在游戲全球化的大背景下，越來越多的中國游戲企業(yè)也踏上遠征之路，揚帆“出海”。Akamai觀察到，中國游戲出海企業(yè)同樣飽受安全問題困擾，不得不面對素來兇險的網絡環(huán)境。從2017年到2018年，Akamai監(jiān)測到的DDoS攻擊和基礎架構層(第三、第四層)攻擊數量均上升16%，而應用層攻擊的增幅更是高達38%(見圖一)。[1]

圖一

俗話說“知己知彼，百戰(zhàn)不殆”。在保護游戲安全這場與黑客的較量中，中國游戲出海企業(yè)必需應對三大類型的攻擊，即DDoS攻擊、爬蟲攻擊，以及Web和API攻擊。

DDoS攻擊如駭浪

由于對發(fā)起攻擊者的技術水平要求較低，DDoS成為最常見的攻擊方式，它以流量型攻擊和應用層攻擊為主，主要通過大量僵尸網絡對目標發(fā)起攻擊，讓目標帶寬癱瘓或服務器崩潰，導致普通用戶無法正常訪問。DDoS攻擊很少是單一事件，而是一浪接一浪，一旦遭到攻擊就需為后續(xù)威脅做好充分準備。根據Akamai的監(jiān)測數據，游戲行業(yè)在2018年全年都是最易遭受DDoS攻擊的行業(yè)(見圖二)。[2]

圖二

2017年8月，全球知名游戲制作和發(fā)行公司暴雪的服務器遭受DDoS攻擊，旗下的《魔獸世界》《守望先鋒》《風暴英雄》均出現異常，眾多玩家向暴雪報告游戲中出現畫面嚴重卡頓、網絡延遲等現象，更有玩家表示遇到強制退出的情況。[3]2018年7月，暴雪服務器再次遭到DDoS攻擊，多名《守望先鋒》玩家表示游戲界面出現異?？D和延遲，同時出現部分玩家掉線的狀況。[4]

姑且說，暴雪家大業(yè)大，經典游戲不勝枚舉，鐵桿粉絲遍布全球，一次甚至兩次的DDoS攻擊都遠不足以拖垮這個行業(yè)巨頭。但是對于剛剛走出國門且尚處于摸索階段中國游戲出海企業(yè)而言，卻足以致命，免不了眼睜睜地看著初來乍到的玩家退出游戲、卸載客戶端、再也不回頭。

爬蟲攻擊似暗礁

爬蟲攻擊主要指植入在主機和終端內的惡意的程序和代碼被CC端等控制端控制成為攻擊工具，猶如深藏海底的暗礁，對目標發(fā)起的一系列具有隱蔽性的攻擊。“撞庫攻擊”正是一種典型的利用爬蟲發(fā)起的攻擊方式。Akamai最新發(fā)布的《2019年互聯網安全狀況報告：Web攻擊和游戲撞庫》顯示，在2017年11月至2019年3月期間，黑客針對游戲網站進行了120億次撞庫攻擊，這一數字也在不斷上升(見圖三)。[5]

圖三

“玩家被盜號”常常是撞庫攻擊在作祟。游戲撞庫的攻擊目標即獲取用戶信息數據庫，出售帳戶信息的最終目的也就不言而喻。根據Akamai調查，超過一半的玩家在游戲帳戶遭到入侵之后的經濟損失在100到1000美元之間。[6]暗網上每個游戲帳戶的最低價格可低至1.3美元。此前，《堡壘之夜》的玩家?guī)粜畔⒃诤诋a市場進行兜售(見圖四)。[7]2018年2月，再次曝出多名《堡壘之夜》玩家的游戲帳戶被盜取200到500美元不等金額的情況。[8]

圖四

游戲產業(yè)繁榮的背后，自然伴隨著黑色產業(yè)鏈的崛起。面對利益熏心的黑客們，中國游戲出海企業(yè)如果不能保證玩家的帳戶安全，那么獲得玩家信任便是天方夜譚;如果缺少了玩家的信任，發(fā)展固定玩家進而拓展市場更是無稽之談。這樣以來，在海外角逐中不過是只“萌新”的中國游戲企業(yè)又會陷入舉步維艱的死局。

Web和API攻擊勝險灘

Web攻擊是利用從底層Web服務器到上端應用層的各種漏洞和弱點發(fā)起攻擊。被視為Web應用安全領域的權威參考的OWASP在最新版《10項最嚴重的Web應用程序安全風險》報告中，將包括SQL注入(SQLi)在內的注入型攻擊與跨站腳本攻擊(XSS)列入其中。[9]同時，由于近年來手機移動終端的發(fā)展，越來越多的應用程序不再以網頁的形式呈現，而是通過后端的API接口進行交互，API攻擊也隨之增多。

根據今年1月的報道，《堡壘之夜》基礎架構被檢測出嚴重的安全漏洞，其中包括SQL注入(SQLi)、跨站點腳本(XSS)錯誤，以及Web應用程序防火墻繞過問題。[10]《堡壘之夜》允許玩家通過第三方登陸，一旦漏洞被黑客利用、玩家?guī)舯蝗肭?，后續(xù)可能出現的信息泄露和經濟損失不堪設想。工作人員在發(fā)現問題之后及時修補，避免了一場令玩家和所屬公司Epic Games都毛骨悚然的噩夢。

盡管最后是虛驚一場，但玩家們“安全感”的丟失不可避免。“吃雞”本就圖個大吉大利，不料“吃雞”游戲變身恐怖游戲，那么一些玩家自然會轉戰(zhàn)《絕地求生》等其他“吃雞”陣地。無論玩家群體多么龐大與堅固，都禁不起接二連三的消耗，況且剛剛啟程的中國游戲出海企業(yè)正處于玩家群體積累、品牌形象搭建的過程中，也毫無消耗的資本可言。

中國游戲企業(yè)出海就好比一場PVE比賽，DDoS攻擊、爬蟲攻擊、Web和API攻擊就是這張“海上”地圖中的三個大Boss。若想順利擊敗它們，只靠“個人單帶”怎么夠?還需要天衣無縫的團戰(zhàn)配合、適應版本的游戲策略。面對愈演愈烈的安全挑戰(zhàn)，Akamai可以成為中國游戲出海企業(yè)身旁“瘋狂carry”的隊友。備受業(yè)界認可的Akamai云安全解決方案可以為中國游戲出海企業(yè)提供具有層次性的防御措施，幫助提高游戲平臺每一個層面的防御能力。踏駭浪、避暗礁、越險灘，闖過這三道關卡成功登陸之后，才是中國游戲出海企業(yè)施展拳腳的廣闊天地。



關于作者：

劉炅

[1]https://www.akamai.com/cn/zh/multimedia/documents/state-of-the-internet/soti-summer-2018-web-attack-report.pdf

[2]https://blogs.akamai.com/2019/01/a-look-back-at-the-ddos-trends-of-2018.html

[3]https://yq.aliyun.com/articles/208111/

[4]http://ow.duowan.com/1807/395235373657.html

[5]https://www.akamai.com/cn/zh/multimedia/documents/state-of-the-internet/soti-security-web-attacks-and-gaming-abuse-report-2019.pdf

[6]https://www.akamai.com/cn/zh/multimedia/documents/report/the-cost-of-credential-stuffing.pdf

[7]https://www.akamai.com/cn/zh/multimedia/documents/state-of-the-internet/soti-security-web-attacks-and-gaming-abuse-report-2019.pdf

[8]https://baijiahao.baidu.com/s?id=1591741637314924997&wfr=spider&for=pc

[9]https://www.owasp.org/images/d/dc/OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.3.pdf

[10]https://baijiahao.baidu.com/s?id=1623166122426966925&wfr=spider&for=pc