DDoS激增，Akamai为金融行业筑起安全防线 原创

金融服务行业在积极拥抱新技术的同时，始终是安全威胁的重灾区。

Akamai最近发布了《应对安全威胁狂潮：金融服务业的攻击趋势》的互联网现状(SOTI)报告，总结了2024互联网安全的五大重点趋势：第一，金融服务机构在第三/第四层DDoS攻击事件当中占比最高，达到了34%；第二，API的使用量上升引发了第七层DDos攻击的上升；第三，流量的急剧增加，凸显了根据DDoS攻击的频率和流量大小来评估应对方案的必要性；第四，针对金融机构进行欺诈的可疑域名占整个欺诈域名总数的36%；第五，30%的访问页面中，存在钓鱼行为或访问伪造、假冒网站的情况。

Akamai资深解决方案技术经理 马俊

Akamai资深解决方案技术经理马俊认为，金融行业面临着比之前更加严峻的DDoS攻击，因此金融企业需要更加关注攻击的频率和流量带来的威胁，构建稳固的安全防线，才能确保金融服务行业的稳步前行。

API成DDoS新靶点，金融行业需警惕

从去年全年看，DDoS攻击的数量与频率呈现出过山车般的剧烈波动。Akamai观察到，这些攻击的数量的时间与全球经济体的金融活动呈现出正相关趋势，比如去年3、4月份攻击达到一个高峰，与美国报税高峰期时间吻合。

其他专注于身份认证、安全访问控制的互联网公司也报告了相同时间点攻击数量的明显激增，以及提供安全事件支持数量的显著增加。

在今年4月，Akamai还发现了一个与服务定位协议相关的漏洞，利用这一漏洞可以产生约2200倍的DDoS放大攻击。

“虽然许多DDoS攻击通常会综合利用多种攻击向量（即多种攻击方式），但在2023年和2024年内，针对金融行业的DDoS攻击中，单一向量的攻击占据了主导地位。”马俊说。单一向量的攻击由于有针对性地利用某些漏洞，往往能够以较小的资源和较容易的执行方式发起大规模的DDoS攻击。

DDoS攻击除了常见的网络层（即第三层和第四层）攻击之外，另一个显著特点是针对HTTP Web的第七层攻击在大幅增加。API，特别是那些未被标记、未被识别的影子API，成为了主要关注点。

针对API的攻击也会显著利用漏洞，2023年8月，HTTP/2协议中的快速重置协议漏洞被广泛用于对金融机构的攻击中。Akamai看到，亚太及日本地区（APJ）第七层的API攻击最为频繁，占据DDoS攻击50%的比例。

马俊认为，API流量在互联网中的占比越来越大，意味着这种业务形态和技术形态得到了广泛使用，特别是在金融行业，数字原生银行的新业务形态正是以API作为主要业务和基础形态来开展的，因此对API的安全格外重视。

Akamai建议各行业需要完善并妥善评估所面临的“拒绝服务攻击”威胁，同时综合考量自身的防护能力。在DDoS防护上实施主动策略，对网络设备和网络流量进行速率控制，在CDN上部署合理的缓存，并在CDN上部署DDoS的检测、侦查及流量清洗等缓解工具，可以更有效地应对DDoS攻击。

在勒索软件防护上，首先要尽早利用零信任策略落地和部署用户访问控制以及网络设备之间的访问控制；其次要定期采取有效框架进行“红蓝演练”或安全评估；最后要定期进行防御加固、终端保护、电子邮件过滤和补丁管理等工作。

金融行业品牌欺诈猛增，如何应对假冒和钓鱼风险

现阶段金融服务业的品牌欺诈和冒用已经非常严重，在整个访问欺诈的或者说假冒的网站比例当中金融服务占据了约1/3的体量。

根据假冒网站的域名属性，Akamai将主要场景分为，钓鱼攻击、品牌冒充、钓鱼与品牌冒充兼有属性、虚假社交账号、恶意应用五个不同类别。

在假冒网站和钓鱼攻击的情况下，除了可以通过攻击规模或数量来评估安全风险的严重程度外，还需要考虑如攻击者的技术手段、攻击目标的敏感度以及潜在的经济损失等因素。

并且现在一个明显的趋势是，钓鱼网站的构建和相关邮件的撰写、信息发布，越来越呈现出工程化、团队化、专业化甚至武器化的特征。“钓鱼服务包、钓鱼即服务”的出现，使攻击者能够更便捷地实施钓鱼攻击。

在报告中，Akamai设计了一个评估模型“中位威胁评分模型”，模型综合了Akamai全平台的数据以及第三方安全情报，旨在评估不同行业当前所面临的钓鱼网站和假冒网站的风险态势。

“中位威胁评分模型”综合考虑了三个不同的维度，第一，对钓鱼事件和钓鱼网站的确信程度。涉及对网站真实性、恶意行为以及用户潜在风险的准确判断；第二，钓鱼网站或事件的影响等级。包括“严重”、“中等”和“低等级”三个层次，用于衡量对用户、企业或社会的潜在危害；发生的频率、影响用户的数量和范围，反映了钓鱼网站或事件的普遍性和广泛性，以及对社会的整体影响。

马俊指出，通过三个维度的综合考量，模型使用了“中位风险分”这一单一指标，来量化不同行业当前所面临的互联网安全威胁严重程度。

网络钓鱼和品牌冒充保护上，企业需要高度关注自己的在线域名。Akamai建议采取注册相似域名并使用域名监控、使用反钓鱼或邮件过滤系统、对电子邮件进行认证、使用高级加密证书、关注员工安全意识等措施。

金融行业必须高度重视假冒网站对商誉和在线数字品牌造成的安全风险，采取更加积极的措施来防范和应对这类安全威胁，以保护用户的信息安全和维护自身的品牌形象。

Akamai守护金融行业，打造智能化安全

Akamai能够为众多金融企业提供符合其运维需求和实际安全响应要求的安全服务。因为Akamai自成立以来，始终专注于构建一张全球性的连接云网络。这张网络不仅致力于为客户提供卓越的用户体验，还为企业提供了基于边缘的强大安全防护。

马俊表示，这张网络不仅是目前全球提供防护能力最强的平台之一，同时还是分布最广的一个平台，在超过130个国家和地区设有边缘的网络，能够为客户提供就近的安全应对的解决方案

Akamai构建了三个不同的安全防护维度为金融客户提供价值。

第一，零信任安全。涵盖了网络访问控制、微分段、主动安全检测等内容，域名和恶意钓鱼的预警均可通过零信任架构实现有效防护。

第二，应用安全。主要针对在线交易、互联网应用和API提供全面解决方案。包括常见的网络应用防火墙、七层DDoS防护能力，以及API的实时深度检测能力，帮助客户应对信息安全风险。特别值得一提的是高级API防护能力和针对爬虫与欺诈的防护能力。

第三，基础设施安全。侧重于流量清洗和DNS防护，与DNS风险密切相关。依托Akamai平台的安全情报，结合第三方数据以及生态系统，向客户提供完整的互联网信息安全保护方案。同时，Akamai的安全专业服务团队能快速帮助客户充分利用上述平台和产品方案的安全能力。

在帮助企业有效应对影子API、存在漏洞的API、API滥用等问题上，Akamai通过创新的API防护能力，提出了一个完整的治理框架，可以分成发现、态势管理、运行时保护、测试四个步骤，全面解决API防护中的难点，确保API的安全性和稳定性。

Akamai专为金融客户，尤其是长期在Akamai连接云网平台上安全运营的银行和金融机构，推出了一项快速部署的解决方案——Akamai原生连接器。Akamai原生连接器是连接Akamai既有用户与创新的高级API安全方案之间的关键环节，这一新的集成能力直接内嵌于Akamai的连接云平台中，能够无缝地将云平台中的流量副本传输至Akamai的高级API引擎。这一设计让客户仅需几次简单的点击，甚至无需进行任何实体部署，就能迅速实现高级API的检测与防护功能。

“通过Akamai原生连接器，能够让企业内部API风险问题和Akamai连接云形成了一个完整的闭环。”马俊指出，让数据自动的流转起来，把防护能力从客户的云端延伸到自己的数据中心，或者是通过自己的数据中心延伸到互联网的边缘，让整个业务的流量、管控形成端到端自动化的体系。

另外，Akamai提供了是业界首个通过平台实现端到端零信任的解决方案Akamai Guardicore平台，这是业界第一个将“零信任访问控制”和“零信任网络微分段”整合在一个平台体系内平台，这个平台最大的特点就是具备智能发现能力。

Guardicore具体的工作原理是利用代理模式，通过在终端安装统一的代理，能够同时提供应用层的访问控制和网络流量的零信任访问控制。此外，针对本地DNS的访问控制，Guardicore可以有效遏制钓鱼网站和恶意网站的访问。

Akamai也一直专注于“僵尸网络”（俗称“爬虫”）进行深度的流量管控，并推出了品牌保护、爬虫管理、撞库攻击等解决方案，帮助企业解决欺诈和爬虫问题。

对于Akamai而言，始终以用户的实际需求，互联网当中实际面对的真实问题作为发展和创新的依据，来为客户提供价值、提供防护的最优方案是永远的主题。