据Akamai最新报告统计,2022年1月份至2023年3月底,该平台所监测到的攻击量达145 亿次,其中电商行业占比34%。在全球范围内,电商行业仍然是网络攻击最主要的目标行业,而中国也是亚太地区被攻击的主要目标之一。
电商行业受到的攻击种类多种多样,电商平台想要高效构筑自身安全防御体系,就需要了解主要面临的网络安全风险有哪些,以及如何做有针对性的防护?Akamai大中华区企业事业部高级售前技术经理马俊和Akamai大中国区产品市场经理刘炅就此作出了以下分析及解读。
Akamai大中华区企业事业部高级售前技术经理 马俊
马俊表示,Akamai通过分析145亿次攻击之后看到,大部分的攻击都和Web应用和API的攻击相关。
这其中排名第一的攻击种类是本地文件包含 (LFI) 攻击,超过了SQL 注入 (SQLi)成为最常用于商业行业的攻击媒介。服务器端请求伪造 (SSRF) 、服务器端模板注入 (SSTI) 和服务器端代码注入等攻击媒介也变得越来越流行。它们对电商企业和其他垂直行业构成了严重威胁,不仅妨碍在线销售,还会损害公司声誉。
针对这些风险,Akamai提供了对应的建议,希望电商行业安全团队能够更加注重这些攻击的种类,特别是在红蓝对抗或者是渗透测试过程当中,针对本地文件注入、SSRF等攻击形式做专项的测试和加固,同时也希望有针对性地开展SOC联动的应急响应的演练,从而能够提供即时有效的保护。
对于如何提升Web应用和API的防护,Akamai的建议是先提高可见性,然后再去针对性地实施策略,简单来说就是“先可见,再落地”。
API防护可以分为四个不同的层次:第一是先发现,了解API的应用有哪些;第二是DDoS的防护,无论是网络防护还是速率控制防护,把大量好识别、好拦截的部分给过滤掉;第三是精细化的工作,做具有针对性、细粒度的防护,这是指针对请求的异常情况,可以做异常行为检查或者针对性的策略检查。特别是API,它会有对应的API格式以及参数,通过针对异常的检查就可以细粒度的控制请求;第四是业务层的治理,包括针对异常流量,比如来自爬虫的流量,或者是API的权限管理,在数据中心的“家门口”去控制最后一步的检测,从而能够实现整个API和Web应用防护的安全治理,确保最终进入数据中心的流量是干净、正常的。
恶意爬虫和钓鱼攻击
爬虫攻击、钓鱼攻击对电商行业造成的影响非常巨大,由于电商业务非常复杂,辨别恶意爬虫行为和钓鱼行为颇有难度。马俊表示,Akamai平台关注到的钓鱼行为中,有1/3来源于电商行业;恶意爬虫动作也越来越多,过去15个月达到了5万亿次的规模。很多恶意爬虫攻击会伪装成正常的行为,且爬虫非常容易变形,单一的处理方式对防御爬虫是无效的。
针对爬虫方面的业务场景的治理,以常见的撞库攻击为例,马俊表示,在不同阶段,需要有不同方式去应对。比如自动化攻击过程中,可以采取爬虫机器人检测的手段,手工化攻击的过程需要通过机器学习,针对用户行为习惯建立正常和异常的模型去识别等。
Akamai大中国区产品市场经理 刘炅
针对钓鱼攻击,刘炅表示,Akamai可以通过简单的四步进行防护。首先Akamai有一个庞大的情报系统,可以知道互联网上有哪些恶意的域名,Akamai承接了全球1/3的互联网流量和DNS的解析,也有来自于权威第三方情报,来加强判断有没有恶意的网站名称。
Akamai还有人工智能的检测方法,它会去构建有可能是钓鱼网站的域名,从而达到检测到钓鱼网站的目的。同时具备缓解的功能,帮助受到攻击的客户下线钓鱼网站,形成一整套的闭环解决方案。
刘炅表示,针对电商购物全过程遇到的安全问题,Akamai有一整套的解决方案,可以帮助电商平台高效地构筑自身的安全防御体系。