Akamai：電商“野蠻生長”，安全問題不可忽視

王永

2022 年北京冬奧會開幕， 拉動了電商流量的急劇增加：不僅有超過 100 萬的購物者涌向電子商務平臺天貓的奧林匹克官方旗艦店，而且冬季運動裝備的線上銷售也同比增加了 180%。

然而，誰也沒有想到，在線購物者流量的增加，卻恰巧成為了攻擊者最完美的“掩護”，這使他們能夠在網站承受高流量訪問時更輕松地掩蓋自己的攻擊。

“從去年底，電子商務遭遇的爬蟲攻擊趨勢已經呈現了多樣化、復雜化和高頻化的特征。”Akamai區域副總裁暨大中華區總經理李昇表示，電子商務作為中國企業“出海”中最重要的垂直行業，由于短時間內的業務規模迅速擴張，其對于平臺的安全性、穩定性和數據的保密性日益重要。

從各種攻擊手段來看，我們可以看見攻擊的智能化、復雜化的趨勢。其中比較典型的就是“撞庫爬蟲”。作為一個智能化攻擊的手段，“爬蟲”增長的趨勢比較明顯。同時，“爬蟲”的智能化、復雜度、不停的變異程度也是越來越頻繁，這也為所有電子商務和客戶、“出海”的跨境電商客戶帶來非常大的挑戰。

在一些“大促”期間，如何保障“好”的客戶、正常客戶的設備訪問、快速下單，獲取到商品同時能夠有效識別并且防范住無效訪問、甚至惡意的爬蟲類流量。這對于每一個跨境電商來說，都是非常關鍵、非常重要的事項。

這里面有一個比較關鍵問題，就是如何辨別“爬蟲”。“爬蟲”非常善變和偽裝，如果以單一的處理方式，不久之后它們仍會以另外的樣子出現。所以，在處理“爬蟲”時，通常不會“阻斷”，而是嘗試以“管理”的方式，從多維度的意義上處理它。

“從Akamai的角度來看，首先，需要識別爬蟲的屬性；然后，通過實時的行為分析，看其與人類行為和‘庫的匹配程度；最后，做出相應的數據模型，例如，如果沒有促銷活動，流量激增了三倍、這一定是來自于DDoS攻擊或者大規模的‘爬蟲攻擊。” Akamai大中華區媒體事業部高級售前技術經理劉燁表示，客戶基于Akamai的平臺能力做綜合性的大數據分析，可以更好地防范爬蟲攻擊。

事實上，如果我們看整個爬蟲網絡變遷，它有著特別清晰的變化：從最早的“僵尸網絡”和爬蟲攻擊，到衍變為競爭對手或者惡意“薅羊毛”，再到最后的“撞庫攻擊”，通過“人工+腳本”的方式針對客戶數據、信用卡信息等，對于業務或者數據影響最大的“撞庫攻擊”也只是攻擊鏈里面的一部分。

“所以，對于Akamai來講，我們不只是孤立的關注于爬蟲攻擊，也會通過Akamai更為全面的解決方案幫助客戶進行多維度的安全防護。”劉燁表示，有些客戶會認為“爬蟲管理”完全可以用一個軟件或者專門的網絡設備就能解決，這是一個很大的誤區。“因為做有效的爬蟲防范，要有足夠多的數據輸入來學習、建立有效的模型，一旦識別就需要有效的反制手段。Akamai的反制手段可以在邊緣進行，而不是在用戶的數據中心，這樣的反制手段會更有效，這也是Akamai平臺最大的優勢所在。”

此外，對于用戶來講，最大的恐懼更多的是來自于未知的風險，讓用戶無從防護和應對。從另一個角度來說，更加凸顯了全球化平臺的優勢。

“對于任何一個獨立的平臺個體，你的未知攻擊有可能之前已經發生過在其它的平臺上。如果有一個全球化的平臺幫你做防護，比如：Akamai，我們就可以幫到很多客戶制定非常有效的加固防范的一些策略。”在李昇看來，建筑一個真正有效的爬蟲識別、反制和管理平臺，要充分利用全球化平臺的能力。所以這不是一個軟件或者硬件設備就能夠解決的問題，需要一個模型、技術、軟件+后臺專業團隊，多維一體化的方案才能提供最有效的方法，僅僅靠自己單打獨斗，很難獲得想要的效果。