假日安全性
讓電子商務產業為即將到來的威脅做好準備
毫無疑問,假日季為網路攻擊提供了更多的機會,而電子商務產業是主要目標。不幸的是,無論組織在線銷售什麼(無論是服裝、電子產品、旅遊體驗,或者您擁有的其他物品),假日主題的促銷活動都是攻擊者的熱門目標,因為安全和 IT 部門在這段時間往往負擔過重,時常出現防不勝防的情況。
根據這種趨勢,問題不在於是否要為攻擊做準備,而是哪種類型的攻擊會對您的業務構成最大的風險。
有效的安全性還需要一定程度的優先順序,以及建立針對常見 Web 應用程式威脅 (例如 DDoS 攻擊和 zero-day 漏洞利用)的強有力保護基準,並預測哪些更專業的攻擊類型可能會在假期期間影響業務,並作出相應的準備。
回答以下四個問題有助於啟動優先順序排定流程。這樣做,電子商務組織將更有可能在這個假日季取得成功——這可能佔其年收入的 30%。
您的產品對價格的敏感程度如何?
您的產品是否限量供應?
您是否使用第三方支付系統?
您接受加密貨幣付款嗎?
問題 1:您的產品對價格的敏感程度如何?
對於某些產品和服務(例如低成本、高度商品化或廣泛可用的產品和服務),競爭公司之間的微小價格差異可能會對客戶的購買決策產生重大影響。如果一家公司在假期促銷期間價格略高於競爭對手,則銷售額可能會明顯下降。
因此,具有價格敏感產品的公司在假日季期間應特別留意價格剽竊機器人,這類機器人會掃描網站以獲取定價資訊並將該資訊提供給競爭對手。使用這些資訊,競爭對手可以確保他們的產品稍微便宜一些——這是一個顯著的優勢。
與其他類型的機器人相比,價格剽竊工具可能更難識別,因為它們不會引起驗證失敗、不尋常的購買或新使用者帳戶激增之類的明顯後果。有助於識別價格剽竊工具的訊號包括:
與預期的消費者行為不匹配的流量峰值——因為價格剽竊機器人不斷掃描您的網站
網站效能下降——原因相同
流量 IP 原點指向競爭對手網站
如果您確實在網站上發現了價格剽竊工具(或者懷疑它們可能會在假日促銷期間針對您),限速之類的策略有助於防止它們影響網站效能。但是,可能仍然有必要投資於更進階的機器人管理服務,此類服務使用機器學習和詳細的威脅情報來篩選掉自動化流量。
問題 2:您的產品是否限量供應?
對於某些產品來說,稀缺性是一種有價值的營銷策略。範例包括備受矚目的消費電子產品、演唱會門票、限量版時尚,甚至 NFT。
在假日購物季,銷售此類產品的公司應對庫存囤積機器人(又名「grinch bot」)格外謹慎。這些機器人自動購買產品或服務的速度超過人類能力的速度,通常用於在二手市場上加價銷售這些產品或服務。例如,限量版運動鞋已成為「sneaker bot」這一專門機器人類別的目標。
庫存囤積機器人的影響並不難發現,因為產品會在幾分鐘內就被搶購一空。麻煩的是,在您注意到它們時,損害已經造成,您的真實客戶已經感到沮喪。要阻止此類機器人完成工作,請考慮以下策略:
挑戰:使用受管理挑戰可確保只有真正的使用者能夠進行購買。CAPTCHA 替代品現在可作為受管理挑戰來確認使用者是真實的,又不會產生 CAPTCHA 可能帶來的糟糕體驗。
限速:限制機器人可以購買庫存的頻率。
設定「誘捕系統」:誘捕系統是針對不良行為者的虛假目標,在進行存取時,會顯露出不良行為者的惡意性質。對於機器人,誘捕系統可能是網站上被 robots.txt 檔案禁止機器人存取的一個網頁。善意機器人將閱讀 robots.txt 檔案並避開該網頁,而一些惡意機器人將與該網頁進行互動。透過追蹤存取誘捕系統的機器人的 IP 位址,可以識別和封鎖惡意機器人。
不幸的是,其中一些策略可能會損害使用者體驗,甚至可能無法阻止最進階的機器人——因此面臨庫存囤積風險的公司可能還必須投資於使用機器學習和進階行為分析的專門機器人管理。
問題 3:您接受信用卡付款嗎?
每個電子商務公司都必須保護其支付系統免受假日季期間的各種威脅。例如,信用卡填充攻擊使用竊取的信用卡號轟炸支付系統,而 Magecart 攻擊則從客戶處竊取信用卡號。
但是,使用第三方支付服務的公司還有其他需要擔心的事情——確保支付 API 的安全。如果 API 存在未知漏洞,或容易遭受 API 十大安全風險,攻擊者可能能夠截取信用卡資訊。在驗證攻擊中可能會發生相同的後果,攻擊者竊取相關 API 金鑰,或攔截並使用驗證權杖。
防止這些攻擊的第一步通常是先識別 API。在各產業中,零售業的 API 流量增長第二快,因此電子商務公司在假日季之前使用 API 端點探索服務非常重要。在確定有風險的端點後,他們可以採用以下策略:
結構描述驗證:具體來說,是封鎖不符合 API「結構描述」(即應該接收的請求模式)的 API 呼叫。
特定於 API 的濫用偵測:根據對每個 API 端點流量的最新瞭解,瞭解濫用流量並利用以 API 為中心的限速來封鎖過多的濫用 API 流量。
API 安全性策略對於其他第三方服務(例如庫存追蹤器、基於位置的服務和動態定價工具)也很重要,但支付系統可能是最具吸引力的目標,由於它們使用財務資料,因此在假日促銷期間值得特別關注。
問題 4:您接受加密貨幣付款嗎?
所有加密貨幣交易都記錄在相應的區塊鏈上——存在於包含許多電腦的分散式網路上的長記錄清單。為將在線商店連接到這些分散式網路,大多數企業都使用專門的 API 或閘道服務。
從理論上講,區塊鏈交易不能被偽造或更改——但相應的 API 並非如此。這些連接器是加密貨幣盜竊的常見目標。而且由於加密貨幣是一個快速發展且不受監管的市場,因此其相應的 API 和閘道可能無法獲得與其他支付工具相同的安全審查。
為了防止這些威脅在假日季中斷加密貨幣支付,電子商務公司應該探索上述 API 安全策略——即結構描述驗證和 WAF 規則。
繼續優先順序排定過程
回答這些問題是風險優先順序排定過程中的重要一步,但它們只是一個開始。理想情況下,企業將能夠分析以前假日季的攻擊資料,以預測未來的威脅。他們還可以考慮以下因素:
哪些類型的攻擊可能對財務影響最大(無論是收入損失還是降低成本)
哪些攻擊類型會帶來最大的資料遺失或損害風險
哪些攻擊造成網站停機的可能性最高
Cloudflare 可協助排定優先順序,每個方案都包含 Cloudflare 安全中心,可協助組織清查其 IT 資產、列舉潛在的安全風險,並更輕鬆地調查潛在威脅。
此外,Cloudflare 的應用程式安全服務可協助緩解本文所提及的所有威脅,以及 DDoS 攻擊、各種機器人攻擊、zero-day 漏洞等。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
哪些專門的 Web 應用程式威脅對您的組織有較大的風險
何時要特別注意 API 安全性、機器人管理和其他安全性考量
為什麼在假日期間強化您的安全狀態很重要