自新冠疫情以来,电商行业的发展进程加快,业务不断扩展的同时,新的网络安全问题也不断地暴露出来:
一方面,电商的互联网特性使其网络安全风险面扩大;另一方面,不同规模的电商对安全的重视程度和技术能力都有很大差异,这导致他们的安全防护水平参差不齐。
传统的网络安全防护手段已经难以应对当前电商场景不断发展的新局面,类似恶意爬虫、勒索软件这样的网络攻击已经呈现常态化。
电商如何做好防护,减少这类网络攻击带来的损失?就此问题,记者专访了Akamai大中华区企业事业部高级售前技术经理马俊和大中国区产品市场经理刘炅。
互联网攻击升级
早在2020年,Akamai就针对电商行业提出了关于互联网威胁在数量以及攻击规模都有显著提升的预警。
在最新的SOTI报告当中,Akamai统计了2022年1月至2023年3月Akamai整体平台的攻击数据,电商行业成为互联网攻击最主要的行业,占比达到34%,这说明电商行业依然是互联网黑客以及相关黑客产业重点关注的对象。
Akamai大中华区企业事业部高级售前技术经理 马俊
马俊解释道,疫情期间线上业务暴涨,特别是数字化转型脚步进一步加快,在这种趋势背景下,越来越多的在线交易被黑客、黑客产业所关注也是必然。所以在报告中数据显示有1/4的攻击规模指向中国,仅次于印度,成为亚太地区第二位的攻击目标。
关于攻击的形态变化,马俊指出:
第一,我们通过分析140亿次攻击得出结论,大部分的攻击都与Web应用和API的攻击相关。这其中排名第一的攻击种类是本地文件包含,这种攻击形态相比上一次2020年发布的报告增长超过3倍,超过了SQL注入这种攻击形态,升至第一位。
其次我们也发现三种服务器端的攻击形态成为主流,分别是服务端的请求伪造、服务器端的模板注入和服务器代码注入,这几种新型的服务器端攻击成为了主要的攻击形态。
对于如何做好Web应用和API的防护,Akamai的建议是大家要先提高可见性,然后再去针对性地实施策略,简单来说就是“先可见,再落地。”
进阶的攻防战
报告中提到,恶意爬虫和钓鱼攻击非常严重。在Akamai平台关注到的钓鱼行为当中,有1/3来源于电商行业的钓鱼。恶意爬虫动作越来越多,过去15个月达到了5万亿次的规模。
在电商行业中, Magecart攻击形态在不断增加,它是在线盗取用户信用卡信息、个人支付信息的一种手段。
Akamai针对PCI DSS的支付安全规范在PIM产品中实现了对合规要求的支持功能,让客户能够监控和跟踪脚本的安全问题,从而保证支付的安全。
Akamai大中国区产品市场经理 刘炅
针对行业经常遇到的攻击类型,刘炅总结道:
第一,电商行业的客户受到的攻击种类是多种多样的。
第二,恶意爬虫攻击、钓鱼攻击,还是电商行业遇到的最大威胁。
第三,API攻击已经成为了Web应用安全的一个新焦点。
第四,对于电商网站而言,第三方脚本以及和第三方脚本相关支付方面的安全攻击越来越多。
对此,Akamai有一整套的解决方案,比如使用AAP(Web防火墙)防范Web应用类攻击,使用AHP应对消费者劫持,使用BMP (Bot Manager Premier)防护爬虫类攻击,使用AP/BP产品防护账户接管、钓鱼类的攻击,使用PIM(页面完整性)防护Magecart攻击。
安全治理的重点
大部分电商都会针对互联网的流量进行有效的管控和治理,简单来说,就是他们会搭建基于互联网或者基于云端的Web访问控制。这种治理会在互联网外部,在云端搭建不同的防护层次。
马俊表示,云端治理的好处就是能第一时间发现异常和问题,并且实施有效的安全策略控制,将恶意行为在“当地”就进行处理,不会把这些恶意的流量透传到电商企业的数据中心,所以在云端进行有效治理是一个共识。
接下来是相对精细化的管理。把用户请求当中的一些细节、参数和明显恶意的报文识别出来,然后通过应用层防火墙去检查并管控,发现之后就丢弃掉。
再往后是爬虫,它是从流量来源进行检查,识别是人的行为还是机器的行为。通过这种判断,做进一步的特征和策略治理,把流量进一步收窄,从互联网到数据中心形成一个漏斗,做整体管控。
刘炅补充道,从安全治理的角度来看,首先需要构建一个基础的Web应用安全平台,不仅适用于电商行业,也适用于其他行业。我们可以参考Gartner报告中提到的WAAP架构,考虑Web应用的安全问题、API的安全、爬虫安全以及应用层DDoS的安全。通过这个平台,我们可以建立一个最基础的Web应用安全基础。
对于电商行业的特点,恶意爬虫是最头疼的问题之一。因此,需要构建基于爬虫的可视化能力,对爬虫进行监测和阻断。如果支付环节存在类似问题,需要更为重点关注支付模块的安全问题和第三方脚本的安全问题。
同时,电商行业有一些特殊性,如促销季节会有攻击形式和形态的变化。因此,在促销季节期间需要重点保护安全能力和服务器承载能力,建立应急服务响应能力,以构建一个完善的体系。
