作为一种通过互联网平台实现商品销售和交易的商业模式,电商行业在近年来可谓是发展迅猛,其规模正在随着互联网的普及不断扩大,不过,在整个电商行业极速发展的同时,也不可避免地面临着网络安全风险,且有愈演愈烈之势。
(资料图片)
Akamai大中华区企业事业部高级售前技术经理马俊
“Akamai为电商行业提供相关互联网安全威胁的研究已经有十余年了,在最新的SOTI报告中,我们统计了从2022年1月到2023年3月的15个月内整体平台的攻击情况进行了汇总,发现电商行业成为了这15个月期间受到互联网攻击的最主要的行业,占比达到了34%,有统计的145亿次攻击中,有34%的攻击都指向了电子商务行业,特别是62%是针对在线零售相关的。”Akamai大中华区企业事业部高级售前技术经理马俊近日在接受采访时表示。
值得一提的是,在Akamai的报告中,还特别指出中国成为了亚太乃至环太平洋地区受攻击次数最多的地区之一,仅次于印度,这意味着即便是在疫情的尾声期间,电商行业仍然是互联网黑客和相关黑产重点关注的对象。
“这和我们2020年发布报告时的预测相同,疫情期间广大企业倾向于把自身的业务部署到线上,特别是在数字转型的背景趋势之下,业务上云的速度变得比以往更快,因此越来越多的在线交易都会被黑客和黑产所关注,这也造成了其中1/4的攻击都指向了中国。”马俊补充道。
从攻击方式的角度来看,大部分的攻击都和Web应用攻击和API攻击相关,其中排名第一的攻击种类是本地文件包含的攻击形态,而非过去的SQL注入。报告显示,通过进一步分析,这种攻击形态主要是因为服务器端的新型漏洞引起,黑客会利用本地文件引用来进行网络扫描或者情报收集。
服务器端面临的威胁不止如此,报告中显示,服务器端的请求伪造、模板注入和服务器代码注入这几种服务器端的攻击形态正在成为主流。针对这些风险,Akamai也在报告中建议电商行业的IT运营及安全团队能够更加注重这些攻击的种类,特别是红蓝对抗或者渗透测试过程中,需要针对本地文件包含、SSRF这种攻击形式进行专项的测试和加固,并有针对性地进行SOC联动的应急响应的演练,从而提供针对这部分的保护。
而针对API的防护,Akamai给出的建议是先提高可见性,然后针对性地实施策略,也就是“先可见,再落地”。
具体来说,API防护可以分为四个层次,第一个层次是API的可见性与概况,首先要知道API有哪些、在哪里。
第二个层次主要针对了解API应用之后进行的DDoS防护,无论是网络防护还是速率控制防护,都可以把大量好识别、好拦截的部分过滤掉。
第三个层次则是通过精细化的工作,来进行针对性和细粒度的防护。这部分主要涉及到预定义API规格来进行请求限制,以及通过自动检查JSON和XML请求来检测攻击。
最后一个层次是业务层的治理,包括针对异常流量如爬虫流量,以及API权限管理,在数据中心的家门口来进行最后一步的检测,从而实现整个API和Web应用防护的治理。
值得一提的是,Akamai针对电商安全有着一整套完善的解决方案,例如其AAP产品,也就是外界熟知的Web防火墙产品,就是用来防范基于Web应用类攻击的本地文件包含、SQL注入、SSRF等攻击行为的。
针对在线购物的行为本身,消费者访问购物主页,浏览并进行购买商品的过程中也存在一些风险,例如一些浏览器的比价/低价插件在无形中会把用户的个人隐私和相关数据进行窃取,还可能涉及到引导用户去恶意网站进行支付的欺诈行为。
除此之外,在在线购物过程中还有一些其他的风险,例如:在购物季的抢购活动中,很多恶意用户会通过不法方式来抢占这些商品进行倒卖;登陆环节中,很多用户的用户名和密码在多个网站是共用的,这就造成了一旦有一处泄露,购物网站的相关信息就可能被盗取;部分攻击者会通过钓鱼邮件,以提供优惠券等形式来诱导消费者进行点击;以及在支付环节,数量正在不断上升的Magecart攻击形式……这些都是日常购物中可能遇到的潜在风险。
针对这些问题,Akamai在报告中也给出了一系列建议,以爬虫和钓鱼攻击为例,根据报告,在整个Akamai平台关注到的钓鱼行为中,有1/3来源于电商行业;而恶意爬虫方面,在统计的15个月达到了5万亿次的规模。
不过这里也要指明的是,电商行业中的爬虫并非只会带来负面影响,例如搜索引擎、推荐网站或者比价网站用来引流的爬虫,是可以为电商带来真实流量的,行业需要警惕和阻止的是那些影响业务的恶意爬虫。
马俊介绍道,恶意爬虫会带来的一个影响是撞库攻击,爬虫是撞库场景中最主要的一个基础设施来源,另外还有很多常见的情况,在秒杀场景下,机器人程序、爬虫帮助消费者抢购商品的过程中,商品价格可能会被竞争对手或者恶意程序来抓取,并有可能造成实际的业务影响。
通常来说,撞库的过程可以分为三个不同阶段,第一个阶段是凭据获取,通常可以从黑产或者暗网上批量购买泄露的用户名和密码;第二个阶段是凭据填充,指的是通过自动化程序来尝试这些口令;第三个阶段是账户接管,在成功登陆这些已经被验证过的用户名和口令之后,会进行人工的精细化操作,例如窃取客户的购物卡、修改收货地址或者盗取虚拟资产等等。
因此,针对不同的阶段,就有必要通过不同的方式来加以应对,例如在自动化的过程,可以采取爬虫机器人检测的手段,手工化的过程可以通过机器学习技术,针对用户行为习惯建立正常和异常模式来加以识别。
除了恶意爬虫攻击之外,金融欺诈和Magecart攻击也是电商行业经常面临的两个问题,根据Akamai的报告,有59%的零售商都报告了交易欺诈或者消费者劫持的场景,其中有15%的用户会话会被客户感知到。
而Magecart的风险则直接关系到用户的财产安全,在消费者进行在线交易的时候,需要在支付环节输入用户名和密码,黑客会通过在网站上植入代码来盗取这部分信息,进而产生安全风险。
“PCI DSS最新的支付认证也考虑到了新型攻击的风险,并且在去年特别针对这样的风险进行了新的标准制定,其中两个条款规定了所有网站运营管理者必须提供在线脚本当中的审计、授权、完整性检查和相关的材料记录,且必须有专门的团队和机制能够在出现风险的时候发出告警,并具备实施对应策略的能力。这些都是针对Magecart和消费者劫持这样的业务风险的保障。我们还是建议电商用户先提高可见性,然后进行实时的监控和治理。”马俊表示。
从攻防的角度来看,攻击者和电商企业的攻防更像是一场“猫鼠游戏”,攻击者越来越隐蔽,而电商企业则需要尽快发现对方,Akamai在报告中所强调的提高可见性,就是防守方需要具备的能力,而为了提高可见性,企业就需要拥有Akamai这样的全球平台,来提供数据分析和安全分析方面的能力。截至目前,Akamai已经在全球130多个国家和地区部署了服务器,每天接收的日常数据量都超过了150TB的规模,并且能为这些电商用户提供丰富的解决方案。
Akamai大中国区产品市场经理刘炅
除了上文中提到的AAP产品之外,Akamai针对特定的攻击场景也提供了特定的解决方案,例如AHP(Audience Hijacking Protector)的主要功能就是清除浏览器端的恶意插件。“AHP产品的原理是通过一段代码,快速在服务器端或者边缘侧进行部署,它会监控浏览器端所有的恶意插件行为,然后进行定点定向的防护。”Akamai大中华区产品市场经理刘炅介绍道。
而针对不断泛滥的爬虫攻击,Akamai则提供了BMP(Bot Management Premier)产品,该Bot管理工具可以防护包括单IP攻击、分布式攻击等各种类型的爬虫攻击。该产品在澳洲的一个提供在线电商的超市中得到了有效的应用。受疫情影响,这家超市在2020年的流量增长了200%,因此爬虫流量和撞库攻击也非常突出,但超市本身没有能力了解网站是否受到了攻击,在数据隐私法规法案的驱动下,该超市采用了Akamai的BMP产品,得到了很好的防护效果。
此外,针对账户接管的攻击方式,Akamai提供了AP(Account Protector)解决方案,该方案会构建用户画像,根据行为特征(使用设备、活跃程度、活跃时间、地理位置等)来判断用户是否合法。
对于上文中提到的钓鱼攻击方式,Akamai则提供了Brand Protector钓鱼网站解决方案,通过情报、检测、报警和报告,以及缓解四个步骤来缓解钓鱼威胁。
最后,Akamai的PIM产品则主要针对Magecart攻击和第三方脚本攻击,PIM有着对PCI合规性要求的支持能力,通过PIM产品,可以直观的看到整个攻击链条,这意味着一旦最终用户的支付信息被传到恶意域名中,可以通过PIM产品洞察到,之后商户就可以对代码进行检查,清除第三方脚本或者恶意脚本,这对代码的审核、审计来说都有着非常好的作用。
“通过技术手段和解决方案提供保护只是个开始,除了建立层次化的Web防护体系之外,电商企业也有必要建立自身的安全团队,特别是需要在应急响应方面建立完善的流程。此外,由于安全不是一个简单的事情,新的攻击方式会不断涌现,电商企业有必要选择长期的安全合作伙伴,特别是SOC(安全运营中心),来和自身的安全团队联动,去解决未来可能出现的问题。”马俊在最后表示。