Akamai:电商行业仍旧处于网络攻击前沿,企业构筑安全壁垒任重而道远
作为一种通过互联网平台实现商品销售和交易的商业模式,电商行业在近年来可谓是发展迅猛,其规模正在随着互联网的普及不断扩大,不过,在整个电商行业极速发展的同时,也不可避免地面临着网络安全风险,且有愈演愈烈之势。
(资料图片仅供参考)
Akamai大中华区企业事业部高级售前技术经理马俊
“Akamai为电商行业提供相关互联网安全威胁的研究已经有十余年了,在最新的SOTI报告中,我们统计了从2022年1月到2023年3月的15个月内整体平台的攻击情况进行了汇总,发现电商行业成为了这15个月期间受到互联网攻击的最主要的行业,占比达到了34%,有统计的145亿次攻击中,有34%的攻击都指向了电子商务行业,特别是62%是针对在线零售相关的。”Akamai大中华区企业事业部高级售前技术经理马俊近日在接受采访时表示。
值得一提的是,在Akamai的报告中,还特别指出中国成为了亚太乃至环太平洋地区受攻击次数最多的地区之一,仅次于印度,这意味着即便是在疫情的尾声期间,电商行业仍然是互联网黑客和相关黑产重点关注的对象。
“这和我们2020年发布报告时的预测相同,疫情期间广大企业倾向于把自身的业务部署到线上,特别是在数字转型的背景趋势之下,业务上云的速度变得比以往更快,因此越来越多的在线交易都会被黑客和黑产所关注,这也造成了其中1/4的攻击都指向了中国。”马俊补充道。
从攻击方式的角度来看,大部分的攻击都和Web应用攻击和API攻击相关,其中排名第一的攻击种类是本地文件包含的攻击形态,而非过去的SQL注入。报告显示,通过进一步分析,这种攻击形态主要是因为服务器端的新型漏洞引起,黑客会利用本地文件引用来进行网络扫描或者情报收集。
服务器端面临的威胁不止如此,报告中显示,服务器端的请求伪造、模板注入和服务器代码注入这几种服务器端的攻击形态正在成为主流。针对这些风险,Akamai也在报告中建议电商行业的IT运营及安全团队能够更加注重这些攻击的种类,特别是红蓝对抗或者渗透测试过程中,需要针对本地文件包含、SSRF这种攻击形式进行专项的测试和加固,并有针对性地进行SOC联动的应急响应的演练,从而提供针对这部分的保护。
而针对API的防护,Akamai给出的建议是先提高可见性,然后针对性地实施策略,也就是“先可见,再落地”。
具体来说,API防护可以分为四个层次,第一个层次是API的可见性与概况,首先要知道API有哪些、在哪里。
第二个层次主要针对了解API应用之后进行的DDoS防护,无论是网络防护还是速率控制防护,都可以把大量好识别、好拦截的部分过滤掉。
第三个层次则是通过精细化的工作,来进行针对性和细粒度的防护。这部分主要涉及到预定义API规格来进行请求限制,以及通过自动检查JSON和XML请求来检测攻击。
最后一个层次是业务层的治理,包括针对异常流量如爬虫流量,以及API权限管理,在数据中心的家门口来进行最后一步的检测,从而实现整个API和Web应用防护的治理。
值得一提的是,Akamai针对电商安全有着一整套完善的解决方案,例如其AAP产品,也就是外界熟知的Web防火墙产品,就是用来防范基于Web应用类攻击的本地文件包含、SQL注入、SSRF等攻击行为的。
针对在线购物的行为本身,消费者访问购物主页,浏览并进行购买商品的过程中也存在一些风险,例如一些浏览器的比价/低价插件在无形中会把用户的个人隐私和相关数据进行窃取,还可能涉及到引导用户去恶意网站进行支付的欺诈行为。
除此之外,在在线购物过程中还有一些其他的风险,例如:在购物季的抢购活动中,很多恶意用户会通过不法方式来抢占这些商品进行倒卖;登陆环节中,很多用户的用户名和密码在多个网站是共用的,这就造成了一旦有一处泄露,购物网站的相关信息就可能被盗取;部分攻击者会通过钓鱼邮件,以提供优惠券等形式来诱导消费者进行点击;以及在支付环节,数量正在不断上升的Magecart攻击形式……这些都是日常购物中可能遇到的潜在风险。
针对这些问题,Akamai在报告中也给出了一系列建议,以爬虫和钓鱼攻击为例,根据报告,在整个Akamai平台关注到的钓鱼行为中,有1/3来源于电商行业;而恶意爬虫方面,在统计的15个月达到了5万亿次的规模。
不过这里也要指明的是,电商行业中的爬虫并非只会带来负面影响,例如搜索引擎、推荐网站或者比价网站用来引流的爬虫,是可以为电商带来真实流量的,行业需要警惕和阻止的是那些影响业务的恶意爬虫。
马俊介绍道,恶意爬虫会带来的一个影响是撞库攻击,爬虫是撞库场景中最主要的一个基础设施来源,另外还有很多常见的情况,在秒杀场景下,机器人程序、爬虫帮助消费者抢购商品的过程中,商品价格可能会被竞争对手或者恶意程序来抓取,并有可能造成实际的业务影响。
通常来说,撞库的过程可以分为三个不同阶段,第一个阶段是凭据获取,通常可以从黑产或者暗网上批量购买泄露的用户名和密码;第二个阶段是凭据填充,指的是通过自动化程序来尝试这些口令;第三个阶段是账户接管,在成功登陆这些已经被验证过的用户名和口令之后,会进行人工的精细化操作,例如窃取客户的购物卡、修改收货地址或者盗取虚拟资产等等。
因此,针对不同的阶段,就有必要通过不同的方式来加以应对,例如在自动化的过程,可以采取爬虫机器人检测的手段,手工化的过程可以通过机器学习技术,针对用户行为习惯建立正常和异常模式来加以识别。
除了恶意爬虫攻击之外,金融欺诈和Magecart攻击也是电商行业经常面临的两个问题,根据Akamai的报告,有59%的零售商都报告了交易欺诈或者消费者劫持的场景,其中有15%的用户会话会被客户感知到。
而Magecart的风险则直接关系到用户的财产安全,在消费者进行在线交易的时候,需要在支付环节输入用户名和密码,黑客会通过在网站上植入代码来盗取这部分信息,进而产生安全风险。
“PCI DSS最新的支付认证也考虑到了新型攻击的风险,并且在去年特别针对这样的风险进行了新的标准制定,其中两个条款规定了所有网站运营管理者必须提供在线脚本当中的审计、授权、完整性检查和相关的材料记录,且必须有专门的团队和机制能够在出现风险的时候发出告警,并具备实施对应策略的能力。这些都是针对Magecart和消费者劫持这样的业务风险的保障。我们还是建议电商用户先提高可见性,然后进行实时的监控和治理。”马俊表示。
从攻防的角度来看,攻击者和电商企业的攻防更像是一场“猫鼠游戏”,攻击者越来越隐蔽,而电商企业则需要尽快发现对方,Akamai在报告中所强调的提高可见性,就是防守方需要具备的能力,而为了提高可见性,企业就需要拥有Akamai这样的全球平台,来提供数据分析和安全分析方面的能力。截至目前,Akamai已经在全球130多个国家和地区部署了服务器,每天接收的日常数据量都超过了150TB的规模,并且能为这些电商用户提供丰富的解决方案。
Akamai大中国区产品市场经理刘炅
除了上文中提到的AAP产品之外,Akamai针对特定的攻击场景也提供了特定的解决方案,例如AHP(Audience Hijacking Protector)的主要功能就是清除浏览器端的恶意插件。“AHP产品的原理是通过一段代码,快速在服务器端或者边缘侧进行部署,它会监控浏览器端所有的恶意插件行为,然后进行定点定向的防护。”Akamai大中华区产品市场经理刘炅介绍道。
而针对不断泛滥的爬虫攻击,Akamai则提供了BMP(Bot Management Premier)产品,该Bot管理工具可以防护包括单IP攻击、分布式攻击等各种类型的爬虫攻击。该产品在澳洲的一个提供在线电商的超市中得到了有效的应用。受疫情影响,这家超市在2020年的流量增长了200%,因此爬虫流量和撞库攻击也非常突出,但超市本身没有能力了解网站是否受到了攻击,在数据隐私法规法案的驱动下,该超市采用了Akamai的BMP产品,得到了很好的防护效果。
此外,针对账户接管的攻击方式,Akamai提供了AP(Account Protector)解决方案,该方案会构建用户画像,根据行为特征(使用设备、活跃程度、活跃时间、地理位置等)来判断用户是否合法。
对于上文中提到的钓鱼攻击方式,Akamai则提供了Brand Protector钓鱼网站解决方案,通过情报、检测、报警和报告,以及缓解四个步骤来缓解钓鱼威胁。
最后,Akamai的PIM产品则主要针对Magecart攻击和第三方脚本攻击,PIM有着对PCI合规性要求的支持能力,通过PIM产品,可以直观的看到整个攻击链条,这意味着一旦最终用户的支付信息被传到恶意域名中,可以通过PIM产品洞察到,之后商户就可以对代码进行检查,清除第三方脚本或者恶意脚本,这对代码的审核、审计来说都有着非常好的作用。
“通过技术手段和解决方案提供保护只是个开始,除了建立层次化的Web防护体系之外,电商企业也有必要建立自身的安全团队,特别是需要在应急响应方面建立完善的流程。此外,由于安全不是一个简单的事情,新的攻击方式会不断涌现,电商企业有必要选择长期的安全合作伙伴,特别是SOC(安全运营中心),来和自身的安全团队联动,去解决未来可能出现的问题。”马俊在最后表示。
网络安全态势感知
进入购买
标签:
推荐文章
- Akamai:电商行业仍旧处于网络攻击前沿,企业构筑安全壁垒任重而道远
- 国内油价将于8月9日24时起调整 或将大幅上涨
- 暴雨中,他们坚守在一线——京津冀防汛现场见闻
- 技术加持 助力百年老校跑出“加速度”
- 演唱会“现场感”无可替代
- 华微电子:7月31日融资买入322.6万元,融资融券余额3.72亿元
- 今天,地产水果以半价供给军人及烈士家属!“果品进公园”活动全体合作社发出倡议
- 7月31日基金净值:国富深化价值混合A最新净值1.7739,涨0.76%
- 皖通高速07月31日被沪股通减持37.39万股
- 雨中救援
- 绿厂 IMX890 宇宙样张简析:K 系列背刺 Find 和 Reno
- 1万台币多少人民币,台币1万元等于多少人民币
- 杨梅上火吗(杨梅上火吗一天吃几颗合适)
- 马斯克:尽管旧金山面临“末日螺旋” 但X不会搬家
- 天干地旱农作物“喊渴” 10套抽水设备送进村
- 新华全媒+|台风“卡努”逐渐增强,将带来哪些影响?
- 贵烟价格_贵烟
- 东诚药业:收到化学原料药达肝素钠上市申请批准通知书
- 火箭13人名单仍存变数?队记分析4将或换球星:合同操作性非常强
- 白云山汉方收到精制橄榄油化学原料药上市申请批准通知书
- 黄金水道撑起黄金经济带
- 三棵树(603737.SH):第四期员工持股计划存续期延长至2024年10月12日
- 东风股份(601515)7月31日主力资金净卖出713.22万元
- 上半年规模以上电子信息制造业增加值与去年同期持平 集成电路产量1657亿块同比下降3%
- 日播时尚7月31日盘中涨幅达5%
- 北京丰台站开往太原邯郸等方向9趟列车停运,多趟列车晚点
- 腾讯健康与葛兰素史克达成战略合作 以数字科普生态助力老龄健康
- 2023天津静海区实施学位控制的学校+时间
- 比音勒芬(002832)品牌运营领跑行业,全年业绩预计快速增长
- C舜禹董秘回复:公司的节能错峰智慧供水系统是新型城镇化建设的重要组成之一
- 液体荣获TI 10冠军 传奇选手Larl:成长50% 继续变得更强
- 内蒙古让新能源“发得出供得上用得好”
- 注意!石家庄城区这些路段积水断交
- 游戏大曝光!《失落之魂》RTX光追预告片发布
- 游泳世锦赛丨男子4x100米混合泳接力:中国队获得亚军
- 暴风雨中他们坚守在一线 网友:这就是中国军人
- 美联储卡什卡利:经济将放缓但通胀前景“积极”
- 2020年丰田花冠Altis的订购书开放
- 今日起至10月8日 六朝博物馆取消“周一闭馆”
- 上海灵活就业养老保险缴费标准(最新)
- 刚刚!湖北省发布地质灾害气象风险预警,这些地方注意了!
- 蔚来回应雷军抽奖来龙去脉原来雷军的蔚来汽车也在排队当中
- 大湾区—东盟经济合作倡议在深圳前海发布 签下35亿元投资意向金
- 涂磊被指诽谤性侵,举报人精神病
- 作者退圈还会写书么知乎(作者退圈还会写书么)
- 英联股份股东户数增加61.58%,户均持股11.33万元
- 韦姓的来源和历史(韦姓)
- 天津市最大降雨量已达132.7毫米
- 俄称乌利用25架无人机对克里米亚地区发动袭击 目前乌方暂未就此进行回应
- 游戏周报:7月版号正式下发;2023上半年中国游戏市场收入1442.63亿元
- 北京市大兴区发布雷电黄色预警
- 湖北黄石举办首届生物医药产业检验检测技能大赛
- 完美邻居_关于完美邻居介绍
- 7月29日最佳情报|壹粉打卡成都大运会,直击雨后济南孟家巷!
最新资讯
- jalan是什么地方(jalan订房中文)
- 假的!刚刚,辟谣了!
- 福建厦门已结束“三停一休” 生产生活有序恢复
- 科力远:年产3万吨电池级碳酸锂项目达成首期建设目标
- 第一杯奶茶什么意思_第一杯奶茶意思是什么
- 夏天家常菜菜谱_适合夏天的菜谱家常
- 可以开红字发票(没有找到相应的店铺信息)
- 虎骨四斤丸(关于虎骨四斤丸简述)
- 俄将在非洲多国开设大学分校,并建多个俄语教育中心
- 广东一菜市场,摊贩“偷听”到女子的通话内容,急得赶紧报警!
- 世茂集团:2022年股东应占核心业务亏损同比降约44.8% 申请7月31日恢复交易
- 网上赚钱方法淘宝赔付等等(网上赚钱方法)
- 6月我国国际收支货物和服务贸易进出口规模39147亿元
- 8月3日再次开放《全境封锁 2》体验服
- 先睹为快!成都大运会观赛指南来了
- 港股贴近20000点关口 创逾一个月收市新高
- 岭南控股(000524):7月28日北向资金减持600股
- 瓦尔基里官宣《火影忍者》联名版 VK87 机械键盘,ChinaJoy 发布
- 股票行情快报:二六三(002467)7月28日主力资金净卖出988.17万元
- 西部超导:目前公司高端钛合金、超导产品、高性能高温合金三个板块订单均较为充足
- 泪目!女足22岁新星拼到抽筋被换,2次强突破局,央视盛赞:梅西
- 2023年7月28日9,10蒽醌价格最新行情预测
- 漳州:严阵以待 全力应对台风“杜苏芮”
- 蒙草生态:联合预中标2.25亿元环境综合提升改造工程
- 7月券商调研路线图曝光,这些绩优股获关注
- 公共|西安市雁塔区2023年广场舞大赛:绽放群众创作演出的“舞林盛会”
- 农业农村部关注菜篮子工程建设“扬州模式”,背后有什么秘诀?
- 甘肃2023二建考试查分入口
- 东方铁塔:公司及全资子公司合计中标约1.06亿元国家电网采购项目
- 【高清组图】昆明发布暴雨Ⅲ级预警
- 昭通市昭阳区:展出好盆景 展示好技艺
- 四川经济频道麻辣烫回看 四川经济频道麻辣烫
- 西红柿炒土豆丝危害(西红柿炒土豆丝的做法)
- 志愿服务提升社区消防安全
- 上海市消保委点名妙鸭相机不退款涉嫌侵害公平交易权
- 2023版熊猫金币30克今天报价(2023年07月28日)
- 今日176只个股突破半年线
- 美国90岁高龄参议员会上“大脑短路” 被提醒才知要投票
- 吴易昺不敌头号种子弗里茨 无缘亚特兰大站八强
- 审美真在线!比亚迪B级纯电猎装SUV宋L谍照曝光:20万或卖爆
- 7月28日 早报 一句话看世界
- 桃园飘香迎客来 江西莲花农旅结合助农增收
- 5-3复仇,伪豪门12年首胜,狂射19脚解气,巴萨摆脱无梅西后遗症
- 高德打车等多家网约车、聚合平台被约谈 “杨国福麻辣烫”等餐企被要求整改
- 华致酒行07月27日获深股通增持7.3万股
- 千城百县看中国|福建永春:古厝里的荷花池
- 多地客运站、公交关停调整,村民出行需求如何满足?
- 阿尔法音乐真的有用吗秒懂百科(阿尔法音乐真有用么)
- 能同时贷款买两套房吗(同时贷款买两套房有什么弊端)
- 执敲扑而鞭笞天下通假字(过秦论 中 ldquo 执敲扑而鞭笞天下 rdquo 的解释)