化解电商行业安全新挑战 Akamai提供全面的方法论和解决方案

电商是互联网行业的重要业务形态，特别是随着直播等新形态的出现，电商行业的发展也迎来新的发展动能，在这一过程中，安全风险也随之增加。

Akamai大中华区企业事业部高级售前技术经理马俊告诉记者，在Akamai最新发布的SOTI报告当中，电商行业成为过去15个月期间，获得互联网攻击最主要的行业，占比达到34%。Akamai统计了145亿次的攻击，其中有34%的攻击都指向了在线电子商务行业，特别是62%是在线零售相关的。电商行业依然是互联网黑客以及相关黑产重点关注的对象。在区域方面，中国仅次于印度，成为了亚太或者说环太平洋地区第二位的攻击目标。

Akamai大中华区企业事业部高级售前技术经理 马俊

电商行业的新安全挑战

在线购物之旅中，通常用户会访问购物主页，浏览它的品类，不断地浏览商品，对感兴趣的产品进行加购物车锁定订单的操作。在支付之前还会涉及到登陆，如果要是经常访问的网站可能会自动登陆。在这个过程当中，非常多的业务风险潜藏在用户的在线行为当中。

有些用户的浏览器安装了插件进行比价和折扣，这个插件在无形当中就已经把用户的个人隐私和相关的数据进行了偷窃，特别是有可能还会有欺诈的行为，引导用户去恶意网站进行支付行为。在登陆环节，在线购物网站的相关信息有可能就会被账户接管攻击。

在支付环节，除了常见的钓鱼攻击，Magecart这种攻击形态也不断涌现，其是在线盗取用户信用卡信息、个人支付信息的一种手段。在过去一年当中Akamai发现有超过1万个网站存在Magecart的风险。

PCI DSS最新的支付认证也考虑到了这样一个新型攻击的风险，并且在2022年特别针对这样的风险进行了新的标准制定。比如所有网站运营管理者都必须得能提供在线脚本当中的审计、授权、完整性检查和相关的材料记录。

马俊介绍说，钓鱼和爬虫带来的危害越来越大。在整个Akamai平台关注到的钓鱼行为当中，有1/3来源于电商行业。同时，恶意爬虫动作越来越多，过去15个月达到了5万亿次的规模。

当然爬虫也有正常的搜索引擎的爬虫，这些爬虫会带来真实的业务。但是在秒杀场景下，机器人程序和爬虫帮助我们抢购商品，或者说在线商品的价格被竞争对手或者是一些恶意的程序爬取，这些都会造成实际的业务影响。

在账户接管攻击中，恶意爬虫是撞库当中最主要的一个基础设施来源。“在做任何决策之前，我们需要知道这个危险来自于哪里，也就是说提高可见性，进行实时的监控和治理。在浏览器当中针对所有的脚本运行进行动态的行为抓取和危险预警，并且在事中提供拦截和告警的能力。”马俊说。

此外，勒索软件是电商行业重要的安全威胁之一，需要电商企业重点关注。因为电商行业手中拥有大量的用户数据和交易信息，这些都是需要额外关注和保护的。

AIGC成为业界讨论的焦点，电商行业也跃跃欲试。一方面黑客利用AIGC技术提高开发黑产工具的生产率和效率，同时安全厂商也在利用AI大模型提升安全防护水平。这也让攻防更加复杂，无疑也给电商企业造成了困扰。

Akamai的方法论

Akamai注意到，电商行业大部分的攻击都和Web应用和API相关，这种攻击形态主要是因为服务器端的新型漏洞造成。并且三种服务器端的攻击形态成为主流，分别是服务端的请求伪造、服务器端的模板注入和服务器代码注入。

因此，电商行业的安全团队应该针对本地文件注入、SSRF这种攻击形式进行专项的测试和加固，以及SOC联动的应急响应的演练。

马俊表示，Akamai具有成型的方法论，帮助用户提升Web应用和API的防护，也就是“先可见，再落地。”具体来说：

一是先发现，知道API有哪些、在哪里，包括已知和未知API。

二是进行DDOS的防护，防止API被滥用，无论是网络防护还是速率控制防护，把大量好识别、好拦截的部分给过滤掉。

三是精细化的细粒度工作，针对请求的异常情况进行针对性的策略检查，特别是API，它会有对应的API格式以及对应的参数，通过异常的检查和控制API请求。

四是业务层的治理，针对异常流量，比如来自于爬虫方面的流量或者API的权限管理，在数据中心的“家门口”控制最后一步的检测，通过Web防护体系控制最终进到数据中心的流量是干净和正常的，从而能够实现整个API和Web应用防护的治理过程。

通常，企业都会对互联网的流量进行有效的管控和治理，基于云端进行Web访问控制并在边缘部署安全策略。云端治理的好处是第一时间发现异常和问题，并且实施有效的安全策略控制，将恶意行为“在当地”就进行处理，不会把这些恶意的流量透传到电商企业的数据中心。

马俊说，云端治理需要层次化、精细化的管理。攻击的数量、规模、种类、手段呈几何级数增长，需要企业不断关注并及时采用最新的防护手段应对新出现的安全威胁。

Akamai大中国区产品市场经理 刘炅

Akamai大中国区产品市场经理刘炅补充说，从安全治理的角度来看，电商企业需要构建一个基础的Web应用安全平台。电商行业具有自身的特殊性，如促销季节会有攻击形式和形态的变化。因此，在促销季节期间需要重点保护安全能力和服务器承载能力，建立应急服务响应能力，以构建一个完善的体系。

总之，电商企业需要建立一支完整的安全团队，完善应急响应流程，并选择一个长期的安全合作伙伴，实现联动，解决更复杂、更隐蔽的问题。

Akamai的电商安全解决方案

总体看，电商行业客户受到的攻击种类是多种多样的，像爬虫攻击、钓鱼攻击是电商用户遇到的最大威胁。API攻击已经成为了Web应用安全的一个新的焦点。对于电商网站而言，第三方脚本以及和第三方脚本相关的支付方面的安全攻击也越来越多。

针对整个电商购物过程所遇到的安全问题，Akamai提供了一整套的解决方案。

针对Web应用类攻击，Akamai提供了Web防火墙产品；针对消费者劫持，Akamai提供了AHP（Audience Hijacking Protector）产品，清除浏览器端的恶意浏览器插件；针对爬虫类攻击，Akamai提供了Bot Manager Premier（BMP）进行防护；面对Magecart攻击（表单劫持类攻击），Akamai会通过PIM（Page Integrity Manager）来进行防护。

针对账户攻击，Akamai提供账户接管（ATO）解决方案；针对钓鱼攻击，Akamai提供Brand Protector方案。

治理勒索软件的一个基本方法就是严格控制企业内部东西向流量，因为勒索软件进入到企业内网当中，要寻找数据源目标进行横向平移。Akamai的方法是通过网络微分段的方式，建立东西向流量的监控能力，实现对勒索软件重要的扩散环节进行管控和拦截，从而阻止勒索软件扩散。

针对Magecart攻击，Akamai通过页面完整性的保护产品PIM（Page Integrity Manager），能够帮助电商客户或者支付服务商在用户浏览器端监控和发现这种恶意行为，并且第一时间告警，阻止这样的行为产生数据泄露、信用卡的数据丢失，以及保护用户的资产、支付公司和电商行业的信用风险。

电商企业选择SaaS服务成为趋势，但这会导致信息安全的风险，也就是供应链风险或者供应链安全问题。Akamai提供零信任解决方案，做到基于边缘代理应用层的访问控制EAA（Enterprise Application Access），帮助用户解决供应链或者第三方访问的问题。

刘炅表示，Akamai承接了全球1/3的互联网流量和DNS解析，包括第三方的情报的加强，判断恶意的钓鱼网站，并通过人工智能方式进行检测。

作为一家全球公司，Akamai在全球各地都与当地进行信息安全、数据合规和隐私保护方面的持续改善和适应最新的法律法规的平台发展，为客户提供符合当地监管要求的供应商，并符合法律法规的监管要求。