“安全无小事”:当游戏遭遇安全问题,应该怎么做?
原创“安全无小事”:当游戏遭遇安全问题,应该怎么做?
原创
前言
近年来,游戏行业欣欣向荣,游戏玩家也呈指数级增长,全球数以亿计的游戏玩家享受着网络游戏广泛的互动体验,然而,由于游戏的崛起和受欢迎程度也使其成为网络黑客寻求利用其漏洞的首选目标。
出于多种原因,游戏行业对于网络攻击者来说是一个有吸引力的目标,毕竟网络游戏每年在全球产生数百亿美元的收入,使其成为利润丰厚的经济收益目标。同时游戏玩家的庞大用户群又为黑客提供了大量个人信息资料,而这些信息可被用于身份盗窃和其他恶意目的。
而且因为用户常常希望使用模组、作弊工具或其他第三方程序修改他们的游戏,这又让网络黑客进一步扩大了攻击面。由于游戏行业竞争激烈,一些玩家获取BUG成功后会获得丰厚的奖金,这让攻击者也有动力利用网络攻击来破解和确保他们击败竞争对手。
除了流行的在线游戏外,该行业还包括赌博和在线投注,攻击者可以将其作为操纵投注或获取投注或赔率的内幕知识的一种方式。这些网站上的帐户通常包含银行信息以便接收付款,因此这对于ATO或数据盗窃来说是非常有价值的信息。赌博业还遭受出于政治和道德动机的攻击,比如在国内,因为国家严令禁止赌博,所以也有黑客活动分子会通过DDoS或DNS来封锁赌博网站。
除了黑客行为和竞争之外,该行业还成为勒索软件等其他常见攻击的目标。2021年,制作热门游戏《巫师》和《赛博朋克》的CD Projekt Red遭受勒索软件攻击,泄露了包括源代码在内的内部数据。此次违规导致项目发布严重延迟,并对公司造成财务影响。发布源代码和内部数据的影响可能会导致公司失去重要的知识产权,并且可能对流行游戏产生严重的安全影响。游戏网站的价值和受欢迎程度使它们成为攻击者的常见目标。
DDoS攻击:极大的破坏玩家游戏体验
分布式拒绝服务(DDoS)攻击是游戏行业的常见威胁,这些攻击涉及用大量流量淹没目标网络或服务器,从而导致目标无法处理合法请求,进而导致服务中断。攻击者可能会针对游戏网络进行DDoS攻击,以获取经济利益、报复,或者只是为了造成混乱并破坏用户的游戏体验。
由于游戏行业需要依赖稳定的互联网来玩多人游戏和加载高质量内容,因此任何网络中断都可能造成严重后果。
同时对于体育博彩来说,可靠的互联网连接对于准时投注至关重要。去年12月的2022年世界杯期间和2023年5月的NBA总决赛期间,体育博彩网站则非常频繁地成为攻击目标。除了扰乱运营之外,DDoS攻击还可以起到烟幕弹的作用,以分散人们对其他更严重攻击的注意力。
2022年下半年,受保护的游戏网站遭受的应用程序DDoS攻击明显增多。这是因为此期间热门游戏经常发布,DDoS攻击量经常增加。
2020年,西方热门游戏公司育碧赢得了针对互联网攻击者的诉讼,这些攻击者出售软件对运行《彩虹六号:围攻》游戏的服务器进行DDoS攻击,以破坏比赛并试图获得优势,然后玩家经常利用此DDoS软件来避免输掉游戏并破坏在线排名。这些服务通常被称为DDoS租用、引导或压力服务,在游戏行业中很常见。这些服务允许任何人以用户友好的格式租用DDoS攻击能力,并允许没有技术能力的人对游戏服务器进行攻击。这允许用户通过扰乱游戏或迫使对方玩家断开连接来轻松获胜,此类攻击也可能是为了报复被察觉的作弊或其他轻视行为。
经常用于租用出去的DDoS攻击成为了游戏行业的常见威胁。攻击者还可能选择网络DDoS来尝试造成最大程度的中断,而不是针对特定游戏功能的应用程序。
确保游戏行业安全:Web应用程序和API保护
Web应用程序和API是游戏行业不可或缺的一部分,为在线多人游戏体验到游戏内购买的一切提供动力。然而,这些技术一直存在攻击者可以利用的漏洞。攻击者以各种动机瞄准游戏行业:窃取用户数据、未经授权访问游戏系统或破坏服务。所以Web应用程序和API安全对于确保游戏行业的安全和保护用户数据至关重要。
2022年,游戏行业最常见的攻击是跨站脚本攻击,在所有攻击种类中占比32.2%。究其根源是因为2022年6月针对一款流行在线角色扮演游戏的针对性攻击。XSS可能是游戏行业的常见威胁,因为用户生成内容的盛行为攻击者提供了可乘之机 输入恶意脚本。去年排名靠前的CVE主要是远程代码执行漏洞,例如Log4Shell(CVE-2021-45105和CVE-2021-44228)以及Oracle和ThinkPad错误。这些漏洞可能使攻击者能够控制游戏服务器、窃取数据并运行作弊代码,从而在游戏过程中获得利益,特定游戏中发现的其他零日漏洞可能会被利用来访问用户数据或操纵游戏玩法。
社会工程攻击在游戏行业也很常见,许多玩家使用的在线社区、虚拟聊天室和消息平台很容易受到社会工程攻击,匿名性允许黑客冒充游戏官员,甚至游戏平台,试图获取凭证和其他有价值的信息。
API(允许程序相互交互的协议)是另一个常见的攻击媒介,它们很容易受到影子API和业务逻辑滥用等威胁,影子API或未记录且未由正常IT管理和安全流程维护但未删除的API对游戏网站构成威胁。2022年,游戏中所有API流量的28%都流向了标记为影子API的API端点。这些被遗忘和无人维护的API为攻击者提供了通往网络其余部分的途径,这可能会造成灾难性的后果。游戏公司可能更容易受到API威胁,因为他们经常处理敏感数据,例如用户凭证和财务信息。此外,游戏公司更有可能使用API来提供游戏服务,这使得API成为攻击者有吸引力的目标。
对API的另一种常见攻击是业务逻辑滥用。在所有API攻击中,业务逻辑攻击占65%,它们试图利用应用程序逻辑中的缺陷,对游戏和赌博网站构成巨大威胁。这些攻击可能针对在线游戏机制、支付门户、用户交互或其他危害游戏和在线赌博操作的方式。
恶意机器人和自动化攻击对游戏的影响
恶意机器人是自动化软件程序,旨在执行恶意任务,例如抓取数据、发起DDoS攻击或利用Web应用程序和API中的漏洞。机器人可能会窃取用户数据、扰乱服务和操纵游戏内经济,从而对游戏行业造成严重破坏。攻击者利用不良机器人瞄准游戏行业,以获取经济利益、竞争优势。
我们通常讲机器人分为三个级别:简单、中等和高级。简单的机器人使用自动化脚本连接到网站,并且不会自我报告为浏览器,而中等机器人则模拟浏览器技术,而高级机器人则模仿人类行为。
2022年,大多数机器人攻击来自简单机器人,其中占比达到55%。因为垃圾邮件、DDoS或游戏内货币挖矿等常见游戏攻击可以相当简单地编写,并且比更深入的攻击需要更少的复杂性。中等机器人(7%)在博彩网站上的比例较高,因为这些网站需要更专业的攻击。
帐户接管是另一种常见的机器人攻击,它利用被盗的凭据访问帐户,目的是泄露有价值的信息。ATO在游戏行业很常见,因为许多黑市网站将被盗的游戏帐户、虚拟物品或游戏内货币转换为现实世界的货币。此外,游戏网站的安全措施通常比受到严格监管的网上银行账户等网站的安全措施要低,这给攻击者提供了较低的进入门槛。如下图所示,去年黑客论坛上出售的游戏凭证数量稳步增长。
ATO攻击在假期期间达到顶峰,这可能是由于在线活动增加以及对游戏相关礼品产品的高需求所致。
解决方案
游戏行业的经济成功和庞大的用户群使其成为网络犯罪分子的主要目标。他们使用各种攻击方法,包括DDoS、Web应用程序和API攻击以及恶意机器人,通过了解这些攻击背后的动机和方法,游戏公司可以保护网络并确保行业的安全。通过保持警惕并实施强有力的网络安全措施,游戏行业可以继续蓬勃发展,并为全球游戏玩家提供愉快的体验。
抗D盾是针对各类客户端、APP面对DDoS、CC攻击推出的高度可定制化的网络安全管理解决方案。新一代的智能分布式云接入系统,接入节点采用多机房集群部署模式,拥有较快的调度能力和加密能力,可以做到无限防御DDOS攻击;拥有的防御CC集群,通过针对私有协议的解码,支持防御游戏行业特有的CC攻击;适合任何TCP 端类应用包括(游戏、APP、微端、端类内嵌WEB等),通过封装登录器的方式或SDK/DELL接入的方式达到隐藏真实IP的目的,用户连接状态在各机房之间实时同步,节点间切换过程中用户无感知,保持TCP连接不中断,轻松应对任何网络攻击
抗D盾架构
安全加速SCDN针对Web业务面对DDoS、CC攻击推出的高度可定制化的网络安全管理解决方案,是集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案,是由分布于不同地理位置的高防服务器组成的虚拟网络,可帮助您以最小的延迟将内容分发给用户,同时高防的兼顾了业务的安全运行,它通过“高防节点(PoP)”的广泛分布使内容更接近用户的地理位置。同时,SCDN还会进行数据缓存,以加快网页加载时间并减少带宽消耗。
针对上面提及DDoS攻击,以及Web漏洞攻击,都有针对性防护,引入AI检测和行为分析,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护业务安全。同时,SCDN还包含全面开放自定义规则安全能力,引入语义解析引擎,用户可以通过正则或者字符串的方式,自定义安全防护策略,满足个性化防御需求。提供详细报表分析、全量日志查询和告警功能,全面了解业务带宽使用情况,业务安全情况,快速决策和处置安全问题。自动监控业务可靠性,动态调度,提供高可靠、高可用的WAF防护服务。等等
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。