2019年08月07日 | 深度文章—中国游戏企业大航海之路上的三道安全关卡

转眼到了八月，一年一度的游戏盛会ChinaJoy如约而至，“热度”堪比场馆外魔都的高温。各路玩家排起长队准备体验最新电竞设备、与Cosplay人物合影留念，亦或是前排围观游戏比赛、等待亲自上阵……现场的火热折射出游戏行业发展迅猛的势头和玩家群体不断扩大的趋势。然而，黑客总是被利益牵着鼻子走，哪里嗅得到金钱的味道，哪里就有他们的身影。庞大的玩家群体及其帐户中颇具价值的资产和个人信息便是诱饵，使得游戏行业成为黑客眼中的“香饽饽”。正因如此，安全成为了本届ChinaJoy备受关注的焦点。

在游戏全球化的大背景下，越来越多的中国游戏企业也踏上远征之路，扬帆“出海”。Akamai观察到，中国游戏出海企业同样饱受安全问题困扰，不得不面对素来凶险的网络环境。从2017年到2018年，Akamai监测到的DDoS攻击和基础架构层（第三、第四层）攻击数量均上升16%，而应用层攻击的增幅更是高达38%（见图一）。[1]

图一

俗话说“知己知彼，百战不殆”。在保护游戏安全这场与黑客的较量中，中国游戏出海企业必需应对三大类型的攻击，即DDoS攻击、爬虫攻击，以及Web和API攻击。

DDoS攻击如骇浪

由于对发起攻击者的技术水平要求较低，DDoS成为最常见的攻击方式，它以流量型攻击和应用层攻击为主，主要通过大量僵尸网络对目标发起攻击，让目标带宽瘫痪或服务器崩溃，导致普通用户无法正常访问。DDoS攻击很少是单一事件，而是一浪接一浪，一旦遭到攻击就需为后续威胁做好充分准备。根据Akamai的监测数据，游戏行业在2018年全年都是最易遭受DDoS攻击的行业（见图二）。[2]

图二

2017年8月，全球知名游戏制作和发行公司暴雪的服务器遭受DDoS攻击，旗下的《魔兽世界》《守望先锋》《风暴英雄》均出现异常，众多玩家向暴雪报告游戏中出现画面严重卡顿、网络延迟等现象，更有玩家表示遇到强制退出的情况。[3]2018年7月，暴雪服务器再次遭到DDoS攻击，多名《守望先锋》玩家表示游戏界面出现异常卡顿和延迟，同时出现部分玩家掉线的状况。[4]

姑且说，暴雪家大业大，经典游戏不胜枚举，铁杆粉丝遍布全球，一次甚至两次的DDoS攻击都远不足以拖垮这个行业巨头。但是对于刚刚走出国门且尚处于摸索阶段中国游戏出海企业而言，却足以致命，免不了眼睁睁地看着初来乍到的玩家退出游戏、卸载客户端、再也不回头。

爬虫攻击似暗礁

爬虫攻击主要指植入在主机和终端内的恶意的程序和代码被CC端等控制端控制成为攻击工具，犹如深藏海底的暗礁，对目标发起的一系列具有隐蔽性的攻击。“撞库攻击”正是一种典型的利用爬虫发起的攻击方式。Akamai最新发布的《2019年互联网安全状况报告：Web攻击和游戏撞库》显示，在2017年11月至2019年3月期间，黑客针对游戏网站进行了120亿次撞库攻击，这一数字也在不断上升（见图三）。[5]

图三

“玩家被盗号”常常是撞库攻击在作祟。游戏撞库的攻击目标即获取用户信息数据库，出售帐户信息的最终目的也就不言而喻。根据Akamai调查，超过一半的玩家在游戏帐户遭到入侵之后的经济损失在100到1000美元之间。[6]暗网上每个游戏帐户的最低价格可低至1.3美元。此前，《堡垒之夜》的玩家帐户信息在黑产市场进行兜售（见图四）。[7]2018年2月，再次曝出多名《堡垒之夜》玩家的游戏帐户被盗取200到500美元不等金额的情况。[8]

图四

游戏产业繁荣的背后，自然伴随着黑色产业链的崛起。面对利益熏心的黑客们，中国游戏出海企业如果不能保证玩家的帐户安全，那么获得玩家信任便是天方夜谭；如果缺少了玩家的信任，发展固定玩家进而拓展市场更是无稽之谈。这样以来，在海外角逐中不过是只“萌新”的中国游戏企业又会陷入举步维艰的死局。

Web和API攻击胜险滩

Web攻击是利用从底层Web服务器到上端应用层的各种漏洞和弱点发起攻击。被视为Web应用安全领域的权威参考的OWASP在最新版《10项最严重的Web应用程序安全风险》报告中，将包括SQL注入（SQLi）在内的注入型攻击与跨站脚本攻击（XSS）列入其中。[9]同时，由于近年来手机移动终端的发展，越来越多的应用程序不再以网页的形式呈现，而是通过后端的API接口进行交互，API攻击也随之增多。

根据今年1月的报道，《堡垒之夜》基础架构被检测出严重的安全漏洞，其中包括SQL注入（SQLi）、跨站点脚本（XSS）错误，以及Web应用程序防火墙绕过问题。[10]《堡垒之夜》允许玩家通过第三方登陆，一旦漏洞被黑客利用、玩家帐户被入侵，后续可能出现的信息泄露和经济损失不堪设想。工作人员在发现问题之后及时修补，避免了一场令玩家和所属公司Epic Games都毛骨悚然的噩梦。

尽管最后是虚惊一场，但玩家们“安全感”的丢失不可避免。“吃鸡”本就图个大吉大利，不料“吃鸡”游戏变身恐怖游戏，那么一些玩家自然会转战《绝地求生》等其他“吃鸡”阵地。无论玩家群体多么庞大与坚固，都禁不起接二连三的消耗，况且刚刚启程的中国游戏出海企业正处于玩家群体积累、品牌形象搭建的过程中，也毫无消耗的资本可言。

中国游戏企业出海就好比一场PVE比赛，DDoS攻击、爬虫攻击、Web和API攻击就是这张“海上”地图中的三个大Boss。若想顺利击败它们，只靠“个人单带”怎么够？还需要天衣无缝的团战配合、适应版本的游戏策略。面对愈演愈烈的安全挑战，Akamai可以成为中国游戏出海企业身旁“疯狂carry”的队友。备受业界认可的Akamai云安全解决方案可以为中国游戏出海企业提供具有层次性的防御措施，帮助提高游戏平台每一个层面的防御能力。踏骇浪、避暗礁、越险滩，闯过这三道关卡成功登陆之后，才是中国游戏出海企业施展拳脚的广阔天地。