一、电商行业处于网络攻击的前沿

在最新的SOTI报告当中，Akamai从2022年1月份进行统计，截至2023年3月底，把15个月Akamai整体平台的攻击情况进行了汇总。电商行业成为了这15个月期间，获得互联网攻击最主要的行业，占比达到34%。Akamai统计了145亿次的攻击，其中有34%的攻击都指向了在线电子商务行业，特别是在这些针对在线电子商务的攻击中62%的比例是与在线零售行业相关。

在这15个月的分析当中，中国是仅次于印度，成为了亚太或者说环太平洋地区第二位的攻击目标。在疫情尾声阶段电商行业仍然是黑客的主要攻击对象，在疫情期间企业把自己的业务都转到线上，特别是数字化转型脚步进一步加快，在这种趋势背景下，越来越多的在线交易是会被黑客、黑产所关注的。

Akamai大中华区企业事业部高级售前技术经理 马俊

通过相关调研，Akamai大中华区企业事业部高级售前技术经理马俊总结了如下特征：

1、电商行业的客户受到的攻击种类是多种多样的。

2、像爬虫攻击、钓鱼攻击等，这些依旧是电商用户遇到的最大威胁。

3、API攻击已经成为了Web应用安全的一个新的焦点。

4、对于电商网站而言，对于第三方脚本以及和第三方脚本相关的支付方面的安全攻击越来越多。

二、攻击方式及防御建议

对此，马俊表示，Akamai通过分析140亿次攻击，发现大部分的攻击都和Web应用和API的攻击相关。其中排名第一的攻击种类为：本地文件注入。背后的原因是因为服务器端的新型漏洞造成了更多的黑客利用去做网络扫描以及相关的情报收集，所以这种攻击形态会因为此类漏洞的出现引起数量上的增加。

其次三种服务器端的攻击形态成为主流，分别是服务端的请求伪造，服务器端的模板注入和服务器代码注入，这几种新型的服务器端攻击成为了主要的攻击形态。

针对这些风险，Akamai也是提供了对应的建议：Akamai希望电商行业这些IT运营或者说安全的团队能够更加注重这些攻击的种类，特别是在红蓝对抗或者是渗透测试过程当中，针对本地文件注入、SSRF这种攻击形式做专项的测试和加固，同时也希望有针对性的做SOC联动的应急响应的演练，从而能够提供即时有效的保护。

马俊表示，Akamai的安全防御建议是先提高可见性，再进行针对性的实施策略。在这里我们把API防护分为四个不同的层次：

1、发现：我们需要知道API有哪些、在哪里。

2、DDoS防护：无论是网络防护还是速率控制防护，把大量好识别、好拦截的部分给过滤掉。

3、精细化工作：做针对性的防护，细粒度的防护，这部分针对请求的异常情况可以做异常行为检查或者针对性的策略检查。特别是API，它会有对应的API格式以及对应的参数，通过针对异常的检查就可以细粒度的控制请求。

4、业务层治理：包括针对异常流量，比如来自于爬虫方面的流量，或者是API的权限管理，在数据中心的“家门口”去控制最后一步的检测，确保最终进入数据中心的流量是干净、正常的，从而能够实现整个API和Web应用防护的治理过程。

三、在线购物相关业务安全风险

此外，Akamai大中国区产品市场经理刘炅分析了在线购物的过程中存在的诸多安全风险，例如用户在浏览器上安装插件，存在恶意插件可能会窃取用户的个人隐私和相关的数据，也有可能存在欺诈的行为，引导用户去恶意网站做支付行为。此外，还有一些用户在登陆环节会出现用户名和口令在多个网站共用的情况，一旦有一处泄露，其在线购物网站的相关信息有可能就会被账户接管攻击。

Akamai大中国区产品市场经理 刘炅

同时在支付环节也存在非常多的安全风险，目前Magecart攻击呈现愈发增多的趋势，它是在线盗取用户信用卡信息、个人支付信息的一种手段。这些都是我们在日常购物当中有可能会遇到的潜在风险。

四、Akamai针对电商行业的解决方案

刘炅表示，针对电商购物全过程遇到的安全问题，Akamai有一整套的解决方案，可以帮助电商平台高效地构筑自身的安全防御体系。

AHP（Audience Hijacking Protector）清除恶意浏览器插件

AHP主要的功能是清除浏览器端的恶意浏览器插件。恶意比价软件、插件和广告经常在浏览器中弹出，严重干扰了电商交易。使用AHP可以有效解决此问题，消除了恶意插件的影响。部署简单的代码在服务器源端或边缘侧，监控浏览器中所有恶意插件的行为，包括已知和未知的风险，然后进行有针对性的防护。这项技术能够快速部署并起到定点、定向的防护作用。

BMP（Bot Management Premier）爬虫管理

爬虫攻击具有多种形式，包括撞库、库存囤积和薅羊毛等行为，发展从简单到复杂。Akamai提供领先的Bot管理工具(BMP)，可以防护各种类型的攻击，并不断更新防护算法。举例来说，一个澳大利亚超市在2020年疫情期间面临巨大的流量增长，导致爬虫流量和撞库攻击突出。然而，该客户缺乏对网站是否受到攻击的了解和可视化能力，难以感知攻击的存在。此外，恶意竞争对手也对其进行恶意爬取，受澳大利亚和新西兰的数据隐私法规驱动。在这种情况下，该客户采用了Akamai的BMP产品，并取得了良好的防护效果。

AP（Account Protector）账户接管解决方案

Akamai的方案利用用户行为特征构建用户画像，用于确定用户的合法性。这包括设备情况、活跃程度、活跃时间和地理位置等方面的信息，通过统计和分析来生成用户在特定地区和时间段的画像。同时，方案还标识出风险特征，如欺诈行为和异常登录行为，例如使用恶意账号或口令。这样可以判断用户是由第三方黑客操作还是用户自身行为。

BP（Brand Protector）钓鱼网站解决方案

Akamai的解决方案通过四个简单步骤实现。首先，它拥有庞大的情报系统，能够了解互联网上存在哪些恶意域名。Akamai作为全球1/3互联网流量和DNS解析的提供商，具备这样的能力，并与权威第三方情报进行强化合作，以判断是否存在恶意网站名称。其次，利用人工智能检测方法构建可能的钓鱼网站域名，以实现对钓鱼网站的检测。同时，Akamai还提供缓解功能，帮助受到攻击的客户将钓鱼网站下线，提供了一个完整的闭环解决方案。

PIM（Page Integrity Manager）管理PCI合规要求

PCI DSS（Payment Card Industry Data Security Standard）是涉及支付安全的标准。PCI DSS 4.0明确要求对脚本的使用进行监控和合规管理。与之对应，Akamai的产品提供了相应的功能。它可以检查脚本清单，验证脚本是否经过授权以及保证脚本的完整性。此外，当脚本受到攻击时，产品能够发出报警。这是一个完整的功能套件。对于Magecart攻击或第三方脚本攻击，尤其是针对支付环节的攻击，Akamai的PIM产品具有独特性，并支持PCI合规性要求的能力。

近年来跨境电商市场快速增长，同时也使得国际支付变得更加普遍，因此支付安全是一个非常重要的问题。针对支付安全在跨境电商领域中支付安全呈现出的态势，马俊表示，支付确实是跨境电商当中特别重要的环节，或者说在线购物最后的一个环节。在线支付行业确实是在疫情之后面临着非常大的网络安全挑战。根据statista的报告显示，2022年全球在线支付所面对的欺诈损失已经高达410亿美金。这个数字其实也是在不断增加，这和我们电商的整个疫情期间业务的兴起也是相关联的。根据预测，到2023年这个数字将会达到480亿美金的损失。所以在线支付确实是面临着非常大的安全威胁挑战。

在这其中，我们以在线支付的服务商为例，他们所面对的信息安全的威胁和我们刚刚讲到的电商其实没有本质的区别。他们也面对着爬虫的撞库威胁，也面对着API以及Web应用的攻击。他们也面对着被篡改页面数据的风险，特别是Magecart攻击，是针对支付环节最主要的新出现的攻击形态。

从Akamai来看，我们会比较重视最新PCI DSS认证出现的新的变化。这也是因为在电子支付环节当中出现的新型风险所做的新的修正。应该说整个支付行业都会面临Magecart的攻击形态。Akamai通过页面完整性的保护产品PIM（Page Integrity Manager），能够帮助电商企业或者是支付服务商在用户浏览器端监控和发现这种恶意行为，并且在出现风险时第一时间告警，阻止这样的行为产生数据泄露，产生在线信用卡盗刷，进而保护我们用户的资产，以及支付公司和电商行业的信用风险。

所以，Akamai在这方面是有非常大的投入和信心来保护我们支付的服务商和电商行业用户。

刘炅也补充道，“针对这个趋势来讲，从我们的调查问卷当中可以看到，其实对于支付类型的攻击现在是越来越多。包括我们现在了解到的很多国内或者是国际上的攻击事件，这里我给大家举两个小例子。一个是今年年初，在海外发生的一个攻击事件就是加拿大的一个酒和饮料的在线零售商，他遭受了Magecart攻击。当时就被窃取了很多的客户个人信息，它的攻击方式是把攻击代码植入到三方脚本当中去，在用户进行支付的时候就把信息给劫持走。这个脚本从植入到发现，隐藏了有5天的时间。”

另一个案例是电商经常用的一个电商建站平台，叫WooCommerce，这是一个开源平台，很多电商网站都会去使用。今年它有连续两次支付模块遭受了第三方脚本的攻击。实际上这两个模块分别也被植入了恶意代码。如果说你要通过它这个电商平台进行支付，那么你的信息就会被劫持。总体而言，电商在线支付的安全事件也呈现越来越多的趋势。

目前针对电商私域流量，商家可能会使用SaaS服务也可能进行自建应用，这些服务可能会集成三方服务或组件，如支付网关、物流服务等。如果这些第三方组件存在安全漏洞或不安全配置，那么如何能够快速发现安全问题以及进行针对性防御？

对此，马俊表示，首先我们在电商行业确实看到有大量电商企业选择成熟的SaaS服务，这也是一个很明显的趋势。我们也看到在利用SaaS服务当中，会出现一些信息安全的风险，我们通常称之为供应链风险或者是供应链安全问题。

在Akamai的平台上可以看到有两种比较明显的风险。第一类是在做网站建设的时候，我们会大量引用第三方的组件，即通过页面引用JavaScript脚本。我们统计电商网站页面中引用的脚本50%是来自于第三方的，这充分说明电商行业非常依赖第三方服务。这些服务既包括了用户体验的跟踪，业务数据的统计，也会包括一些您提到的支付或者说物流相关的信息采集等等。这些服务都是通过脚本的引用方式去集成的。第三方的脚本如果出现了漏洞，或者说它的老的版本出现漏洞，而我们的网站没有进行及时更新就会出现信息安全的风险。这种情况下，就需要我们的电商企业去主动监控，或者说去发现这样的风险。

所以跟Akamai一贯支持的方法一致，我们建议首先是要获得这些安全风险的可见性。比如说我们要针对这些第三方的组件它们的版本信息，存在的已知漏洞，是不是有可见性，我们是不是能统计出来哪些是有风险的，提前预警，事前预警。另外，我们有了可见性之后，要在事中进行干预和监控。这部分要在用户在访问这些页面的时候，事中进行动态跟踪，这些组件在做什么？是不是读取了敏感信息，是不是将敏感信息发送到了恶意网站。这些行为被妥善监控，就可以有效阻止因为第三方或者供应链中的安全威胁引起的信息泄露或者合规性问题。

第二部分是在访问SaaS服务的时候会出现内外网的访问控制、授权以及鉴权方面的风险。这和最近比较流行的话题——零信任改造有关。很多电商公司会让自己的员工访问第三方的SaaS服务，比如说邮件服务、甚至是办公工具等，访问控制做的不好也会造成潜在的信息泄露。这种风险来自于零信任的复杂性， SaaS服务很多，每家的方式方法都不一致，特别是我们如何让用户在日常办公当中能够获得有效的管控，这也是Akamai希望并正在努力帮助电商企业解决的问题。

Akamai提供的零信任解决方案利用基于边缘代理的技术架构控制应用层的访问控制，我们Akamai的产品叫做企业应用程序访问控制产品——EAA（Enterprise Application Access），这些产品也会有效的帮助用户去解决供应链或者第三方访问的问题。

最后，刘炅补充道，早期对于网站而言，第三方脚本通常是被接受的，不需要额外的保护措施，因为它们被认为是可信任的脚本。然而，攻击者也会利用这一点。例如，支付模块就是使用受信任的第三方服务脚本进行植入的。包括我们分享的一个例子中酒饮料公司，它也是利用伪冒的谷歌分析的第三方服务脚本来进行恶意脚本注入的。目前，服务器端没有有效的工具来识别第三方脚本，做代码审计审查工作量太大也不现实。因此，就需要有一个能够发现或者是自动化的监测工具，这就是我们所说的Akamai的PIM，这个我们称之为用户端防火墙，它可以从浏览器端进行各种用户行为的分析，进而发现此类攻击类型。