本月初,应用安全厂商Imperva发布了《年电子商务安全状况》报告,报告指出,通过对零售行业的网络安全威胁的重点分析发现,在过去12个月里,零售企业网站上40%的流量来自机器人,通常带有恶意的自动化软件。在此期间,自动威胁导致了62%的安全事件。
针对零售行业的自动化攻击和API威胁加剧
报告指出,包括账户接管、信用卡欺诈、网络抓取、API滥用、Grinch机器人和分布式拒绝服务(DDoS)攻击在内的一系列针对零售行业的自动化威胁已经成为持久的挑战,对零售企业的业务运营和用户体验构成了极大的挑战。尤其是在节假日线上购物旺季时,对零售企业网站、应用程序和API的持续攻击已经对零售行业造成了比较大的业务风险。
Imperva表示:“零售行业面临着各种安全风险,其中大部分是自动化的,全天候运行。零售企业需要一种统一的方法来阻止这些持续的攻击,一种专注于数据保护并能够在不打扰购物者的情况下快速缓解攻击的方法。”
报告数据显示,在过去12个月中,零售企业网站上近40%的流量都是bots机器人流量,即由运行自动化任务的人控制的软件应用程序,且通常带有恶意。譬如,在零售行业,Grinch扫货机器人因在节日购物旺季囤积库存、囤积高需求商品,导致消费者只能高价抢购而臭名昭著。
图:机器流量占据零售企业网站访问量近40%
此外,报告发现年零售行业的一些主要威胁发展趋势还包括:
在零售企业网站上的所有流量中,有23.7%的访问都归因于恶意Bots机器人流量。高级机器人程序往往会使用最新规避技术模仿人类行为并避免检测的脚本,在零售网站上的比例比上一年也从23.4%增加到31.1%。因此,如果没有适当的防御措施,高级机器人程序对于零售行业来说将是一个相当大的挑战。
过去一年中,针对零售网站的机器人程序相关攻击在10月增长了10%,在11月又增长了34%,这表明机器人程序运营商在假日购物高峰期前后加大了他们的恶意攻击力度。
账户接管(ATO)是过去一年中常见的在线欺诈手段,网络犯罪分子通常试图通过使用窃取的密码和用户名来破坏在线账户。年,64.1%的ATO攻击使用了高级恶意机器人。在零售网站的所有登录尝试中,22.6%都是恶意的,几乎是其他行业网站记录数量的两倍。在针对零售企业的撞库攻击中,攻击者有94.7%的时间使用泄露的凭据,而在其他行业中这一比例为69.6%。
API滥用和攻击成倍增加,给零售企业带来新挑战
API是使应用程序能够共享数据和调用数字服务的无形结缔组织。报告分析发现,来自API的流量占在线零售企业网站和应用程序的所有流量的41.6%。其中,12%的流量流向端点,例如存储个人数据(例如凭证、身份证号等)的数据库。更令人担忧的是,3-5%的API流量被定向到未记录的API或影子API,即安全团队不知道存在或不再保护的端点。
暴露或易受攻击的API对零售企业来说是一个相当大的威胁,因为攻击者可以使用API作为窃取客户数据和支付信息的途径。API滥用通常是通过自动攻击进行的,其中僵尸网络用不需要的流量淹没API,寻找易受攻击的应用程序和未受保护的数据。
年,API攻击在9月至10月期间增加了35%,然后又在前几个月攻击水平升高的基础上,在11月又飙升了22%。这一发现表明,随着为电子商务服务提供支持的API和应用程序之间交换的数据越来越多,不怀好意的攻击者会在购物旺季前后加大力度。
谨防业务中断:DDoS攻击继续威胁零售企业
DDoS攻击是一种自动化威胁,它试图通过恶意流量淹没网络或应用程序基础设施来破坏关键业务运营,这些攻击通常由僵尸网络发起。报告发现,年的DDoS攻击在所有行业中都更大更强。
图:过去12个月零售行业的DDoS攻击态势
DDoS攻击流量大于Gbps的事件数量翻了一番,大于Gbps/0.5Tbps的攻击增加了%。更重要的是,被攻击的目标往往会在24小时内再次受到攻击。事实上,55%的应用层DDoS攻击和80%网络层DDoS攻击的网站都受到了多次攻击。
DDoS攻击是对零售企业的不间断威胁。DDoS攻击造成的停机可能导致站点中断、声誉受损和收入损失。因此,DDoS对依赖应用程序性能和可用性来启用数字店面的在线零售企业来说是一个严重威胁,防范DDoS攻击也将是零售行业未来持续