊中，有34%的攻擊都指向了電子商務行業，特別是62%是針對在線零售相關的。”Akamai大中華區企業事業部高級售前技術經理馬俊近日在接受采訪時表示。

值得一提的是，在Akamai的報告中，還特別指出中國成為了亞太乃至環太平洋地區受攻擊次數最多的地區之一，僅次于印度，這意味著即便是在疫情的尾聲期間，電商行業仍然是互聯網黑客和相關黑產重點關注的對象。

“這和我們2020年發布報告時的預測相同，疫情期間廣大企業傾向于把自身的業務部署到線上，特別是在數字轉型的背景趨勢之下，業務上云的速度變得比以往更快，因此越來越多的在線交易都會被黑客和黑產所關注，這也造成了其中1/4的攻擊都指向了中國。”馬俊補充道。

從攻擊方式的角度來看，大部分的攻擊都和Web應用攻擊和API攻擊相關，其中排名第一的攻擊種類是本地文件包含的攻擊形態，而非過去的SQL注入。報告顯示，通過進一步分析，這種攻擊形態主要是因為服務器端的新型漏洞引起，黑客會利用本地文件引用來進行網絡掃描或者情報收集。

服務器端面臨的威脅不止如此，報告中顯示，服務器端的請求偽造、模板注入和服務器代碼注入這幾種服務器端的攻擊形態正在成為主流。針對這些風險，Akamai也在報告中建議電商行業的IT運營及安全團隊能夠更加注重這些攻擊的種類，特別是紅藍對抗或者滲透測試過程中，需要針對本地文件包含、SSRF這種攻擊形式進行專項的測試和加固，并有針對性地進行SOC聯動的應急響應的演練，從而提供針對這部分的保護。

而針對API的防護，Akamai給出的建議是先提高可見性，然后針對性地實施策略，也就是“先可見，再落地”。

具體來說，API防護可以分為四個層次，第一個層次是API的可見性與概況，首先要知道API有哪些、在哪里。

第二個層次主要針對了解API應用之后進行的DDoS防護，無論是網絡防護還是速率控制防護，都可以把大量好識別、好攔截的部分過濾掉。

第三個層次則是通過精細化的工作，來進行針對性和細粒度的防護。這部分主要涉及到預定義API規格來進行請求限制，以及通過自動檢查JSON和XML請求來檢測攻擊。

最后一個層次是業務層的治理，包括針對異常流量如爬蟲流量，以及API權限管理，在數據中心的家門口來進行最后一步的檢測，從而實現整個API和Web應用防護的治理。

值得一提的是，Akamai針對電商安全有著一整套完善的解決方案，例如其AAP產品，也就是外界熟知的Web防火墻產品，就是用來防范基于Web應用類攻擊的本地文件包含、SQL注入、SSRF等攻擊行為的。

針對在線購物的行為本身，消費者訪問購物主頁，瀏覽并進行購買商品的過程中也存在一些風險，例如一些瀏覽器的比價/低價插件在無形中會把用戶的個人隱私和相關數據進行竊取，還可能涉及到引導用戶去惡意網站進行支付的欺詐行為。

除此之外，在在線購物過程中還有一些其他的風險，例如：在購物季的搶購活動中，很多惡意用戶會通過不法方式來搶占這些商品進行倒賣；登陸環節中，很多用戶的用戶名和密碼在多個網站是共用的，這就造成了一旦有一處泄露，購物網站的相關信息就可能被盜取；部分攻擊者會通過釣魚郵件，以提供優惠券等形式來誘導消費者進行點擊；以及在支付環節，數量正在不斷上升的Magecart攻擊形式……這些都是日常購物中可能遇到的潛在風險。

針對這些問題，Akamai在報告中也給出了一系列建議，以爬蟲和釣魚攻擊為例，根據報告，在整個Akamai平臺關注到的釣魚行為中，有1/3來源于電商行業；而惡意爬蟲方面，在統計的15個月達到了5萬億次的規模。

不過這里也要指明的是，電商行業中的爬蟲并非只會帶來負面影響，例如搜索引擎、推薦網站或者比價網站用來引流的爬蟲，是可以為電商帶來真實流量的，行業需要警惕和阻止的是那些影響業務的惡意爬蟲。

馬俊介紹道，惡意爬蟲會帶來的一個影響是撞庫攻擊，爬蟲是撞庫場景中最主要的一個基礎設施來源，另外還有很多常見的情況，在秒殺場景下，機器人程序、爬蟲幫助消費者搶購商品的過程中，商品價格可能會被競爭對手或者惡意程序來抓取，并有可能造成實際的業務影響。

通常來說，撞庫的過程可以分為三個不同階段，第一個階段是憑據獲取，通常可以從黑產或者暗網上批量購買泄露的用戶名和密碼；第二個階段是憑據填充，指的是通過自動化程序來嘗試這些口令；第三個階段是賬戶接管，在成功登陸這些已經被驗證過的用戶名和口令之后，會進行人工的精細化操作，例如竊取客戶的購物卡、修改收貨地址或者盜取虛擬資產等等。

因此，針對不同的階段，就有必要通過不同的方式來加以應對，例如在自動化的過程，可以采取爬蟲機器人檢測的手段，手工化的過程可以通過機器學習技術，針對用戶行為習慣建立正常和異常模式來加以識別。

除了惡意爬蟲攻擊之外，金融欺詐和Magecart攻擊也是電商行業經常面臨的兩個問題，根據Akamai的報告，有59%的零售商都報告了交易欺詐或者消費者劫持的場景，其中有15%的用戶會話會被客戶感知到。

而Magecart的風險則直接關系到用戶的財產安全，在消費者進行在線交易的時候，需要在支付環節輸入用戶名和密碼，黑客會通過在網站上植入代碼來盜取這部分信息，進而產生安全風險。

“PCI DSS最新的支付認證也考慮到了新型攻擊的風險，并且在去年特別針對這樣的風險進行了新的標準制定，其中兩個條款規定了所有網站運營管理者必須提供在線腳本當中的審計、授權、完整性檢查和相關的材料記錄，且必須有專門的團隊和機制能夠在出現風險的時候發出告警，并具備實施對應策略的能力。這些都是針對Magecart和消費者劫持這樣的業務風險的保障。我們還是建議電商用戶先提高可見性，然后進行實時的監控和治理。”馬俊表示。

從攻防的角度來看，攻擊者和電商企業的攻防更像是一場“貓鼠游戲”，攻擊者越來越隱蔽，而電商企業則需要盡快發現對方，Akamai在報告中所強調的提高可見性，就是防守方需要具備的能力，而為了提高可見性，企業就需要擁有Akamai這樣的全球平臺，來提供數據分析和安全分析方面的能力。截至目前，Akamai已經在全球130多個國家和地區部署了服務器，每天接收的日常數據量都超過了150TB的規模，并且能為這些電商用戶提供豐富的解決方案。

Akamai大中國區產品市場經理劉炅

除了上文中提到的AAP產品之外，Akamai針對特定的攻擊場景也提供了特定的解決方案，例如AHP（Audience Hijacking Protector）的主要功能就是清除瀏覽器端的惡意插件。“AHP產品的原理是通過一段代碼，快速在服務器端或者邊緣側進行部署，它會監控瀏覽器端所有的惡意插件行為，然后進行定點定向的防護。”Akamai大中華區產品市場經理劉炅介紹道。

而針對不斷泛濫的爬蟲攻擊，Akamai則提供了BMP(Bot Management Premier)產品，該Bot管理工具可以防護包括單IP攻擊、分布式攻擊等各種類型的爬蟲攻擊。該產品在澳洲的一個提供在線電商的超市中得到了有效的應用。受疫情影響，這家超市在2020年的流量增長了200%，因此爬蟲流量和撞庫攻擊也非常突出，但超市本身沒有能力了解網站是否受到了攻擊，在數據隱私法規法案的驅動下，該超市采用了Akamai的BMP產品，得到了很好的防護效果。

此外，針對賬戶接管的攻擊方式，Akamai提供了AP（Account Protector）解決方案，該方案會構建用戶畫像，根據行為特征（使用設備、活躍程度、活躍時間、地理位置等）來判斷用戶是否合法。

對于上文中提到的釣魚攻擊方式，Akamai則提供了Brand Protector釣魚網站解決方案，通過情報、檢測、報警和報告，以及緩解四個步驟來緩解釣魚威脅。

最后，Akamai的PIM產品則主要針對Magecart攻擊和第三方腳本攻擊，PIM有著對PCI合規性要求的支持能力，通過PIM產品，可以直觀的看到整個攻擊鏈條，這意味著一旦最終用戶的支付信息被傳到惡意域名中，可以通過PIM產品洞察到，之后商戶就可以對代碼進行檢查，清除第三方腳本或者惡意腳本，這對代碼的審核、審計來說都有著非常好的作用。

“通過技術手段和解決方案提供保護只是個開始，除了建立層次化的Web防護體系之外，電商企業也有必要建立自身的安全團隊，特別是需要在應急響應方面建立完善的流程。此外，由于安全不是一個簡單的事情，新的攻擊方式會不斷涌現，電商企業有必要選擇長期的安全合作伙伴，特別是SOC（安全運營中心），來和自身的安全團隊聯動，去解決未來可能出現的問題。”馬俊在最后表示。

網絡安全態勢感知

[經銷商]京東商城

[產品售價]￥128元

進入購買

標簽：