DDoS激增，Akamai爲金融行業築起安全防線

作者：王聰彬

金融服務行業在積極擁抱新技術的同時，始終是安全威脅的重災區。

Akamai最近發佈了《應對安全威脅狂潮：金融服務業的攻擊趨勢》的互聯網現狀(SOTI)報告，總結了2024互聯網安全的五大重點趨勢：第一，金融服務機構在第三/第四層DDoS攻擊事件當中佔比最高，達到了34%；第二，API的使用量上升引發了第七層DDos攻擊的上升；第三，流量的急劇增加，凸顯了根據DDoS攻擊的頻率和流量大小來評估應對方案的必要性；第四，針對金融機構進行欺詐的可疑域名佔整個欺詐域名總數的36%；第五，30%的訪問頁面中，存在釣魚行爲或訪問僞造、假冒網站的情況。

Akamai資深解決方案技術經理 馬俊

Akamai資深解決方案技術經理馬俊認爲，金融行業面臨着比之前更加嚴峻的DDoS攻擊，因此金融企業需要更加關注攻擊的頻率和流量帶來的威脅，構建穩固的安全防線，才能確保金融服務行業的穩步前行。

API成DDoS新靶點，金融行業需警惕

從去年全年看，DDoS攻擊的數量與頻率呈現出過山車般的劇烈波動。Akamai觀察到，這些攻擊的數量的時間與全球經濟體的金融活動呈現出正相關趨勢，比如去年3、4月份攻擊達到一個高峰，與美國報稅高峰期時間吻合。

其他專注於身份認證、安全訪問控制的互聯網公司也報告了相同時間點攻擊數量的明顯激增，以及提供安全事件支持數量的顯著增加。

在今年4月，Akamai還發現了一個與服務定位協議相關的漏洞，利用這一漏洞可以產生約2200倍的DDoS放大攻擊。

“雖然許多DDoS攻擊通常會綜合利用多種攻擊向量（即多種攻擊方式），但在2023年和2024年內，針對金融行業的DDoS攻擊中，單一向量的攻擊佔據了主導地位。”馬俊說。單一向量的攻擊由於有針對性地利用某些漏洞，往往能夠以較小的資源和較容易的執行方式發起大規模的DDoS攻擊。

DDoS攻擊除了常見的網絡層（即第三層和第四層）攻擊之外，另一個顯著特點是針對HTTP Web的第七層攻擊在大幅增加。API，特別是那些未被標記、未被識別的影子API，成爲了主要關注點。

針對API的攻擊也會顯著利用漏洞，2023年8月，HTTP/2協議中的快速重置協議漏洞被廣泛用於對金融機構的攻擊中。Akamai看到，亞太及日本地區（APJ）第七層的API攻擊最爲頻繁，佔據DDoS攻擊50%的比例。

馬俊認爲，API流量在互聯網中的佔比越來越大，意味着這種業務形態和技術形態得到了廣泛使用，特別是在金融行業，數字原生銀行的新業務形態正是以API作爲主要業務和基礎形態來開展的，因此對API的安全格外重視。

Akamai建議各行業需要完善並妥善評估所面臨的“拒絕服務攻擊”威脅，同時綜合考量自身的防護能力。在DDoS防護上實施主動策略，對網絡設備和網絡流量進行速率控制，在CDN上部署合理的緩存，並在CDN上部署DDoS的檢測、偵查及流量清洗等緩解工具，可以更有效地應對DDoS攻擊。

在勒索軟件防護上，首先要儘早利用零信任策略落地和部署用戶訪問控制以及網絡設備之間的訪問控制；其次要定期採取有效框架進行“紅藍演練”或安全評估；最後要定期進行防禦加固、終端保護、電子郵件過濾和補丁管理等工作。

金融行業品牌欺詐猛增，如何應對假冒和釣魚風險

現階段金融服務業的品牌欺詐和冒用已經非常嚴重，在整個訪問欺詐的或者說假冒的網站比例當中金融服務佔據了約1/3的體量。

根據假冒網站的域名屬性，Akamai將主要場景分爲，釣魚攻擊、品牌冒充、釣魚與品牌冒充兼有屬性、虛假社交賬號、惡意應用五個不同類別。

在假冒網站和釣魚攻擊的情況下，除了可以通過攻擊規模或數量來評估安全風險的嚴重程度外，還需要考慮如攻擊者的技術手段、攻擊目標的敏感度以及潛在的經濟損失等因素。

並且現在一個明顯的趨勢是，釣魚網站的構建和相關郵件的撰寫、信息發佈，越來越呈現出工程化、團隊化、專業化甚至武器化的特徵。“釣魚服務包、釣魚即服務”的出現，使攻擊者能夠更便捷地實施釣魚攻擊。

在報告中，Akamai設計了一個評估模型“中位威脅評分模型”，模型綜合了Akamai全平臺的數據以及第三方安全情報，旨在評估不同行業當前所面臨的釣魚網站和假冒網站的風險態勢。

“中位威脅評分模型”綜合考慮了三個不同的維度，第一，對釣魚事件和釣魚網站的確信程度。涉及對網站真實性、惡意行爲以及用戶潛在風險的準確判斷；第二，釣魚網站或事件的影響等級。包括“嚴重”、“中等”和“低等級”三個層次，用於衡量對用戶、企業或社會的潛在危害；發生的頻率、影響用戶的數量和範圍，反映了釣魚網站或事件的普遍性和廣泛性，以及對社會的整體影響。

馬俊指出，通過三個維度的綜合考量，模型使用了“中位風險分”這一單一指標，來量化不同行業當前所面臨的互聯網安全威脅嚴重程度。

網絡釣魚和品牌冒充保護上，企業需要高度關注自己的在線域名。Akamai建議採取註冊相似域名並使用域名監控、使用反釣魚或郵件過濾系統、對電子郵件進行認證、使用高級加密證書、關注員工安全意識等措施。

金融行業必須高度重視假冒網站對商譽和在線數字品牌造成的安全風險，採取更加積極的措施來防範和應對這類安全威脅，以保護用戶的信息安全和維護自身的品牌形象。

Akamai守護金融行業，打造智能化安全

Akamai能夠爲衆多金融企業提供符合其運維需求和實際安全響應要求的安全服務。因爲Akamai自成立以來，始終專注於構建一張全球性的連接雲網絡。這張網絡不僅致力於爲客戶提供卓越的用戶體驗，還爲企業提供了基於邊緣的強大安全防護。

馬俊表示，這張網絡不僅是目前全球提供防護能力最強的平臺之一，同時還是分佈最廣的一個平臺，在超過130個國家和地區設有邊緣的網絡，能夠爲客戶提供就近的安全應對的解決方案

Akamai構建了三個不同的安全防護維度爲金融客戶提供價值。

第一，零信任安全。涵蓋了網絡訪問控制、微分段、主動安全檢測等內容，域名和惡意釣魚的預警均可通過零信任架構實現有效防護。

第二，應用安全。主要針對在線交易、互聯網應用和API提供全面解決方案。包括常見的網絡應用防火牆、七層DDoS防護能力，以及API的實時深度檢測能力，幫助客戶應對信息安全風險。特別值得一提的是高級API防護能力和針對爬蟲與欺詐的防護能力。

第三，基礎設施安全。側重於流量清洗和DNS防護，與DNS風險密切相關。依託Akamai平臺的安全情報，結合第三方數據以及生態系統，向客戶提供完整的互聯網信息安全保護方案。同時，Akamai的安全專業服務團隊能快速幫助客戶充分利用上述平臺和產品方案的安全能力。

在幫助企業有效應對影子API、存在漏洞的API、API濫用等問題上，Akamai通過創新的API防護能力，提出了一個完整的治理框架，可以分成發現、態勢管理、運行時保護、測試四個步驟，全面解決API防護中的難點，確保API的安全性和穩定性。

Akamai專爲金融客戶，尤其是長期在Akamai連接雲網平臺上安全運營的銀行和金融機構，推出了一項快速部署的解決方案——Akamai原生連接器。Akamai原生連接器是連接Akamai既有用戶與創新的高級API安全方案之間的關鍵環節，這一新的集成能力直接內嵌於Akamai的連接雲平臺中，能夠無縫地將雲平臺中的流量副本傳輸至Akamai的高級API引擎。這一設計讓客戶僅需幾次簡單的點擊，甚至無需進行任何實體部署，就能迅速實現高級API的檢測與防護功能。

“通過Akamai原生連接器，能夠讓企業內部API風險問題和Akamai連接雲形成了一個完整的閉環。”馬俊指出，讓數據自動的流轉起來，把防護能力從客戶的雲端延伸到自己的數據中心，或者是通過自己的數據中心延伸到互聯網的邊緣，讓整個業務的流量、管控形成端到端自動化的體系。

另外，Akamai提供了是業界首個通過平臺實現端到端零信任的解決方案Akamai Guardicore平臺，這是業界第一個將“零信任訪問控制”和“零信任網絡微分段”整合在一個平臺體系內平臺，這個平臺最大的特點就是具備智能發現能力。

Guardicore具體的工作原理是利用代理模式，通過在終端安裝統一的代理，能夠同時提供應用層的訪問控制和網絡流量的零信任訪問控制。此外，針對本地DNS的訪問控制，Guardicore可以有效遏制釣魚網站和惡意網站的訪問。

Akamai也一直專注於“殭屍網絡”（俗稱“爬蟲”）進行深度的流量管控，並推出了品牌保護、爬蟲管理、撞庫攻擊等解決方案，幫助企業解決欺詐和爬蟲問題。

對於Akamai而言，始終以用戶的實際需求，互聯網當中實際面對的真實問題作爲發展和創新的依據，來爲客戶提供價值、提供防護的最優方案是永遠的主題。