Akamai：“自上而下”的邊緣保護平臺

王永

根據Akamai《互聯網發展狀況安全報告》顯示：網絡安全正在從傳統的DDos粗獷型的攻擊轉向應用層上上層，特別是“撞庫”——當網站客戶的帳號和密碼組合被泄露，攻擊者獲取信息后，就會馬上拿出來去其它他感興趣的網絡上嘗試。

以往的角度來看，大家對于“撞庫”的認知還停留在對于電商或金融行業的沖擊危害。但最新的報告數據表明，除了傳統受威脅比較大的行業外，媒體行業已然成為新的被攻擊目標。

“撞庫發生的前提一般是來自于用戶在不同互聯網平臺的使用習慣——為了方便記憶，使用相同的用戶名和密碼，” Akamai區域副總裁暨大中華區總經理李昇在接受筆者的采訪時表示，攻擊者利用了人性的弱點，成功率非常的高。所以，從Akamai的報告中，我們看到2018年出現的三次最大規模的撞庫攻擊均針對流媒體服務，規模介于1.33億次到2億次攻擊嘗試，且都是在被報告數據泄露后不久發生的，這表明黑客可能會在出售被盜證書之前對其進行測試。

為幫助用戶及時了解并應對新的安全威脅，Akamai在2019年的3月份，針對于產品的安全防護作出了重要升級和補充：其中包含了從底層的“S”層的DDoS攻擊和到應用層的WAF，包括爬蟲管理器（Bot Manager），從金字塔低到高擴展的防護的手段。而從“爬蟲管理”的場景來講，Akamai的重點是幫助用戶防范類似于“撞庫”事件的發生。

與此同時，Akamai通過行業收購了Janrain公司。據悉，Janrain專注于“用戶身份管理”的研發，通過此次收購，Akamai在互聯網“帳號濫用”防范方面的技術手段又得到了新的增強——能夠對用戶的身份管理、賬戶管理進行更有效的檢測。

如今，談及網絡安全的問題，它不再是僅僅是一個產品所單獨能夠解決的問題，而是隨時時代的變化和技術的升級，需要跟多和人力、政策和程序的共同配合。對于企業來說，網絡安全防護同樣如此，只不過在全民云時代，企業更需要注重“云”上的邊緣防護戰略，他們需要資深、安全、專業的平臺為其構建完善的安全防范體系。

在李昇看來，Akamai正是這樣的平臺——不僅提供邊緣防護戰略，還提供這樣一個專業技術：機器學習、人工智能及邊緣平臺所提供的技術相配合來進行防護。尤其是在“爬蟲管理”方面，能夠更好地驗證了Akamai對于機器學習和人工智能這方面的應用。

比如，現在很多DDoS的攻擊方式越來越人類化，導致企業的安全防范系統已經很難通過以往傳統的攻擊特征值、攻擊頻率來判斷，幕后操縱者是一個真實的人還是一個爬蟲。

“為了幫助客戶更清晰的辨別操作者的‘ 真假，Akamai增加了多個維度的檢測，包括：一個點擊、鼠標移動的軌跡，以及鍵盤輸入的節奏。”李昇表示，人的鍵盤輸入頻率是隨變的，但機器卻不同，它們是通過腳本來模擬的，如果是一個事先設定好的爬蟲程序，可能它是一個非常平均的速度，這是一個很好的參考方向。

除此之外，Akamai還增加了很多其它的維度。比如說，Akamai對每個IP地址設有評分系統。根據IP地址以前在互聯網上的行為，Akamai可以和評分系統來判斷它的危害級別有多高。通過這些綜合起來，能夠得到一個更準確的判斷，到底是人還是“爬蟲”。

“總的來說，Akamai的‘爬蟲管理器可以從三個層面來理解：判斷它到底是不是爬蟲、分析爬蟲的種類進行分類以及確認爬蟲性質，并采取行動。” Unmesh Deshmukh，Akamai亞太區云安全區域副總裁表示，Akamai的“爬蟲管理”可以更好地識別出哪些是人工的流量、哪些是爬蟲的流量，從而更好了解到底這個爬蟲希望對客戶的業務以及客戶所在的網絡做出哪些攻擊。

值得一提的是，Akamai的“智能化檢測手段”，包括人工智能的運用等所有的執行機制，都在邊緣。這也是Akamai為什么面對訪問量非常巨大的攻擊，都可以非常從容的應對的重要原因，邊緣的安全控制和防范是Akamai最主要的能力。

寫在最后

在過去，很多企業的網絡應用是由下而上的防護措施——使用TCP或者UDP層來建立網絡中心進行防護，但是它更多的是基于傳統的有“內外”之分的場景，事實上，這樣的應用場景已經隨著云計算時代的到來不復存在。

顯而易見的是，企業上云成為趨勢。但企業在新的應用環境中也需要一個新的防護頂層結構進行安全方案——“零信任”。

“Akamai 對于“零信任”的架構有三大重要原則。” Akamai企業安全產品資深總監Nick Hawkins表示，第一，假設網絡是不安全的，時刻警惕威脅的存在。第二，不再提供基于地點的任何優勢。那么也就意味著，在公司內部的網絡上網和在公司外部的網絡上網，它們之間相比是沒有任何優勢的。第三，所有的通訊都需要經過身份驗證，并且會被授權。基于這三點重要原則，Akamai的應用程序防護措施是“自上而下”的，而不是像之前“自下而上”的。

Nick Hawkins強調，Akamai的用戶，只有在驗證自己的身份成功后，才能獲得授權。經過了這些程序之后，用戶才會有權利被連接到這個APP。這和我傳統的應用VPN連接來說是一個巨大的轉折。

“這樣一種方式——身份是用戶唯一的驗證方式，使客戶能夠獲得成功的授權進入訪問。尤其是在未來的應用場景當中——用戶無處不在、應用程序無處不在，客戶需要這樣一個“邊緣保護”平臺，才能夠更好地執行“零信任”措施。”Nick Hawkins如是說。