上海云盾CEO王晓旭:棋牌游戏应如何应对黑客攻击?
黑客攻击在 游戏 领域时常发生,但棋牌行业更甚。在2017TFC中国棋牌游戏生态大会上,来自上海云盾CEO王晓旭发表了名为“棋牌游戏如何应对黑客攻击”的演讲。在演讲中,上海云盾CEO王晓旭指出游戏本身就是一种实质性、高交互的协议,所以黑客通过这样的攻击效果非常好。而棋牌游戏为了快速抢占地方市场,往往一开始找了一些外包商或者是一些比较热门的代码,通过快速开发急急忙忙上线,于是黑客攻击、DNS劫持、DDOS攻击成为了棋牌游戏的常态。
另外在演讲中,王晓旭表示,游戏的应用安全、游戏的业务安全以及游戏的可用性安全三个方面都可能是黑客攻击的突破口,需要加以防范。
以下是演讲实录:
各位领导,各位朋友,大家上午好!说到游戏运营,我们只能给一些安全方面的建议,帮助大家能够更好的在游戏上面有更好的运营。游戏行业为什么可以成为俎上之肉,一般游戏被攻击有两种原因,要么是同行之间互相恶意竞争,要么就是你被黑客盯上了,黑客可能会向游戏运营商发起敲诈勒索。一般这种无辜躺枪的比较少,就是你被攻击,可能一些黑客在 互联网 上做扫描。游戏本身是一种实质性、高交互的协议,所以黑客通过这样的攻击效果非常好。并且游戏的协议往往是私有的,在应用层的CC上面难度相当大,黑客攻击成本非常低,一般在互联网上面通过一些论坛、一些攻击的群,只要花几十块钱、几百块钱就能够攻击一个IP。攻击成本低,效果又非常好,所以这个是游戏行业面临的最大安全问题。
同时,很多棋牌游戏他为了做地方的棋牌游戏,为了快速抢占地方市场,往往一开始找了一些外包商或者是一些比较热门的代码,通过快速开发急急忙忙上线。这其中肯定会存在很多的安全隐患,我们发现刚做棋牌游戏的客户游戏的系统架构存在非常多的安全漏洞,这让黑客就有更多的攻击点,让他有机可乘。
这个图是一个典型棋牌游戏的系统架构,我们对整个棋牌游戏总结下来大概有三个安全方面的问题,其中包括游戏的应用安全、游戏的业务安全还有游戏的可用性安全,这三大安全问题,下面我会给大家详细讲一下这三个安全问题点。
对于游戏的应用安全,其中包括了这几个点,游戏的活动页面、游戏的官方网站、还有棋牌的一些代理商系统,还有游戏的API接口。前者这四个都是基于外部协议来做的,还有一些APP包。特别是代理商系统和API接口往往有很多棋牌游戏就是因为之前的外包或者快速开发造成了很多安全漏洞,黑客往往会通过安全漏洞入侵到游戏的服务器系统,截取了游戏的核心数据,对这些数据做恶意篡改或者拿到你的一些网站信息。因为这个漏洞导致游戏的数据泄露,这是得不偿失的。对于游戏的APP,很多APP也是因为为了占领各个市场,做了好几个,也没有对APP做适当的加固。有一些黑客就会去篡改,会破解你的APP包,篡改里面的数字接口或者做一些谎报游戏的伪造APP包。我们发现有一些客户他的APP包里面的接口被人篡改了,黑客拿到第三方的应用去分发,最后是玩家在玩他的游戏,但是钱进了别人的口袋,这个就比较悲剧了。
还有一方面就是游戏的业务安全,包括游戏的活动,还有游戏安全合规的问题,还有DNS劫持,游戏最讨厌的外挂系统。互联网上面不单单有这种黑客,还有一些专门在互联网上的黑客,他们会注册平台的账号,当你一推出什么优惠的活动,他们就会批量去刷这些优惠券,造成你花了重金去做活动推广,最后其实效果非常差。还有一些黑客他会利用互联网上面已经泄露的账号密码信息,大家知道互联网已经泄露的账号密码信息非常非常多,黑客会利用这些账号密码批量去登陆,批量匹配你的游戏平台。万一被他运气好撞上,黑客就可以通过已经成功登陆的账号密码转移玩家的虚拟财产,造成玩家的账号被盗的问题。
对于DNS劫持,也就是流量劫持,游戏需要流量推广特别多的资源。今年6月1日国家颁布了《网络安全法》,专门针对流量劫持做了定义。以前的流量劫持是没有明确的法律法规,现在针对流量劫持已经是有明确的法规可以作为依据。针对游戏的安全合规问题,这个我们就不多说了,也就是游戏的自身运营安全。另外《网络安全法》现在要求设网的系统,超过1000个用户以上,其实都要做好等级保护要求,这个也是《网络安全法》的要求,如果你的游戏没有做好信息安全等级保护,这已经是一个违法行为了。
还有可用性安全,有支付接口、WEB应用、登陆服务器和房间服务器。这要求非常实时性,玩家对游戏的流畅度,游戏的体验,在玩的时候突然掉线或者非常不稳定,这个影响就非常大。一个游戏被持续攻击了,在线度下降90%,原来1000个玩家在线到第二天直接只变成100个玩家。所以游戏玩家的流畅度和游戏的体验是至关重要的。直接导致游戏的可用性,就是前面所说的黑客利用DDoS/CC攻击引起。还有因为一些地方棋牌游戏运营商,没有自己的技术团队,所以它本身代码质量就非常的低,它自己的活动的架构只是简单的拼凑。其实攻击并不大或者没有攻击,它的服务也非常不稳定,我们在帮它排查问题的时候,也非常困难。所以建议一些棋牌游戏运营商,尽量找一些靠谱的外包团队或者是自己打算做产品需要有相应的技术团队做支撑,要不然后面在运营的过程当中会非常的痛苦。
目前DDoS的攻击态势,我们在安全领域已经从业将近10来年,这10来年基本上游戏是DDoS攻击重灾区,不管其他行业怎么发展,游戏这个行业始终都会有非常大的攻击。其次,类似 互联网金融 、电商、O2O、在线教育这些有核心在线应用系统,大家可以观察一下其实就是互联网上面的钱在哪里,攻击就在哪里。因为钱多的地方竞争大,敲诈勒索的黑客也喜欢去敲诈这些有钱的企业。在今年的6月份,国内在西南区成都那边有一家棋牌游戏的公司,估计峰值流量达到1个T以上,这相当于一个一个二三线城市整个城市的网络出口,基本上可以把二三线城市给打塌。
行业目前对于DDoS的解决方案基本上是以下这几类,有一些是客户他自己解决,这另外再说。在运营商这个层面,这里运营商指的是电信运营商,本身会提供基于运营商层面的DDoS清洗,好比是造一个房间,它的钢筋、水泥决定房子的框架,为客户提供一个比较粗略的广告级的清洗,能够清洗四五百G的攻击。还有一些卖硬件硬件的盒子厂商,比如说造房子的一些装修物料,能够提供一些本地化的清洗和一些简单的应用层的安全测量。还有一些高防的IDC,这些IDC运营商他们基本上是各地为营,在各个省份,各个地方,他们自己造了一个房间,自己弄了一个简装修或者毛坯房,加上运营商的资源,加上设备盒子的资源出租给游戏客户,游戏厂商可以把一些服务器放在他这个房子里面。还有现在非常火的一些云计算的平台,他们相当于是一个精装修的房子交互。我们上海云盾为客户提供豪华装修全屋定制的方案,我们整合行业的大部分的资源,包括运营上的资源以及我们自己的平台和产品,为客户的业务提供精细化的清洗。
通过我们云端的安全网络帮助客户的业务系统,他的房间服务器,IP服务器、登陆服务器等等,提供我们应用安全交互。我重点说一下我们其中两个产品,一个是红网卫士,这个产品是帮助用户实时解决一些黑客入侵和一些业务安全的问题,不需要用户改他的源代码,就能够帮助用户解决一些垃圾注册。还可以帮助用户来防止一些黑客入侵,就是说你的应用有安全漏洞,我们可以通过虚拟补丁的方式来帮助解决你安全漏洞的隐患,同时帮助用户做一些黑客的分析,分析一些真正想入侵你的业务,想黑你的系统。通过我们的云端大数据分析,分析出黑客的一些关联网络跟他的攻击路径以及攻击行为。我们红网卫士这个产品,目前已经应用在众多的 金融 业务系统,包括一些大的金融,银行、证券和一些政府的信息系统下面。
我们的太极抗D这款产品,它有单个IP地址,我说得IP不是游戏行业里说得IP,这个IP是指互联网上面的虚拟IP地址。然后我们单个IP地址的清洗架构,刚才说了我们整合了运营商的资源,清洗完以后可以到本地再到应用层的房屋集群,形成三个清洗层的层层联动。同时,我们还可以跟客户进行深度的集成,通过集成我们的SDK,可以帮一些更复杂或者是攻击超级大的DDoS来做更好的防护,当然这个是需要游戏厂商能够互相协同,集成我们的SDK。
我们为客户提供安全服务的同时,我们也为一些大客户提供一些攻击溯源的服务。攻击溯源我们云盾有一支专门安全研究队伍,他们会在互联网上面追踪这些攻击组织,分析这些团伙。通过我们分析,帮助这些云端大客户提供一些攻击线索和信息的关联落地。在2016年的时候我们就在福州配合福州的网安打击了一个攻击团伙,当时经历了6个月的时间,抓到这个攻击团伙。要抓到幕后攻击者这是非常困难,有可能某个厂商他去指使某个马仔再叫黑客攻击。我们能做到就是落到后面的攻击组织再到后面的攻击者。
我们上面云盾游戏安全解决方案的特点,总结下来有以下几点,我们是一家中立的安全服务商,和客户业务无竞争。我们在安全行业已经从事了十来年,公司是2011年成立,但是整个队伍成员都是来自各大安全厂商或者是原来的甲方的一些专家,都具备十来年以上的工作经验。同时,我们解决方案非常的灵活,针对客户的应用进行一些量身定制。并且我们的DDoS最新推出了不按带宽计费的方式,我们可以跟一些刚推出来的游戏或者是刚刚成立的棋牌,根据他的玩家数量来计费,也就是说,我们可以根据客户的发展跟客户一起成长。我们非常希望服务好每一个客户,希望跟客户一起成长。你在游戏刚推出来的时候,你并没有什么收益,我可以在事先帮你提供技术的防护,根据你玩家数量,成长起来,你后面再相应给我一定的服务回报,这是双赢的状况。我们云盾的一站式的SAAS平台能够灵活组合,灵活的叠加其他的安全交互的产品,比如刚才说的几款产品,能够帮助用户一站式解决他整个应用生命周期的安全问题。我们的价格相当的亲民。
就为大家介绍到这里,谢谢大家!如果有兴趣可以加我 微信 后面有更多的交流,谢谢!
【来源: 手游 那点事 】