做好防护:保护游戏安全是一场硬仗
数据分析:Camila Cabrera Camacho
文稿编辑:Maria Vlasak
特别感谢 Chris Finch、Alan Evans、Dan Greer、Ken Eaton 和 Todd Loewenstein 在各自专业领域的支持
游戏行业可以说是我们这个时代一个颇具影响力的行业,全球有 25.8 亿视频游戏玩家 ,行业产值达到了 1844 亿美元。随着每一代人对技术的依赖越来越深,这个规模庞大的行业还会继续壮大。在 这个由三部分组成的博文系列中,我们将从几个不同的角度探索精彩万分的游戏世界。
本篇是其中的第一篇,我们将回顾过去 18 个月(2023 年 1 月至 2024 年 6 月)的统计数据,重点讨论所面临的安全挑战。
在第二篇博文中,我们会进入 3D 领域,并讨论游戏背后(屏幕两端)的玩家。
☁️ 在第三篇也是最后一篇博文中,我们将从技术的角度探讨 分布式云游戏。
安全专家面临复杂挑战
游戏行业一个非常有趣的特点是,它拥有着独特的安全环境——玩家和开发者就像是行走在网络世界的雷区,随时可能踩中地雷。相比其他行业的大多数用户,即便是游戏行业的普通玩家都更精通技术,这意味着游戏行业的“内部威胁”可能来自网络内部,也可能就在游戏环境之中。
这个行业还有着非常独特又普遍存在的攻击者形象: 麻烦制造者。某个主播说了他们不喜欢的话?他们就会构建爬虫程序,让主播下线。麻烦制造者还会假装是游戏中的盟友,在建立信任后利用聊天功能传递恶意负载或 URL。
技术控人群带来的机会和风险
游戏行业鼓励玩家之间交流协作,也拥有与之相匹配的技术思维,但这种思维本质上却与安全防护的主旨背道而驰。某些行为在安全领域被视为可疑甚至恶意活动,但在游戏行业不仅司空见惯,而且还受到欢迎和鼓励。例如,模组是游戏文化不可缺少的一部分;在某些情况下,外挂被认为是游戏玩法的一部分。
安全人员非常清楚,他们所引以为傲的那些策略、技术和程序也可能被用于实施恶意行为。在维恩图中,喜欢游戏的人群和拥有技术背景的人群相互交叉重叠,这就使得违规与技术创新可能会共生。
这也意味着攻击者可能有不同的目标,而这些差异会影响攻击趋势。除了游戏里,还有什么地方可以让人有机会在两个不同环境中使用爬虫程序获利?只要愿意,人们甚至可以几个平台同时操作。
在这篇博文中,我们将讨论过去 18 个月游戏行业存在的安全挑战。
威胁从线上蔓延到线下
除了要处理玩家之间的网络问题外,游戏行业也要像其他行业一样应对各种安全挑战。众所周知,攻击者在经济利益的驱动下以追逐金钱为目标,而游戏行业在攻击者眼中就像一座明晃晃的金矿。
我们都知道,网络威胁并不局限于技术攻击,而恶意行为也并非只有攻击者会实施。有些手机游戏广告的定向投放虽不违法,但可能会被视为恶意行为,甚至是不道德的行为。当然,这是广告活动中普遍存在的现象,并非游戏行业所特有。无论定向广告的意图是什么,它都会影响玩家的消费习惯,进而影响攻击者的下一步行动。
订阅
游戏发行商要制作一款 AAA 级游戏,预计要投入数百万美元的成本,而这些成本最终会转嫁到消费者头上。每款游戏的价格从 60 美元上涨到 70 美元并非小数目,可能会影响那些精打细算的玩家对于何时购买(或是否购买)游戏的决定,尤其是在有多种订阅服务可选的情况下。
与其他相似的媒体类型一样,订阅服务在游戏行业也占据了主导地位。市场上的游戏数量太多,购买所有游戏从经济上讲并不现实。包括手机游戏订阅在内,目前市面上有十多家游戏订阅服务提供商,都在想方设法从价值 117 亿美元 的“蛋糕”中争夺更多份额。
攻击与订阅服务的关联
不用算也知道,订阅服务越多,用户帐户也就更多,意味着发生撞库攻击或帐户滥用的可能性更大。而且,随着可冒充的品牌越来越多,攻击者可以模仿的内容也越来越多,这代表他们有更多机会实施网络钓鱼或其他诈骗活动。
“订阅疲劳”是真实存在的,而且代价高昂。此外,还必须考虑物理存储空间或虚拟存储空间的问题。
第 7 层 DDoS 攻击增长迅猛
第 7 层分布式拒绝服务 (DDoS) 攻击年同比增长达到了 94%。攻击次数居高不下,在我们观察的 18 个月中,有 4 个月(2023 年 6 月、8 月和 12 月,以及 2024 年 5 月)的单月第 7 层 DDoS 攻击次数超过了 250 亿次(图 1)。
图 1:每月的第 7 层 DDoS 攻击次数
2023 年 1 月至 3 月的第 7 层攻击次数最少,每月攻击次数不足 150 亿次。这类攻击的增长趋势十分显著,2024 年 2 月的低位是本年度目前为止每月攻击次数的最低值,但仍旧超过了 190 亿次,这意味着 今年目前为止每月攻击次数的最低值比去年 1 月、2 月、3 月和 4 月的攻击次数还要高。
APJ 地区是第 7 层攻击的重灾区
亚太地区及日本 (APJ) 对游戏行业影响巨大,2023 年该地区游戏行业收入达到了 858 亿美元,在该年度游戏行业 全球收入 中占比最高。而且,该地区拥有 1790 亿游戏玩家, 占人口数的 23%。
今年 APJ 地区仍然是主要攻击目标,过去 18 个月发生的第 7 层 DDoS 攻击次数在各地区中最多,共计 1860 亿次(图 2)。
图 2:2023 年 1 月 1 日到 2024 年 6 月 30 日,各地区的第 7 层 DDoS 攻击次数
爬虫程序请求的黄金时节
一月和六月
2023 年第一季度到 2024 年第一季度,爬虫程序请求增长了 391%。这个增长幅度在年初就已达到—— 2024 年 1 月游戏行业的爬虫程序请求数量创下历史新高,达到了1470 亿次,这是 单月内 发生的次数 (图 3)。
图 3:游戏行业每月收到的爬虫程序请求次数
今年 6 月的请求数量(1450 亿次)与 1 月相比不相上下,是 2023 年 6 月的三倍多。再来一个更直观的对比:在整个观察期内,欧洲、中东和非洲 (EMEA) 地区仅发生 590 亿次爬虫程序请求(图 4)。
图 4:过去 18 个月各地区的爬虫程序请求次数
夏季和冬季
Web 应用程序防火墙攻击
2023 年第一季度到 2024 年第一季度,游戏行业 Web 攻击增长了 94%。其中增长最稳定的是 Web 应用程序防火墙 (WAF) 攻击。在 2023 年 5 月急剧下降之后,又出现逐月持续上升的趋势。2024 年 6 月是目前为止攻击次数最多的月份,达到了 10 亿次(图 5)。
图 5:游戏行业每月受到的 WAF 攻击次数
相比去年同期水平,2024 年 5 月和 6 月的增幅分别达到了令人惊讶的 451% 和 504% 。我们预计,随着应用程序和 API 使用量增加,这些数字将继续攀升。
细分解读:传统 Web 攻击
将这些数据进一步细分,只观察传统 Web 攻击(结构化查询语言注入 [SQLi]、命令注入 [CMDi]、本地文件注入 [LFI]、跨站脚本 [XSS]、远程文件包含 [RFI] 和服务器端请求伪造 [SSRF]),我们发现 SQLi 是整个观察期间对游戏行业影响最大的 Web 攻击威胁,攻击次数超过了 7 亿次(图 6)。这种情况并非游戏公司所独有,在游戏玩家遭受的攻击中,SQLi 也 高居首位 。
图 6:游戏行业受到的各类传统 Web 攻击次数
过去几年,LFI 在各个行业稳步增长。LFI 可导致其他类型的 Web 攻击(例如 XSS),在某些情况下还可能导致远程代码执行。因此,LFI 绝对是游戏发行商需要警惕的一种攻击。
SQLi 除了高居前列,也是极诡秘难测的一类攻击,这也体现了游戏行业的性质。图 7 显示图 6 中各类型攻击的每月数据,其中 SQLi 的轨迹最是跌宕起伏。
图 7:游戏行业每月受到的传统 Web 攻击次数
2023 年第 1 季度游戏发行量激增,部分原因在于新冠疫情导致的积压。疫情期间,游戏发行日期不断推迟,使得玩家对这些新游戏的需求持续累积,进而可能导致了这段时期 SQLi 的急剧增加。SQLi 的偶发性增长也可能说明了攻击者目标的不同。
北美与其他地区 Web 攻击呈现数量级差距
100 万和 10 亿之间的差别已经让人难以想象,更不用说 3.32 亿与将近 90 亿之间的巨大差距了。2023 年 1 月 1 日至 2024 年 6 月 30 日期间,EMEA 和 APJ 地区 Web 攻击次数的总和与北美地区攻击次数的差距,就达到了这样的级别(图 8)。
图 8:2023 年 1 月 1 日到 2024 年 6 月 30 日,各地区的 Web 攻击次数
写在最后