定位在 “提供安全數字化體驗” 的Akamai（阿卡邁），對安全的重視度一直頗高。基於其在全球分佈廣泛的分發平臺而提供的DDoS緩解服務，以及作爲Web應用防火牆（WAF）的領先廠商，這是Akamai之前在網絡安全領域最令人印象深刻的兩個能力。

今年4月，Akamai企業安全“新”技術峯會在北京召開，內容覆蓋隱私保護、打擊黑產等熱點議題，以及Akamai和其客戶的安全實踐分享。安全牛記者也參加了此次會議。這篇文章主要介紹Akamai近一年安全領域兩個最新的關注點：API流量的安全，以及由撞庫攻擊延伸的爬蟲管理。

基於每日分發超過50TB/秒的Web流量的安全洞見

Akamai連續發佈《互聯網發展狀況安全報告》已有多年。基於每日分發超過50 TB/秒的Web流量，在互聯網，特別是安全領域，提供分析與洞見。該系列報告包含宏觀態勢，對Akamai自身的優勢積累，如上文提到的DDoS、Web應用攻擊等，以及當年Akamai的關注重點，做深度探討的專題報告。

在《2018年互聯網安全狀況報告：撞庫攻擊》中，報告認爲，攻擊的影響力是重要衡量指標。以DDoS爲例，高影響力的攻擊，往往通過相同流量就可以給企業帶來更多的損害。而高影響力的攻擊通常是 “低調緩慢” 的。雖然這種類型的攻擊持續時間不如高帶寬攻擊那麼長，但其瞄準的是資源管理的疏漏。可以被糾正，但卻經常因維護不善成爲長期的 “活靶”。

撞庫攻擊，也有和DDoS攻擊類似的演進思路。口令作爲Web應用最大的漏洞，經常結合殭屍網絡進行撞庫嘗試。據Akamai的觀察，雖然傳統的撞庫在嘗試失敗時會出現明顯的峯值，但許多攻擊模式已經改變爲 “低調緩慢” 的嘗試，比如在多個目標之間分散其流量、在掃描中使用大量系統或者隨着時間的推移將流量分散等手段，以規避基於速率的檢測。但同時，撞庫攻擊的總量並沒有降低，而且針對的行業更加廣泛。

Akamai在《互聯網安全狀況報告：撞庫：攻擊與經濟——特別媒體報告》中提及，在2018年觀測到了近300億次撞庫攻擊嘗試中，不僅包括傳統的金融、零售行業，視頻媒體、遊戲等娛樂業的攻擊也出現明顯增長。日峯值，2018年全球有三天超過2.5億次的嘗試。而且這些峯值的出現，與數據泄漏事件的發生有明顯的聯繫。

可以判斷，結合殭屍網絡和數據泄漏的撞庫攻擊，已成爲網絡罪犯喜愛的手段。同時，更多行業的賬戶價值，受到了攻擊者的認可。企業面對 “數據泄漏和撞庫” 的組合拳時，勢必將面臨更高的運營成本和防護難度。

目標行業更廣泛的撞庫攻擊，更難以檢測和防禦，是Akamai認爲的現今的一個重要威脅趨勢。數據泄漏，低成本撞庫工具的培訓，受入侵賬戶的二次銷售，這已經成爲一個黑色產業鏈。

無論是撞庫還是DDoS，其背後的殭屍網絡，都可以歸納爲bot，都可以看作爬蟲程序。如何實現對爬蟲的有效管理，即阻止惡意爬蟲，同時允許訪客和良性爬蟲的訪問，是應對和核心思路。

爬蟲管理的重點不在封堵

對爬蟲管理的思路，和抗D也是類似。一開始都是對IP、對請求速率的限制，但這種思路，相對經驗豐富攻擊者而言就顯得過於單純。

據Akamai介紹，爬蟲管理的首先任務是要區別爬蟲和自然人訪問行爲。技術層面，這需要對大流量進行分析監測，以及深度的可見性。這同時需要足夠的數據支撐。而這也正是Akamai的天然優勢。

當然，可供參考的評價維度有很多，比如鍵盤的輸入節奏、鼠標軌跡、ip信譽評分、瀏覽器指紋、http異常等。同時，因爲流量巨大，所以兼顧性能，這無疑需要強大的自動化能力做支撐。這部分能力得益於Akamai在全球廣泛分佈的智能平臺對爬蟲活動的可見性，以及雲安全智能大數據分析引擎（CSI）的分析能力。

Akamai的爬蟲管理器（Bot Manager）可以識別1400餘種已知爬蟲程序，對未知爬蟲活動的檢測，以及業務導向的爬蟲管理策略。

Akamai在Forrester 2018年Q3的New Wave中處於領導者象限

識別、區分之後要做什麼？直接阻斷麼？對於爬蟲管理的第二個階段，Akamai認爲，在決定怎樣做之前，要先明確爬蟲對業務體驗以及資源的影響。如果只是簡單粗暴的阻斷，一種爬蟲的失敗，會促使攻擊者進化，思考更多繞過檢測的方式。企業可以根據爬蟲的交互方式，以及爬蟲流量狀態，制定不同的管理策略。這意味着很多的響應方式，如提供虛假的替換內容、延遲提供、告警等。

當然，如果能確認是撞庫行爲，應堅定的選擇阻斷。

此外，Akamai在今年1月，宣佈正式完成對IAM（身份訪問管理）廠商Janrain的收購。通過和Janrain身份雲的集成，Akamai希望在爬蟲管理和威脅情報兩個領域提供更多的實時安全優勢，特別是在數據泄漏發生後。

Janrain一直專注於在認證和授權階段，提供更多的數字信任。就爬蟲管理而言，有了Janrain的助力，在用戶登陸和註冊階段可以減少用戶憑證濫用的風險，並基於過去的線上行爲，對欺詐行爲做出更準確的判斷。

對於爬蟲管理的這一市場，Akamai的全球高層也是持樂觀態度，認爲這是會快速增長的領域。結合Akamai的雲防護方案，Akamai可以將防護邊界延伸到到離攻擊者更近的地方。未來，邊緣設備將承載着更多能力和帶寬，安全策略的執行也會向外延伸。

API安全實踐

除了撞庫攻擊外，Akamai強調還有一個較新的風險點不容忽視，那就是因爲API流量激增，因所帶來的安全風險。

API流量，即沒有人類直接參與的數據交互，已經達到傳統html流量的數倍。據Akamai統計，在Akamai用於銀行和零售業的安全交易的安全內容交付網絡中（ESSL），html流量的佔比，已經從2014年的54%，下降到2018年的17%。而其中，特別是來自應用的json流量快速增長，從2014年的26%，增長到2018年的69%，超過html流量的的4倍。而這其中，真正是由瀏覽器發起的API調用僅爲27%。剩下的API調用，至少有66%可能來自智能手機、應用程序、以及諸如遊戲主機智能電視等嵌入式設備。

開發者對API的依賴，無外乎調用靈活，以及對傳輸時延的考量。特別是視頻媒體、以及高科技行業（例如物聯網應用），尤其突出。同時，安全風險也很突出——因爲雖然與傳統的Web有同樣的威脅向量，但目前針對API的安全意識和措施卻有明顯缺失。

可以說，API簡單、開放的特性，對攻擊者也同樣適用。

Akamai在會議現場介紹了一個受API安全影響的實例：

相對獨立的內容所有者通常對應多個媒體合作伙伴。經過合作伙伴站點的身份認證後，內容所有者再根據其權限控制內容的分發。攻擊者使用殭屍網絡，在同一時間，通過某一合作伙伴站點的API向內容所有者發起視頻流請求，並在代碼中夾雜了大量隨機產生的參數，並增加了代碼的嵌套層數，逼迫內容分發者在檢測時耗費了大量的資源，進而發生服務中斷，對其它合作伙伴也無法正常提供服務（因爲是一個API支持多個微服務）。

不難看出，沒有在API層面做代碼和嵌套深度的檢查和限制，沒有爬蟲的管理能力，攻擊者可能通過一個合作伙伴影響一整個業務生態的服務能力。從攻擊實現角度來看，利用開發者在API接口的疏漏，也更爲簡單有效。

甚至撞庫亦是如此。據Akamai統計，利用API的撞庫攻擊時傳統Web表單的4倍，而且成功率更高。

從防護角度，Akamai給出的建議是，先評估自身的API生態有哪些風險（調用方式，是否有身份認證，代碼檢測，響應是否含敏感數據等），再定義適當的安全措施。當然，這個過程中，要努力獲得高層支持，以推進主動的API保護。

Akamai給出的常見API攻擊手段和防護建議：

1. 常見Web攻擊（SQL注入、CSS、命令行注入等）：WAF規則

2. 反序列化攻擊：API白名單

3. 應用邏輯攻擊：參數驗證

4. 信息泄漏：HTTP請求方式白名單

5. 邏輯DoS攻擊：參數和深度限制

6. 低速率攻擊：低速率POST保護

7. 7層DDoS攻擊：速率控制