疫情时期，信息安全攻击呈现四大变化

疫情欺诈邮件，DDos卷土重来，web自动化攻击，第三方脚本攻击……

特殊时期，各路公司无不担忧疫情对业绩的影响，但总有一些公司能够在逆境中把握市场确定性，实现业务的逆势增长。Akamai就是这样一家公司：2020年第一财季营收同比增长8%，第二财季增长13%。

为什么Akamai的业绩能够如此抢眼？云安全解决方案在第一财季带来的收入同比增长26%，第二财季增长27%。毫不夸张的说，云安全解决方案已经是公司业绩增长的第一驱动力。

这家一度以第一大CDN企业形象出现的公司，在5个Forrester Wave 报告中，在不同安全领域都跻身Leader的行列。这5个报告分别是Web Application Firewalls（WAF）, Q1 2020；Bot Management, Q1, 2020；Zero Trust eXtended Ecosystem Providers, Q4 2019；DDoS MitigationSolutions, Q4 2017；Customer Identity & Access Management, Q2 2017。也就是说依托应用层防火墙、爬虫管理、下一代零信任企业安全解决方案、分布式拒绝服务（DDoS）防范、用户身份/访问管理这5个维度，Akamai已经构建了一套全方位的云防护体系。

疫情时期的安全攻击

从企业的角度来看，在疫情期间安全控制经历了三个阶段：第一阶段，保持以往的工作模式，利用已有知识和资源来维持这一工作模式；第二阶段，突然意识到当前做法会恶化安全漏洞的暴露。为此，安全团队忙于查缺补漏；第三阶段，重新思考如何回到新的正轨上，积极采用零信任策略，尽可能弱化甚至透明化办公地点对用户体验的影响。

到了第三个阶段，云防护的价值更加凸显，因为安全形势更为严峻。总体上来说，疫情催生了更多的攻击面：一方面是原来在企业内部的终端现在都直接暴露在互联网上，通过互联网远程的方式去接入，这就会产生更多的攻击面。另一方面是由于远程办公，很多互联网业务，甚至一些企业内部的业务都暴露在互联网上。这导致在疫情下，攻击的方式更加多样化，攻击的频次和复杂程度都会越来越高，混合型的攻击越来越多，企业容易陷入“内外夹击”的困境，内部的脆弱性和外部的威胁性都在增强。从攻击本身来看，它们也呈现出四个新特点。

首先是大规模、复杂的DDoS攻击卷土重来，在规模、频率和持续时间上都令人防不胜防。2018年被严打的DDoS攻击一度淡出人们的视野，但2020年它来势汹汹，多家厂商在疫情期间均遇到过Tbps级别的DDoS攻击；6月，Akamai先后报告两起令人瞠目结舌的事件：化解针对某英特网托管服务供应商的流量为1.44 Tbps的攻击，该攻击有着9个不同的模式，持续了近2个小时；成功对抗其平台上有史以来最大每秒数据包（每秒8.09亿个包）的DDoS攻击，是之前最高记录的两倍多。

其次是针对Web应用的攻击进化为更加隐秘的自动化攻击。根据Akamai的统计，以网页、API和网络为目标，Web层面的攻击比去年增长了42%，深受其害的是电商、高科技等行业。其中最令人深恶痛绝的是针对高价值目标的撞库攻击，其频次同比翻番。Akamai展示了一个案例，一个游戏行业的用户遭受了长达60天的爬虫攻击，恶意爬虫请求和恶意登录请求均达上亿次。

再次是新型第三方脚本攻击开始流行。这类攻击抓住许多网站为了提高交互能力和用户体验的契机，瞄准容易被疏忽的界面进行攻击，即在浏览器端对用户提交的数据进行拦截和劫持，这对因为疫情而成为常态的远程办公和远程交易危害极大，而且又因为第三方脚本的访问链长且复杂，这类安全攻击的影响面往往很大。Akamai表示，Web盗用在今年增长了26%。英航就因为一次此类攻击使得超过30万名用户的敏感数据，包括个人身份、信用卡等信息，被泄露。最后是打着疫情名号的欺诈邮件攻击。此类攻击利用人们对疫情主题的关注度和缺少防备心理，在很多国家和地区蔓延开来。根据Akamai的观测，3月15日以来，受害者成倍增长，美国劳工部就被冒名发送过多封这样的欺诈邮件。

穿上“防护服”

互联网是脆弱的，在多样化攻击的威胁下，到底怎样才能逃过一劫？

对DDoS攻击，有效缓解需要从两个方面入手：一是平台规模可以适应日益增长的大流量攻击；二是技术手段要跟上。Akamai采用主动防御的措施，提前探测，设置防护，在前面两个创记录的DDoS攻击中实现了零秒缓解的承诺。对于针对Web应用的攻击和爬虫攻击，Akamai设立了一个专门的研究团队，分析并跟踪这些攻击的变异和转型，以应对它们演化速度快的痛点。对于第三方脚本攻击，Akamai强调页面完整性，并提出了在企业边缘端进行插码来实现防护的整体方案。对于钓鱼邮件攻击，Akamai跟踪用于构建钓鱼网站和实施钓鱼攻击的工具箱Question Quiz，做到知己知彼，并在零信任安全架构中提供含有针对于企业防护的解决方案，包括通过在终端侧的部署、通过DNS解析的方式去分析企业的终端和互联网交互的行为，支持零日钓鱼攻击防护。对于整个信息安全行业经过疫情的特殊时期之后，Akamai基于过去20多年的精准技术研发，重新思考如何部署安全控制、部署在哪里。深思熟虑之后，Akamai选择把安全控制尽可能地部署到离终端用户较近的地方，并为此构建了智能边缘平台。对用户进行检测，区分攻击者和非攻击者，并在终端进行决策分类，识别哪些流量来自攻击者，哪些来自非攻击者。通过这样的分类让用户的整体业务流程变得非常顺畅，即使不可避免地遭到一些漏洞的侵害，依然能够非常稳健地运行业务。