網(wǎng)絡(luò)攻擊甚囂塵上,電商平臺如何高效構(gòu)筑自身安全防御體系?
責(zé)編:gltian |2023-07-25 16:03:29據(jù)Akamai最新報告統(tǒng)計,2022年1月份至2023年3月底,該平臺所監(jiān)測到的攻擊量達(dá)145 億次,其中電商行業(yè)占比34%。在全球范圍內(nèi),電商行業(yè)仍然是網(wǎng)絡(luò)攻擊最主要的目標(biāo)行業(yè),而中國也是亞太地區(qū)被攻擊的主要目標(biāo)之一。
電商行業(yè)受到的攻擊種類多種多樣,電商平臺想要高效構(gòu)筑自身安全防御體系,就需要了解主要面臨的網(wǎng)絡(luò)安全風(fēng)險有哪些,以及如何做有針對性的防護(hù)?Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊和Akamai大中國區(qū)產(chǎn)品市場經(jīng)理劉炅就此作出了以下分析及解讀。
Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊
馬俊表示,Akamai通過分析145億次攻擊之后看到,大部分的攻擊都和Web應(yīng)用和API的攻擊相關(guān)。
這其中排名第一的攻擊種類是本地文件包含 (LFI) 攻擊,超過了SQL 注入 (SQLi)成為最常用于商業(yè)行業(yè)的攻擊媒介。服務(wù)器端請求偽造 (SSRF) 、服務(wù)器端模板注入 (SSTI) 和服務(wù)器端代碼注入等攻擊媒介也變得越來越流行。它們對電商企業(yè)和其他垂直行業(yè)構(gòu)成了嚴(yán)重威脅,不僅妨礙在線銷售,還會損害公司聲譽(yù)。
針對這些風(fēng)險,Akamai提供了對應(yīng)的建議,希望電商行業(yè)安全團(tuán)隊能夠更加注重這些攻擊的種類,特別是在紅藍(lán)對抗或者是滲透測試過程當(dāng)中,針對本地文件注入、SSRF等攻擊形式做專項的測試和加固,同時也希望有針對性地開展SOC聯(lián)動的應(yīng)急響應(yīng)的演練,從而能夠提供即時有效的保護(hù)。
對于如何提升Web應(yīng)用和API的防護(hù),Akamai的建議是先提高可見性,然后再去針對性地實施策略,簡單來說就是“先可見,再落地”。
API防護(hù)可以分為四個不同的層次:第一是先發(fā)現(xiàn),了解API的應(yīng)用有哪些;第二是DDoS的防護(hù),無論是網(wǎng)絡(luò)防護(hù)還是速率控制防護(hù),把大量好識別、好攔截的部分給過濾掉;第三是精細(xì)化的工作,做具有針對性、細(xì)粒度的防護(hù),這是指針對請求的異常情況,可以做異常行為檢查或者針對性的策略檢查。特別是API,它會有對應(yīng)的API格式以及參數(shù),通過針對異常的檢查就可以細(xì)粒度的控制請求;第四是業(yè)務(wù)層的治理,包括針對異常流量,比如來自爬蟲的流量,或者是API的權(quán)限管理,在數(shù)據(jù)中心的“家門口”去控制最后一步的檢測,從而能夠?qū)崿F(xiàn)整個API和Web應(yīng)用防護(hù)的安全治理,確保最終進(jìn)入數(shù)據(jù)中心的流量是干凈、正常的。
惡意爬蟲和釣魚攻擊
爬蟲攻擊、釣魚攻擊對電商行業(yè)造成的影響非常巨大,由于電商業(yè)務(wù)非常復(fù)雜,辨別惡意爬蟲行為和釣魚行為頗有難度。馬俊表示,Akamai平臺關(guān)注到的釣魚行為中,有1/3來源于電商行業(yè);惡意爬蟲動作也越來越多,過去15個月達(dá)到了5萬億次的規(guī)模。很多惡意爬蟲攻擊會偽裝成正常的行為,且爬蟲非常容易變形,單一的處理方式對防御爬蟲是無效的。
針對爬蟲方面的業(yè)務(wù)場景的治理,以常見的撞庫攻擊為例,馬俊表示,在不同階段,需要有不同方式去應(yīng)對。比如自動化攻擊過程中,可以采取爬蟲機(jī)器人檢測的手段,手工化攻擊的過程需要通過機(jī)器學(xué)習(xí),針對用戶行為習(xí)慣建立正常和異常的模型去識別等。
Akamai大中國區(qū)產(chǎn)品市場經(jīng)理 劉炅
針對釣魚攻擊,劉炅表示,Akamai可以通過簡單的四步進(jìn)行防護(hù)。首先Akamai有一個龐大的情報系統(tǒng),可以知道互聯(lián)網(wǎng)上有哪些惡意的域名,Akamai承接了全球1/3的互聯(lián)網(wǎng)流量和DNS的解析,也有來自于權(quán)威第三方情報,來加強(qiáng)判斷有沒有惡意的網(wǎng)站名稱。
Akamai還有人工智能的檢測方法,它會去構(gòu)建有可能是釣魚網(wǎng)站的域名,從而達(dá)到檢測到釣魚網(wǎng)站的目的。同時具備緩解的功能,幫助受到攻擊的客戶下線釣魚網(wǎng)站,形成一整套的閉環(huán)解決方案。
劉炅表示,針對電商購物全過程遇到的安全問題,Akamai有一整套的解決方案,可以幫助電商平臺高效地構(gòu)筑自身的安全防御體系。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧