電商案例 |“國民級”連鎖零售商如何與爬蟲作斗爭

規(guī)模效應能帶來各種好處，這不言而喻，但與之相對應的價值和風險往往是共存的，任何系統(tǒng)的規(guī)模越大，價值越高，伴隨而來的安全風險也會越大。對于互聯(lián)網(wǎng)上的數(shù)字化資產(chǎn)，例如大型數(shù)字化平臺、用戶個人信息等，這種價值與風險共存的情況就更加突出。連鎖超市和零售商就是如此。

名副其實的“國民級”零售商

某海外知名連鎖超市和零售商，主要銷售新鮮食物、服裝和家居用品，擁有超過3350家實體店，每周為將近2900萬客戶提供服務。在開展電商業(yè)務后，經(jīng)過一段時間的發(fā)展，他們的已注冊在線會員數(shù)業(yè)已達到了1230萬人，電商網(wǎng)站日點擊量高達8億次。

蓬勃發(fā)展的業(yè)務固然讓人欣喜，可隨之而來的煩心事兒也著實讓人頭疼。

網(wǎng)絡(luò)爬蟲防不勝防

自疫情爆發(fā)以來，大量用戶開始轉(zhuǎn)為通過電商服務購買日常所需，該零售商的電商業(yè)務迎來了一輪大幅增長，無論注冊用戶數(shù)量和網(wǎng)站點擊量都有了顯著增加。據(jù)統(tǒng)計，他們的網(wǎng)絡(luò)流量在疫情以來已經(jīng)增長了200%以上。

面對突增的流量，該零售商并未大意，開始考慮這些流量是否都是真實客戶帶來的。他們懷疑部分流量可能來自各類懷有一些惡意目的的計算機程序。這種名叫"爬蟲"(Bot)的計算機程序會自動訪問網(wǎng)站頁面，并執(zhí)行一些惡意操作。然而由于缺乏合適的工具，他們無法通過技術(shù)手段驗證自己的猜測。

為圖省事，很多人習慣于在注冊各種網(wǎng)站時使用相同的用戶名和密碼，而一旦其中一個網(wǎng)站的這些信息被泄漏，用戶在其他所有網(wǎng)站注冊的賬戶都會受到威脅。攻擊者使用爬蟲程序在不同網(wǎng)站上，通過這些泄漏的賬戶憑據(jù)一個個嘗試登錄的做法就叫撞庫。一旦找到可用賬戶，隨后就會消費或轉(zhuǎn)移賬戶中的余額、積分等有價值資產(chǎn)，甚至直接使用賬戶捆綁的支付方式進行“盜刷”。

懷疑存在此類威脅，但缺乏驗證與核實的技術(shù)手段，自然也就對各類流量的具體情況缺乏進一步了解，進而難以有針對性地采取預防措施。

不僅如此，這種懷疑存在的惡意爬蟲還對公司的合規(guī)運營造成了挑戰(zhàn)。根據(jù)相關(guān)法律法規(guī)的要求，企業(yè)必須對客戶數(shù)據(jù)加以充分保護。一旦不慎導致客戶信息外泄，將要承擔極為嚴重的后果和高額罰款。

除了安全與合規(guī)方面的問題，一些爬蟲還會對該零售商的業(yè)務運營造成麻煩。管理者還懷疑自己的網(wǎng)站遭遇了競爭對手數(shù)據(jù)爬取，以及被對方自動爬取了產(chǎn)品價格、庫存數(shù)量等信息。因為他們時常會發(fā)現(xiàn)有固定的幾個IP地址會定期訪問自己的網(wǎng)站，并且都會造成非常大的流量，這看起來完全不像是普通顧客的行為。但是因為缺乏證據(jù)，目前他們也僅僅只是懷疑。

也許很多人還不太了解，但實際上，這種Bot爬蟲已成為現(xiàn)代互聯(lián)網(wǎng)Web應用面臨的一個最大公敵。根據(jù)Akamai的統(tǒng)計，2021 Q2遇到的賬戶濫用攻擊達到了700億次，Q/Q增長15%。而這種攻擊是WAF無法緩解的。更讓人擔心的是，Akamai已經(jīng)多次探測到日峰值超過10億次的惡意登錄行為。

除了數(shù)量與日俱增，爬蟲攻擊的形式也越來越豐富，撞庫攻擊、銀行卡攻擊、庫存囤積、薅羊毛、禮品卡攻擊，這都是常見的攻擊形式與目標，而且爬蟲攻擊正變得越來越智能化、分布式，能模擬人類的行為特征，繞過通用的Web安全設(shè)備和檢測機制（如“驗證碼”）。

Bot Manager，固若金湯

面對爬蟲造成的各類風險，該零售商主要有三個訴求：

·希望能增強針對爬蟲的可見性，通過翔實的數(shù)據(jù)分析和結(jié)論更準確地評估并緩解爬蟲風險。

·希望盡可能避免競爭對手的數(shù)據(jù)爬取行為。

·更好地保護客戶數(shù)據(jù)，滿足政府和行業(yè)相關(guān)法規(guī)法規(guī)的合規(guī)要求。

Akamai Bot Manager以靈活的服務模式和強大的功能滿足了該零售商的需求。

在可見性方面，Bot Manager有一個自動管理的已知爬蟲程序目錄，其中已經(jīng)涵蓋超過1500種已知爬蟲程序，此外它還能使用AI模型檢測未知爬蟲程序，進行用戶行為分析、瀏覽器指紋識別等操作。借此，該零售商即可從中獲得實時整體趨勢、行業(yè)洞見以及有關(guān)爬蟲程序流量的詳盡分析，進而更有針對性地制定防御措施。

在防范惡意競爭方面，Bot Manager具備出色的監(jiān)測能力。結(jié)合Akamai全球化平臺，Bot Manager每天能夠收集115億項爬蟲程序請求和2.8億次爬蟲程序登錄，并且可以從豐富的數(shù)據(jù)分析中得出精準見解。在該零售商尚未開始正式部署，僅僅是進行概念驗證的階段，Bot Manager就已經(jīng)幫助他們成功發(fā)現(xiàn)了一家全球知名電商網(wǎng)站對自己網(wǎng)站進行數(shù)據(jù)爬取的證據(jù)，甚至在此基礎(chǔ)上分析出了攻擊的行為特征，包括源地址、攻擊時間、定向爬取價格的行為特征等。

在合規(guī)運營方面，由于能夠精準獲得與惡意爬蟲行為有關(guān)的見解，并針對不同行為和目的爬蟲采取有針對性的應對措施，該零售商預計自己將能在Bot Manager幫助下更好地預防撞庫、憑據(jù)濫用，并利用Akamai強大的機器學習算法和全球化規(guī)模與洞察改善安全與合規(guī)運營態(tài)勢。

根據(jù)Ponemon Institute統(tǒng)計，每年與撞庫有關(guān)的總成本（包括與欺詐相關(guān)的損失、運營安全性、應用程序停機和客戶流失）可能達到600萬至5400萬美元之間。而Akamai自己的觀察和統(tǒng)計也發(fā)現(xiàn)，爬蟲程序已經(jīng)占據(jù)網(wǎng)站總流量的30%-70%之多。

Akamai網(wǎng)絡(luò)每天會處理全球很大一部分的網(wǎng)絡(luò)流量，其中包括一些世界上最大和遭受攻擊最頻繁的網(wǎng)站。Akamai具有獨特的優(yōu)勢，能夠深入了解合法的應用程序使用情況，以及惡意爬蟲程序不斷演變的攻擊行為。它擁有最新的爬蟲程序檢測技術(shù)，經(jīng)證明能夠識別當今最復雜的爬蟲程序。

不僅如此，Bot Manager還使用了多種專利技術(shù)，在爬蟲程序剛開始接觸網(wǎng)站時便及早檢測和抵御，避免其進入網(wǎng)站。通過Akamai長期不斷的檢測與完善，即便威脅不斷發(fā)展變化，用戶也能受到妥善保護。