Akamai報告下載 | 疫情期間游戲行業(yè)安全狀況

在我首先想提醒大家，無論游戲行業(yè)，或其他任何行業(yè)，如果期望實現(xiàn)業(yè)務(wù)出海，請注意啦：

Akamai出?！ぞW(wǎng)絡(luò)安全峰會（大中華區(qū)）活動即將開始！2021年7月23日，本次以業(yè)務(wù)出海和信息安全為主題的在線活動將全面啟航，屆時將有不同領(lǐng)域的專家發(fā)表主題演講。此外，我們非常榮幸地邀請到敦煌網(wǎng)（主營業(yè)務(wù)為B2B跨境電子商務(wù)交易）CTO劉文濤先生出席會議，他將結(jié)合業(yè)務(wù)實踐，為大家分享出海后的信息安全防護(hù)思路和心得。第一手信息和寶貴經(jīng)驗，不容錯過！

接下來，開始我們本文的主題：

權(quán)威發(fā)布，疫情期間游戲行業(yè)研究報告

雖然2021年已經(jīng)過半，但全球疫情依然在持續(xù)。在這期間，很多人將工作、學(xué)習(xí)和娛樂等活動轉(zhuǎn)為在線形式，而游戲，已成為很多人最主要的娛樂方式之一。隨之而來的，是與日俱增的安全威脅。

近期，Akamai最新發(fā)布了《互聯(lián)網(wǎng)現(xiàn)狀/研究報告：疫情期間的游戲行業(yè)》報告，帶您一起回顧疫情發(fā)生以來，游戲行業(yè)面臨的攻擊。同時，我們也提出了相應(yīng)的解決措施，幫您在未來的業(yè)務(wù)發(fā)展過程中防患于未然。

總的來說，從2019年到2020年，針對游戲業(yè)的Web攻擊同比增長340%，撞庫攻擊增長224%。不可思議的是，同一時期內(nèi)，針對游戲業(yè)的DDoS攻擊竟然減少了近20%！

具體數(shù)據(jù)方面，整個2020年，全球游戲行業(yè)共遭遇Web攻擊超過2.46億次，其中僅七月的某一天，Web攻擊總數(shù)就高達(dá)1460萬次！在所有這些攻擊中，SQL注入以59%的占比位居首位，本地文件包含以23%的占比位居第二。

Web攻擊，游戲行業(yè)增幅遠(yuǎn)超其他行業(yè)

2020年，Akamai在游戲業(yè)跟蹤了246,064,297次Web應(yīng)用程序攻擊，這在全球跟蹤的63億次攻擊中占比約4%。這意味著自2019年以來，針對游戲公司的攻擊增加了340%。事實上，全球范圍內(nèi)Web應(yīng)用程序攻擊的同比變化僅為2%，這意味著2020年游戲業(yè)的攻擊流量增幅超過了其他行業(yè)。

從下圖所示的數(shù)據(jù)來看，SQLi仍然是針對游戲業(yè)的頭號攻擊媒介，占比59%，其次是LFI攻擊，占比24%。XSS攻擊和遠(yuǎn)程文件包含（RFI）攻擊排名第三，占比大幅落后，分別為8%和7%。在過去的三年里，這種情況沒有任何改變。

當(dāng)犯罪分子在2020年將游戲業(yè)作為攻擊目標(biāo)時，他們主要攻擊的是位于美國的游戲或游戲公司（2.42億次攻擊），但同時也將攻擊的矛頭對準(zhǔn)了亞洲的目標(biāo)（220萬次攻擊）——在桌面游戲、主機(jī)游戲和手機(jī)游戲方面，美國和亞洲都屬于熱門區(qū)域。

撞庫，已成一種持續(xù)性的問題

2020年，游戲業(yè)共發(fā)生10,851,228,730次撞庫攻擊，與2019年相比，同比增長224%。在2018年至2020年的三年中，游戲業(yè)的撞庫攻擊增長了24%。

撞庫攻擊是第二常見的帳戶接管攻擊類型，僅次于網(wǎng)絡(luò)釣魚，主要是因為犯罪分子可以通過多種方式利用遭到入侵的帳戶。在2020年夏天，包含用戶名和密碼的批量列表的價格低至每百萬條記錄5美元。

撞庫攻擊是一個持續(xù)的問題，部分原因在于，用戶使用了重復(fù)使用或容易猜到的憑據(jù)。當(dāng)游戲玩家或公眾在不同的平臺和服務(wù)中重復(fù)使用憑據(jù)時，只要犯罪分子成功攻擊了一個平臺或服務(wù)，就會直接導(dǎo)致其成功攻擊其他所有使用相同密碼的平臺或服務(wù)。

犯罪分子經(jīng)常檢查他們的列表。因此，當(dāng)一個新帳戶遭到入侵時，他們會在其他眾多平臺和服務(wù)（包括流媒體、金融和企業(yè)資產(chǎn)）中測試相同的憑據(jù)。例如，如果游戲密碼與銀行網(wǎng)站使用的密碼相同，當(dāng)犯罪分子入侵一個帳戶時，他們會入侵所有帳戶，因為犯罪分子會針對多個平臺和服務(wù)測試這個重復(fù)使用的密碼.

DDoS，占比下降但不可輕視

Akamai在2020年觀察到的DDoS攻擊（如下圖所示）非常顯著，達(dá)到每秒數(shù)百Gb。事實上，在2020年3月，一家手機(jī)游戲公司經(jīng)歷了去年觀察到的最大規(guī)模DDoS攻擊之一，峰值約為412 Gbps，幾天后，另一次攻擊達(dá)到了392 Gbps。

雖然DDoS攻擊總量有所下降，但攻擊本身仍然規(guī)模龐大，會中斷通信和游戲體驗。這些攻擊讓玩家感到沮喪，并影響到游戲公司與他們的關(guān)系。

在全球范圍內(nèi)，2020年共發(fā)生1930億次撞庫攻擊，以及62億次Web應(yīng)用程序攻擊。

對于信息安全行業(yè)以及相關(guān)企業(yè)而言，最終目標(biāo)是將這些數(shù)字降低并保持在較低水平。然而要做到這一點，唯一有效的方法是加強(qiáng)現(xiàn)有保護(hù)措施，保護(hù)API的訪問；并淘汰掉舊的保護(hù)措施，例如基于短信的一次性密碼。