据全球媒体venture beat的数据,2016年,全球游戏市场份额达到910亿美元,手游占据了一半,中国的手游玩家数量,已经稳居世界第一。
在游戏行业旺盛的生命力背后,网络攻击也在游戏行业中逐利、蓄意破坏、助长恶性竞争。玩家的第二世界,也是 “恶魔的游乐场”。
steam最近公布的官方数据显示,每个月约有77,000个steam账户的凭据被盗,每年,全球针对游戏行业的ddos攻击几乎是成倍增长。
twitter: 暴雪公司因ddos攻击而导致无法访问
据全球媒体venturebeat的数据,2016年,全球游戏市场份额达到910亿美元,手游占据了一半,中国的手游玩家数量,已经稳居世界第一。
在游戏行业旺盛的生命力背后,网络攻击也在游戏行业中逐利、蓄意破坏、助长恶性竞争。玩家的第二世界,也是“恶魔的游乐场”。
而作为游戏行业的安全负责人,肩负的责任除了系统的稳定、可用,数据的安全、保密之外,还有每一个玩家的体验。对于游戏行业来说,被攻击所造成的业务中断,不仅意味着资金损失和玩家流失,许多游戏项目也有可能就此终结。
数据显示,遭受攻击2-3天后,游戏公司的玩家数量一般会从几万人,跌落到几百人。
作为一家国内知名手游公司的技术运维和安全负责人,w(化名)6年来每天的工作时,都感觉“手上端着一个天平”,一边是服务本身的稳定,一边是给玩家最好的实时交互体验。
“安全对于一家游戏公司来说可谓非常重要。在极端情况下,安全可能直接决定了游戏业务发展的成败。如果企业内部的安全漏洞被利用,那么所有用户的敏感信息都可能直接对外暴露,这对用户信心和企业形象的打击都是致命的。”
虽说任何行业的技术运维都有难解的问题,但游戏行业的安全,可以说属于安全中的“hard”模式。
难在哪里?
w提到,一方面,用户访问服务的网络质量和速度至关重要,需要保证24*7在线状态;另一方面,为了保证游戏过程中的体验流畅,低延迟无丢包的网络状态是必需的。
“以个人经历来看,我觉得最困难的事情是在受到攻击的情况下,既要隔离异常流量,又要保证正常用户访问不受影响。以我的经验,从网络架构入手,比在服务端做调整效果更好。”
作为安全掌舵人,w通过一系列内外结合的方式,来降低系统和业务的安全风险。
在游戏反外挂方面,除了在客户端和服务端采用严谨合理的数据加密和验证外,也配合第三方加固产品,提高数据篡改的难度。
在账户安全方面,登录接口的所有数据通讯内容,统一启用强加密和数据校验;支持用户账号绑定移动设备,登录时默认启用短信验证码;用户使用了弱口令密码时,也会做合理提示。
在web安全方面,所有会话默认启用ssl,配合第三方cc防护检测。
最后,在ddos防御方面,主要使用云安全防御产品来清洗攻击流量。
从2016年开始,w所在公司的业务规模不断扩大,不断往上跳的用户数,让整个团队肩上有了更重的责任。
w的团队也开始思考,如何去增加更多的业务入口、转发节点,来避免由于单入口故障导致大规模掉线,缓解异常流量对单节点的攻击压力。
在业务规模越大的时候,突如其来的攻击,就会变得越致命。
除了做好自身的架构优化和安全管理,w的团队开始接入第三方的ddos防护服务,除了减小被攻击几率,w也很重视业务加速功能,自定义隔离策略,cc防护,和异常流量清洗。
在经过为期半年的调研和选型后,w的团队与阿里云游戏盾开始了合作。游戏盾基于数据和算法的风控模式,覆盖了w团队目前所考虑到的几乎所有需求。
“在安全管理上,团队一直是比较接纳新技术的。基于ai和智能算法的ddos防御,国内只有游戏盾在支持。功能上,相比传统的ddos防御,服务相对全面。例如,不仅支持异常流量清洗,也实现了业务加速的功能,支持客户接入sdk实现自定义的隔离策略等。在防御体系上,我们是希望通过与游戏盾的合作,领先一步,最终是为了自己的玩家能够有更好的体验吧。”
除了功能的完整度,和技术创新之外,成本也是w选择合作的另外一个因素之一。相比传统的ddos防御服务按带宽计费,w的团队在计划预算时,认为游戏盾按节点计费的性价比更高。
开始合作后,w感受最直接的,是业务可用率的提高。
“从第三方监控来看,在使用游戏盾前,业务可用率维持在97%左右;使用游戏盾后业务可用率一直在99.5%以上。”
业务加速效果的提升也在w的预料之中:“在全国主要一二线城市监测节点到业务入口的连接时间,比使用游戏盾前缩减了5%-10%,”他说。
谈起选择云安全服务方时的经验,w提到了三个指标:对方技术和产品的实战打磨,对方在云安全保障上的投入,以及服务方后台支持人员的专业程度。
“曾经听过一个理论,当你选择一个tob的产品或服务时,一个很重要的指标是看他们自己的公司有没有在使用这个产品。这就像是你去一个餐厅吃饭,如果自己的工作人员都不吃自己厨房里做的菜,那么客人们又如何能相信呢?”
他说:“在与阿里云合作之前,已经了解到阿里巴巴的aliguard技术,早已用在了双十一中,也是自研的技术;阿里云的安全团队,也有了差不多10年的经验。这可以说是一颗定心丸吧。”
w也告诉我们,掌管游戏公司的企业安全,即便有两个专业团队的支持,在自己专业领域知识的提升上,从不能懈怠。
w最近在“修行”的,是漏洞管理的知识:“我经常会读网络安全方面的书籍,对自己的团队,也会有定期的培训。各个服务商提供的安全漏洞知识库也是很好的补充。书籍更多是理论知识的了解,安全漏洞一直在升级改进,分析各种实际案例可以加深这方面的认知。”