据Akamai最新报告统计，2022年1月份至2023年3月底，该平台所监测到的攻击量达145 亿次，其中电商行业占比34%。在全球范围内，电商行业仍然是网络攻击最主要的目标行业，而中国也是亚太地区被攻击的主要目标之一。

电商行业受到的攻击种类多种多样，电商平台想要高效构筑自身安全防御体系，就需要了解主要面临的网络安全风险有哪些，以及如何做有针对性的防护？Akamai大中华区企业事业部高级售前技术经理马俊和Akamai大中国区产品市场经理刘炅就此作出了以下分析及解读。

API和Web应用防护

Akamai大中华区企业事业部高级售前技术经理 马俊

马俊表示，Akamai通过分析145亿次攻击之后看到，大部分的攻击都和Web应用和API的攻击相关。

这其中排名第一的攻击种类是本地文件包含 (LFI) 攻击，超过了SQL 注入 (SQLi)成为最常用于商业行业的攻击媒介。服务器端请求伪造 (SSRF) 、服务器端模板注入 (SSTI) 和服务器端代码注入等攻击媒介也变得越来越流行。它们对电商企业和其他垂直行业构成了严重威胁，不仅妨碍在线销售，还会损害公司声誉。

针对这些风险，Akamai提供了对应的建议，希望电商行业安全团队能够更加注重这些攻击的种类，特别是在红蓝对抗或者是渗透测试过程当中，针对本地文件注入、SSRF等攻击形式做专项的测试和加固，同时也希望有针对性地开展SOC联动的应急响应的演练，从而能够提供即时有效的保护。

对于如何提升Web应用和API的防护，Akamai的建议是先提高可见性，然后再去针对性地实施策略，简单来说就是“先可见，再落地”。

API防护可以分为四个不同的层次：第一是先发现，了解API的应用有哪些；第二是DDoS的防护，无论是网络防护还是速率控制防护，把大量好识别、好拦截的部分给过滤掉；第三是精细化的工作，做具有针对性、细粒度的防护，这是指针对请求的异常情况，可以做异常行为检查或者针对性的策略检查。特别是API，它会有对应的API格式以及参数，通过针对异常的检查就可以细粒度的控制请求；第四是业务层的治理，包括针对异常流量，比如来自爬虫的流量，或者是API的权限管理，在数据中心的“家门口”去控制最后一步的检测，从而能够实现整个API和Web应用防护的安全治理，确保最终进入数据中心的流量是干净、正常的。

恶意爬虫和钓鱼攻击

爬虫攻击、钓鱼攻击对电商行业造成的影响非常巨大，由于电商业务非常复杂，辨别恶意爬虫行为和钓鱼行为颇有难度。马俊表示，Akamai平台关注到的钓鱼行为中，有1/3来源于电商行业；恶意爬虫动作也越来越多，过去15个月达到了5万亿次的规模。很多恶意爬虫攻击会伪装成正常的行为，且爬虫非常容易变形，单一的处理方式对防御爬虫是无效的。

针对爬虫方面的业务场景的治理，以常见的撞库攻击为例，马俊表示，在不同阶段，需要有不同方式去应对。比如自动化攻击过程中，可以采取爬虫机器人检测的手段，手工化攻击的过程需要通过机器学习，针对用户行为习惯建立正常和异常的模型去识别等。

Akamai大中国区产品市场经理 刘炅

针对钓鱼攻击，刘炅表示，Akamai可以通过简单的四步进行防护。首先Akamai有一个庞大的情报系统，可以知道互联网上有哪些恶意的域名，Akamai承接了全球1/3的互联网流量和DNS的解析，也有来自于权威第三方情报，来加强判断有没有恶意的网站名称。

Akamai还有人工智能的检测方法，它会去构建有可能是钓鱼网站的域名，从而达到检测到钓鱼网站的目的。同时具备缓解的功能，帮助受到攻击的客户下线钓鱼网站，形成一整套的闭环解决方案。

刘炅表示，针对电商购物全过程遇到的安全问题，Akamai有一整套的解决方案，可以帮助电商平台高效地构筑自身的安全防御体系。