電商案例 |“國民級”連鎖零售商如何與爬蟲作斗爭

來源: Akamai
作者:Akamai
時間:2021-11-19
15408
規(guī)模效應(yīng)能帶來各種好處,這不言而喻,但與之相對應(yīng)的價值和風(fēng)險往往是共存的,任何系統(tǒng)的規(guī)模越大,價值越高,伴隨而來的安全風(fēng)險也會越大。對于互聯(lián)網(wǎng)上的數(shù)字化資產(chǎn),例如大型數(shù)字化平臺、用戶個人信息等,這種價值與風(fēng)險共存的情況就更加突出。連鎖超市和零售商就是如此。

規(guī)模效應(yīng)能帶來各種好處,這不言而喻,但與之相對應(yīng)的價值和風(fēng)險往往是共存的,任何系統(tǒng)的規(guī)模越大,價值越高,伴隨而來的安全風(fēng)險也會越大。對于互聯(lián)網(wǎng)上的數(shù)字化資產(chǎn),例如大型數(shù)字化平臺、用戶個人信息等,這種價值與風(fēng)險共存的情況就更加突出。連鎖超市和零售商就是如此。

名副其實的“國民級”零售商

某海外知名連鎖超市和零售商,主要銷售新鮮食物、服裝和家居用品,擁有超過3350家實體店,每周為將近2900萬客戶提供服務(wù)。在開展電商業(yè)務(wù)后,經(jīng)過一段時間的發(fā)展,他們的已注冊在線會員數(shù)業(yè)已達到了1230萬人,電商網(wǎng)站日點擊量高達8億次。

蓬勃發(fā)展的業(yè)務(wù)固然讓人欣喜,可隨之而來的煩心事兒也著實讓人頭疼。

網(wǎng)絡(luò)爬蟲防不勝防

自疫情爆發(fā)以來,大量用戶開始轉(zhuǎn)為通過電商服務(wù)購買日常所需,該零售商的電商業(yè)務(wù)迎來了一輪大幅增長,無論注冊用戶數(shù)量和網(wǎng)站點擊量都有了顯著增加。據(jù)統(tǒng)計,他們的網(wǎng)絡(luò)流量在疫情以來已經(jīng)增長了200%以上。

面對突增的流量,該零售商并未大意,開始考慮這些流量是否都是真實客戶帶來的。他們懷疑部分流量可能來自各類懷有一些惡意目的的計算機程序。這種名叫"爬蟲"(Bot)的計算機程序會自動訪問網(wǎng)站頁面,并執(zhí)行一些惡意操作。然而由于缺乏合適的工具,他們無法通過技術(shù)手段驗證自己的猜測。

為圖省事,很多人習(xí)慣于在注冊各種網(wǎng)站時使用相同的用戶名和密碼,而一旦其中一個網(wǎng)站的這些信息被泄漏,用戶在其他所有網(wǎng)站注冊的賬戶都會受到威脅。攻擊者使用爬蟲程序在不同網(wǎng)站上,通過這些泄漏的賬戶憑據(jù)一個個嘗試登錄的做法就叫撞庫。一旦找到可用賬戶,隨后就會消費或轉(zhuǎn)移賬戶中的余額、積分等有價值資產(chǎn),甚至直接使用賬戶捆綁的支付方式進行“盜刷”。

懷疑存在此類威脅,但缺乏驗證與核實的技術(shù)手段,自然也就對各類流量的具體情況缺乏進一步了解,進而難以有針對性地采取預(yù)防措施。

不僅如此,這種懷疑存在的惡意爬蟲還對公司的合規(guī)運營造成了挑戰(zhàn)。根據(jù)相關(guān)法律法規(guī)的要求,企業(yè)必須對客戶數(shù)據(jù)加以充分保護。一旦不慎導(dǎo)致客戶信息外泄,將要承擔(dān)極為嚴重的后果和高額罰款。

除了安全與合規(guī)方面的問題,一些爬蟲還會對該零售商的業(yè)務(wù)運營造成麻煩。管理者還懷疑自己的網(wǎng)站遭遇了競爭對手數(shù)據(jù)爬取,以及被對方自動爬取了產(chǎn)品價格、庫存數(shù)量等信息。因為他們時常會發(fā)現(xiàn)有固定的幾個IP地址會定期訪問自己的網(wǎng)站,并且都會造成非常大的流量,這看起來完全不像是普通顧客的行為。但是因為缺乏證據(jù),目前他們也僅僅只是懷疑。

也許很多人還不太了解,但實際上,這種Bot爬蟲已成為現(xiàn)代互聯(lián)網(wǎng)Web應(yīng)用面臨的一個最大公敵。根據(jù)Akamai的統(tǒng)計,2021 Q2遇到的賬戶濫用攻擊達到了700億次,Q/Q增長15%。而這種攻擊是WAF無法緩解的。更讓人擔(dān)心的是,Akamai已經(jīng)多次探測到日峰值超過10億次的惡意登錄行為。

640.webp.jpg

除了數(shù)量與日俱增,爬蟲攻擊的形式也越來越豐富,撞庫攻擊、銀行卡攻擊、庫存囤積、薅羊毛、禮品卡攻擊,這都是常見的攻擊形式與目標,而且爬蟲攻擊正變得越來越智能化、分布式,能模擬人類的行為特征,繞過通用的Web安全設(shè)備和檢測機制(如“驗證碼”)。

Bot Manager,固若金湯

面對爬蟲造成的各類風(fēng)險,該零售商主要有三個訴求:

·希望能增強針對爬蟲的可見性,通過翔實的數(shù)據(jù)分析和結(jié)論更準確地評估并緩解爬蟲風(fēng)險。

·希望盡可能避免競爭對手的數(shù)據(jù)爬取行為。

·更好地保護客戶數(shù)據(jù),滿足政府和行業(yè)相關(guān)法規(guī)法規(guī)的合規(guī)要求。

Akamai Bot Manager以靈活的服務(wù)模式和強大的功能滿足了該零售商的需求。

640.webp (1).jpg

在可見性方面,Bot Manager有一個自動管理的已知爬蟲程序目錄,其中已經(jīng)涵蓋超過1500種已知爬蟲程序,此外它還能使用AI模型檢測未知爬蟲程序,進行用戶行為分析、瀏覽器指紋識別等操作。借此,該零售商即可從中獲得實時整體趨勢、行業(yè)洞見以及有關(guān)爬蟲程序流量的詳盡分析,進而更有針對性地制定防御措施。

在防范惡意競爭方面,Bot Manager具備出色的監(jiān)測能力。結(jié)合Akamai全球化平臺,Bot Manager每天能夠收集115億項爬蟲程序請求和2.8億次爬蟲程序登錄,并且可以從豐富的數(shù)據(jù)分析中得出精準見解。在該零售商尚未開始正式部署,僅僅是進行概念驗證的階段,Bot Manager就已經(jīng)幫助他們成功發(fā)現(xiàn)了一家全球知名電商網(wǎng)站對自己網(wǎng)站進行數(shù)據(jù)爬取的證據(jù),甚至在此基礎(chǔ)上分析出了攻擊的行為特征,包括源地址、攻擊時間、定向爬取價格的行為特征等。

在合規(guī)運營方面,由于能夠精準獲得與惡意爬蟲行為有關(guān)的見解,并針對不同行為和目的爬蟲采取有針對性的應(yīng)對措施,該零售商預(yù)計自己將能在Bot Manager幫助下更好地預(yù)防撞庫、憑據(jù)濫用,并利用Akamai強大的機器學(xué)習(xí)算法和全球化規(guī)模與洞察改善安全與合規(guī)運營態(tài)勢。

640.webp (2).jpg

根據(jù)Ponemon Institute統(tǒng)計,每年與撞庫有關(guān)的總成本(包括與欺詐相關(guān)的損失、運營安全性、應(yīng)用程序停機和客戶流失)可能達到600萬至5400萬美元之間。而Akamai自己的觀察和統(tǒng)計也發(fā)現(xiàn),爬蟲程序已經(jīng)占據(jù)網(wǎng)站總流量的30%-70%之多。

Akamai網(wǎng)絡(luò)每天會處理全球很大一部分的網(wǎng)絡(luò)流量,其中包括一些世界上最大和遭受攻擊最頻繁的網(wǎng)站。Akamai具有獨特的優(yōu)勢,能夠深入了解合法的應(yīng)用程序使用情況,以及惡意爬蟲程序不斷演變的攻擊行為。它擁有最新的爬蟲程序檢測技術(shù),經(jīng)證明能夠識別當(dāng)今最復(fù)雜的爬蟲程序。

不僅如此,Bot Manager還使用了多種專利技術(shù),在爬蟲程序剛開始接觸網(wǎng)站時便及早檢測和抵御,避免其進入網(wǎng)站。通過Akamai長期不斷的檢測與完善,即便威脅不斷發(fā)展變化,用戶也能受到妥善保護。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Akamai,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務(wù)商推薦
更多