热点:

    爬虫攻击日益猖獗 电子商务行业如何构筑安全壁垒?

      [  中关村在线 原创  ]   作者:十一

    近年来,受到疫情影响和信息化技术的不断发展,在线零售和电子商务行业规模呈现出快速增长的趋势,整个中国电子商务交易量在去年达到了17000亿美元。但行业规模的增长也让另一群身处黑暗阴影中的人虎视眈眈,那就是网络犯罪分子。在数字化转型步入深水区的当下,网络安全攻防变成了一场漫无止境的拉锯战,于企业而言,网络攻击已经成为威胁企业获取利润的最大威胁,加强网络安全自然也被提上了企业优先考虑的第一要素。

    不久之前,Akamai的研究人员监测并分析了整个亚太地区2021年底至2022年的节假日中的恶意僵尸网络攻击趋势,发现仅针对中国零售和电子商务行业的恶意僵尸网络活动在春节前后就增加了15%。

    Akamai区域副总裁暨大中华区总经理李昇认为,电子商务行业本身在中国企业出海的几个赛道里是相当重要的垂直行业,和游戏、泛娱乐行业平分秋色,且呈现出加速发展的趋势,越来越多的平台都开始在国际化的电子商务领域里崭露头角,高速的发展使得企业受到的网络爬虫的威胁也越来越大,特别是从去年年底针对电子商务的事件里可以看到,爬虫攻击趋势和以前相比呈现出多样化、复杂化和高频化的特征。

    爬虫攻击日益猖獗 电子商务行业如何构筑安全壁垒?
    Akamai区域副总裁暨大中华区总经理李昇

    事实也是如此,从Akamai的报告中可以看到,节假日前后在线购物者总流量的增加在某种程度上为攻击者提供了“掩护”,使得后者能够在网站承受高流量访问时更轻松地掩盖自己的攻击。此外,很多电商平台的用户倾向于在线上购物个人资料中填写最新的信用卡信息和凭据,继而成为攻击者眼中的肥羊,攻击者通过入侵账户和网站窃取凭据后,会将这些数据放在暗网出售或用于其他攻击。除此之外,攻击者还会在特定电商网站上买光限量版或限量供应的商品,然后再转手以高价卖出,进而影响零售企业的声誉。

    即便爬虫攻击对电子商务行业造成的影响巨大,但令人沮丧的是,从整个行业的划分来看,电商行业也是最容易被爬虫攻击的行业,主要原因在于电商业务非常复杂。

    但从爬虫技术本身的角度来看,并非所有爬虫都是恶意的,例如部分爬虫技术在搜索引擎、社交媒体或者广告投放方面也得到了广泛应用,而那些针对价格信息、产品信息,或者针对用户数据的爬取,则是完全的恶意攻击。企业在防御爬虫攻击的时候,首先需要辨别爬虫行为是否恶意。这是一个颇具难度的事情,因为很多恶意爬虫攻击会伪装成正常的行为,例如某些撞库攻击会将所有的头部信息包装成看似正常的浏览器访问,使得企业无法辨别。另一方面,爬虫非常容易变形,企业如果采用了单一的处理方式去防御爬虫,往往会是无效的。

    李昇在接受采访时还指出,爬虫攻击与DDoS攻击和身份验证攻击并不相同。从攻击手段来看,DDoS攻击属于三层、四层攻击。它是通过巨量的数据流或巨量的数据包发向被攻击的网站,使得它的网络设备或者入口带宽形成阻塞造成网站不可用。而爬虫攻击则是“应用攻击”的层面,可以将其看作是在Web应用层攻击里更复杂、更智能的一种攻击手段。因为它已经完全伪装成一个正常的访问。虽然流量可能不会很大,但访问的频率会更智能、更具适配性和更高持续性,由于其发生率较低,利用通常的手段很难察觉。

    对企业而言,爬虫攻击控制者的行为愈发谨慎,头部运营者控制的爬虫网络不断向高隐秘性发展,为企业甄别爬虫攻击带来的更加复杂的挑战。首先,部分爬虫攻击会采用干净的IP,这类IP没有任何的不良记录,甚至可能就是在“云”租的虚拟机;其次,爬虫工具使用越来越简单。攻击者会直接利用第三方的工具、脚本,修改、组装成自己需要的爬虫,而不需要自己写代码。最后,是经济上的回报对于爬虫攻击来说正在变大。原来经济回报可能特别不容易,现在已经变得越来越简单:在“云”里面租一个虚机尝试撞库或者抓取某些重要的内容,就可能直接获得经济上的收益。因此企业已经无法仅从IP判定爬虫攻击是否是恶意的。

    那么企业究竟该如何应对爬虫攻击呢?Akamai大中华区媒体事业部高级售前技术经理刘烨认为,企业首先需要区别爬虫的属性,即爬虫行为是否时恶意的;其次是通过实时分析鉴别爬虫的行为,例如在没有任何促销活动的情况下,流量激增了若干倍,就可能是收到了DDoS攻击、或者是大规模的爬虫活动或者撞库行为。

    爬虫攻击日益猖獗 电子商务行业如何构筑安全壁垒?
    Akamai大中华区媒体事业部高级售前技术经理刘烨

    从简单的IP、浏览器到模仿人的行为,爬虫现在已发展到分布式攻击的特点,而Akamai所开发的Bot Manager(爬虫管理器)解决方案就是用于帮助企业管理和甄别爬虫流量的,现在Bot Manager可以利用Akamai的云端数据和威胁情报对爬虫流量进行自动评分,并根据这些分值进行更细粒度的防护,同时使用AI模型检测未知爬虫程序,进行用户行为分析、浏览器指纹识别等,而非采用简单的“拦截和允许”操作,避免引起爬虫程序警惕。

    “对于爬虫管理来说,Akamai最大的优势体现在两方面。首先在做数据分析或建立模型时,由于Akamai比其它所有的做类似安全产品的厂家有更多的来自电商行业、社交媒体、游戏业等行业的数据,因此在建立安全模型的时候会有很大优势。因为数据决定了可观测到的流量,而流量的规模决定了模型识别爬虫攻击的精准度。另一方面,Akamai的安全产品有着完善的服务团队,包括安全运营中心,Akamai会通过Manage Service团队为客户提供爬虫管理的服务,例如购物季来临时网站如果受到了爬虫攻击,Akamai往往会先于客户发现,然后与客户联动处理,通过这样一个专业团队为客户提供服务。”刘烨总结道。

    作为一种智能性极高,且变化多样化的攻击手段,爬虫攻击正在引起越来越多的重视,但如果仅仅靠企业自己单打独斗,是很难获得想要的效果的。如果想要构筑一个真正有效的爬虫识别、反制和管理平台,就要充分利用全球化平台的能力。这不是一个软件或者一个硬件设备就能够解决的问题。而是一个模型、技术、软件+后台专业团队,而由于与生俱来的数据规模和优势,Akamai的爬虫防护方案已经形成了一个分层次的、全栈的防护方案,助力越来越多的企业防范爬虫攻击。

    本文属于原创文章,如若转载,请注明来源:爬虫攻击日益猖獗 电子商务行业如何构筑安全壁垒?http://safe.zol.com.cn/789/7894377.html

    safe.zol.com.cn true http://safe.zol.com.cn/789/7894377.html report 4803 近年来,受到疫情影响和信息化技术的不断发展,在线零售和电子商务行业规模呈现出快速增长的趋势,整个中国电子商务交易量在去年达到了17000亿美元。但行业规模的增长也让另一群身处黑暗阴影中的人虎视眈眈,那就是网络犯罪分子。在数字化转型步入深水区的当下,网络安全...
    • 猜你喜欢
    • 最新
    • 精选
    • 相关
    推荐经销商
    投诉欺诈商家: 010-83417888-9185
    • 北京
    • 上海
    周关注排行榜
    • 防火墙
    • UTM
    • 上网行为
    • 防毒墙
    推荐问答
    提问
    0

    下载ZOL APP
    秒看最新热品

    内容纠错