四种类型的网络攻击，以及如何预防它们

如果 2020 年教会了我们什么，那就是改变真的可以在一夜之间发生。在第一次冠状病毒关闭、居家订单和实体企业关门后的几天内，美国人被迫改变他们购买卫生纸和杂货等商品的方式。

那些新习惯一直存在。根据美国人口普查局的数据，2020 年电子商务销售额总计达 7,917 亿美元，比 2019 年增长 32.4%。普通的。根据 First Insight 的一项研究，估计有 40% 的消费者表示，他们计划在接种疫苗后在店内购物的数量相同或更少。

随着越来越多的人在线购买商品，黑客正在利用这些交易中共享的海量个人信息。在大流行初期，联邦调查局报告称，每天收到 3,000 至 4,000 份网络安全投诉，比大流行前的数字增加了 400%。 Webscale 在《2021 年全球电子商务安全报告》中调查的 1,572 家电子商务商家报告说，网络安全威胁是他们在销售高峰期间面临的第一大业务挑战——包括恶意机器人、SQL 注入、跨站点脚本 (XSS) 攻击、分布式拒绝服务 (DDoS) 攻击和 Magecart 攻击。对于绝大多数企业而言，这些安全事件的财务影响是巨大的，平均范围从 100,000 美元到 250,000 美元不等。

去年告诉我们，网络安全应该是所有电子商务企业的头等大事。他们承诺在未来三年内将安全支出增加 15% 到 20%。为了为未来的道路做好准备，重要的是要了解这个电子商务分水岭年出现的趋势，以及哪些技术可以帮助企业在现在和未来应对这些威胁。

去年，四种类型的网络攻击因其频率和巨大的经济影响而脱颖而出：Magecart 攻击、卡片攻击、信用卡欺诈和勒索软件。

Magecart 攻击

Magecart 类型的攻击是 2020 年及以后对电子商务的最大威胁。这是 13 个不同的网络犯罪集团的总称，他们通过数字窃取或表格劫持来侵入客户的个人身份信息，尤其是信用卡详细信息，并在暗网上出售。最大的 Magecart 类型攻击之一是 2018 年 9 月对英国航空公司的攻击，影响了多达 380,000 名客户，并使该航空公司损失了 2.3 亿美元的罚款。零售网站使用第三方供应商和开源代码库来提供丰富的客户体验。不幸的是，这些脚本会给品牌和业务带来风险。

企业可以通过多种方式检测或防止此类攻击。实时内容安全策略 (CSP) 保护增强了浏览器和应用服务器之间的信任，验证受信任的域并防止被阻止的域执行脚本。多因素身份验证 (MFA) 也有助于将管理员锁定为仅授权用户。这是安全的关键第一步。并防止不良行为者访问后端。

卡牌攻击

这些是沉默的杀手。一旦信用卡信息被盗，网络犯罪分子就必须验证这些卡，以便在暗网上出售或使用它们进行信用卡欺诈。电子商务网站用于通过尝试低价值交易来验证卡。在此过程中进行了大量应用程序编程接口 (API) 调用。如果网站有严密的安全措施，可以快速识别此类恶意流量，并可以在结账过程中激活速率限制以防御攻击。

信用卡欺诈

许多电子商务商家尚未订阅信用卡欺诈检测系统。没有它，电子商务网站将成为主要目标。智能欺诈检测和缓解解决方案可以检测联系人和送货地址、原产国和 IP 中的异常情况，以标记可疑交易。

勒索软件

2020 年，勒索软件成为组织中最常见的网络攻击之一。勒索软件是一种恶意软件，它感染计算机系统并要求支付一笔款项以缓解问题。 2021 年 3 月对 PC 制造商宏碁的最新一次高调攻击是有史以来最高的赎金要求——以门罗币支付了 5000 万美元。尽管存在高风险，但企业可以采取一些措施来最大限度地减少勒索软件攻击造成的损害，包括：

• 维护离线备份。 备份文件的可用性可以帮助企业从勒索软件攻击中快速恢复。
• 实施数据盗窃预防策略 。 这一点至关重要，因为如今的企业会将大量数据上传到恶意行为者可能会滥用的云存储平台。
• 监控用户帐户行为。 监控和分析用户行为，识别潜在的安全风险。如果您怀疑受到虐待，请迅速采取行动。
• 部署多重身份验证 在进入企业网络的所有远程接入点上。专注于保护或禁用远程桌面协议 (RDP) 访问，这是攻击者进入网络的易受攻击的入口点。
• 进行渗透测试 确定企业网络中的弱点和漏洞，例如 CVE-2019-19781，应优先进行修补。

2020年对世界来说是充满挑战的一年。对于电子商务领域来说，这也是巨大增长和机遇的一年——可悲的是，这是网络犯罪最好的一年。当今的网络犯罪网络资金充足、组织严密且功能强大。虽然这些组织正在扩大其运营规模，但网络安全行业在预测攻击和开发可以监控、识别和防御无数网络威胁的解决方案方面做得更好。各种规模的电子商务企业都应遵循这四步计划，以提前应对 2020 年出现的网络犯罪威胁，并将持续到 2021 年及以后：

• 评估您企业的安全漏洞，以及数据泄露可能造成的经济影响，例如合规罚款或昂贵的客户诉讼。
• 制定涵盖您的整个生态系统（包括客户、合作伙伴、供应商和员工）的网络威胁策略。
• 投资自动化、全面的网络安全服务，提供对基础设施、流量和资产的全面可见性，以及了解云和电子商务的专家团队（内部或外部）。
• 实施零信任策略。对员工进行网络安全最佳实践、公司数据政策和违规成本方面的教育。

有了明确的计划，并牢记过去一年的经验教训，电子商务企业将为 2021 年又一个成功的一年做好准备。

Sonal Puri 是 的首席执行官 网络规模 .