节假日期间的电子商务安全
让零售商做好准备,应对即将到来的网络安全威胁
假日季会导致网络攻击风险增加,电子商务行业首当其冲,这不足为奇。特殊事件会导致互联网流量激增,但其中一些是恶意流量。电子商务安全和 IT 领导者在此期间往往不堪重负,尤其是在他们需要管理多个专用的单点解决方案时。
这种趋势说明,问题不在于是否做好准备应对攻击,而在于哪类攻击对您企业的风险最大。
电子商务企业做好�迎接假期的准备,需要在一定程度上确定安全优先事项。除了建立强大的防护基础,以抵御常见的 Web 应用威胁(例如 DDoS 攻击和零日漏洞)之外,在线零售商还必须针对可能在节假日期间影响其业务和收入的特殊攻击类型做好相应的准备。
回答以下三个问题可以帮助启动优先级确定流程。这样一来,电子商务企业将更具优势,有望在假日季大获成功,这可能占其总销售收入的近 20% 。
您的产品对价格有多敏感?
企业对库存短缺的敏感度如何?
企业是否依赖 API 来提升在线业务?
问题 1:您的产品对价格有多敏感?
有些产品和服务,例如成本较低、高度商品化或广泛供应的产品和服务,竞争公司之间微小的价格差异可能会对客户购买决定造成重大影响。在节假日促销期间,如果一家公司的价格比竞争对手稍微高一点,其销量可能会大幅下降。
因此,节假日期间,销售价格敏感型产品的公司应特别警惕内容抓取机器人,它们会扫描网站以获取价格信息并将这些信息反馈给竞争对手。虽然 Web 抓取并不新鲜,但随着人工智能的发展,机器人在抓取价格数据、内容等方面已经变得更加高效。利用这些信息,竞争对手可以确保其产品略微便宜一些,这会带来显著优势。
与其他类型的机器人相比,价格抓取机器人可能更难被发现,因为它们不会造成明显的后果,例如身份验证失败、异常购买行为或新用户账户激增等情况。帮助识别价格抓取机器人的信号包括:
流量激增,与预期的消费者行为不匹配,因为价格抓取机器人在不断扫描您的网站
网站性能下降,原因同上
从 AI 爬网程序到网站/应用的流量增加
指向竞争者网站的流量 IP 源站
如果您确实发现网站上存在价格抓取机器人,或怀疑它们可能在节假日促销期间发起行动,则采用速率限制等策略有助于��防止这些机器人影响网站的性能。但是,您可能仍然需要投资更高级的机器人管理服务,此类服务将实时威胁情报与自动识别并过滤恶意机器人(包括 AI 抓取程序)功能融为一体。
问题 2:企业对库存短缺的敏感度如何?
产品稀缺可能源于有计划的营销策略、供应链紧张或需求过度。前者的示例包括备受瞩目的消费电子产品、演唱会门票和限量版时装。
在节假日购物季,销售这些产品的公司应格外警惕库存囤积机器人。这些机器人会以比人类更快的速度自动购买产品或服务,通常是为了在二手市场上加价出售。例如,限量版运动鞋一直都是专门的“运动鞋机器人”类别的机器人攻击目标。一位畅销作品音乐家甚至试图与运动鞋机器人竞争,表示“如果买家没有他的粉丝俱乐部代码,将会收取 100 倍的加价”。
库存囤积机器人的影响显而易见:产品在几分钟之内被抢购一空。可问题是,等到发现时,损害已经造成。为了及早阻止此类机器人,请考虑采取以下这些策略:
托管质询:使用托管质询,确保只有真实的用户可以购买。然而,行业标准验证码 CAPTCHA 可能会造成客户摩擦,而且每次有可能会被 AI 模型攻破。CAPTCHA 替代方案现已推出,可通过托管质询来确认用户是否为真人,但是没有 CAPTCHA 的诸多弊端。
速率限制:限制某人或某物在特定时间段内可以重复操作的次数。这有助于限制机器人和虚假用户将商品添加到购物车后却又放弃购买的频率。
设置“蜜罐”:蜜罐是针对不良行为者的虚假目标,一旦不良行为者访问,就会使其暴露为恶意对象。就机器人而言,蜜罐可能是 robots.txt 文件禁止机器人访问的网站上的网页。良性机器人会读取 robots.txt 文件并避开该网页;一些不良机器人会与该网页互动。通过跟踪访问蜜罐的机器人的 IP 地址,可以识别并阻止不良机器人。
遗憾的是,其中一些策略可能会损害用户体验,甚至可能无法阻止最先进的恶意机器人。对于那些面临库存囤积风险较高的企业,可以投资使用机器学习和高级行为分析的专用机器人管理解决方案。
问题 3:企业在多大程度上依赖 API 来提升在线业务?
除了网站中断和�支付欺诈等长期存在的威胁之外,零售商还面临着攻击面不断扩大导致的风险增加。例如,许多电子商务企业严重依赖 API 来管理其 CMS、产品库存、聊天机器人、支付系统等。无头电子商务的日益普及,有助于实现超个性化的购物体验,这进一步增加了对 API 的依赖。
每个新 API 都是一个新增的潜在攻击面。但是,企业无法保护他们看不见的东西,而且约三分之一的企业没有准确的 API 清单。未知的“影子 API”让企业容易遭受数据泄露、横向移动,以及其他网络风险。
例如,如果 API 存在一个未知漏洞,或者容易受到 API 十大安全风险的影响,攻击者可能可以截获信用卡信息。身份验证攻击也可能造成同样的后果,攻击者窃取相关的 API 密钥,或截获并使用身份验证令牌。
防范此类攻击的第一步是首先识别 API。节日季前夕使用 API 端点发现服务,有助于识别可能存在风险的端点,然后采取以下策略:
模式验证:具体来说,就是阻止不符合 API“模式”(即:应该接受的请求模式)的 API 调用。
特定 API 滥用检测:了解滥用流量,并根据对每个 API 端点流量的最新了解,利用以 API 为中心的速率限制来阻止超额、滥用的 API 流量。
随着生成式 AI、直播带货以及其他使用 API 的技术的兴起,零售商的数字足迹持续增长。从长远来看,转向 DevSecOps 方法可以确保将安全性内置到应用和 API 开发周期的每个阶段。
继续优先级确定流程
回答这些问题是风险优先级确定流程中的一个重要步骤,但这还只是开始。理想情况下,企业将能够分析往年圣诞季的攻击数据,预测未来的威胁。他们还可以考虑以下因素:
哪些攻击类型可能产生最大的财务影响,包括收益损失和缓解成本
哪些攻击类型发生数据丢失或泄露的风险最大
哪些攻击最有可能导致网站停机
应用/API 安全措施是否可以与保护内部用户(例如员工、承包商、开发人员)的安全措施集成
利用全球连通云,实现更健康的电子商务运营
全年防范电子商务攻击和了解趋势,需要一个低延迟、安全可靠的云原生安全平台。
Cloudflare 全球连通云同时提供安全与性能增强功能,以帮助企业降低成本、提高敏捷性、保护敏感数据,以及抵御不断演变的威胁。全球连通云是一个统一、智能化、可编程的云原生服务平台,让企业能够提高对其 IT 环境的可见性和控制力。
Cloudflare 将 Web 应用安全、API 安全、第三方工具安全、Zero Trust 服务等整合到单一控制平面,所有服务均由无与伦比的威胁情报提供支持。
Cloudflare 将通过与企业合作,帮助其在整个数字客户体验中实现一流的安全和性能,同时重新掌控 IT 环境并提升 IT 技术栈中各个部分的敏捷性。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
假日旺季期间,需要优先考虑的零售业网络安全策略
电子商务安全提示:防范损害用户体验和威胁收入的恶意机器人
准备好节假日安全策略,防范 API 滥用