轉眼到了八月，一年一度的游戲盛會ChinaJoy如約而至，“熱度”堪比場館外魔都的高溫。各路玩家排起長隊準備體驗新電競設備、與Cosplay人物合影留念，亦或是前排圍觀游戲比賽、等待親自上陣……現場的火熱折射出游戲行業發展迅猛的勢頭和玩家群體不斷擴大的趨勢。然而，黑客總是被利益牽著鼻子走，哪里嗅得到金錢的味道，哪里就有他們的身影。龐大的玩家群體及其帳戶中頗具價值的資產和個人信息便是誘餌，使得游戲行業成為黑客眼中的“香餑餑”。正因如此，安全成為了本屆ChinaJoy備受關注的焦點。

在游戲全球化的大背景下，越來越多的中國游戲企業也踏上遠征之路，揚帆“出海”。Akamai觀察到，中國游戲出海企業同樣飽受安全問題困擾，不得不面對素來兇險的網絡環境。從2017年到2018年，Akamai監測到的DDoS攻擊和基礎架構層(第三、第四層)攻擊數量均上升16%，而應用層攻擊的增幅更是高達38%(見圖一)。

圖一

俗話說“知己知彼，百戰不殆”。在保護游戲安全這場與黑客的較量中，中國游戲出海企業必需應對三大類型的攻擊，即DDoS攻擊、爬蟲攻擊，以及Web和API攻擊。

DDoS攻擊如駭浪

由于對發起攻擊者的技術水平要求較低，DDoS成為常見的攻擊方式，它以流量型攻擊和應用層攻擊為主，主要通過大量僵尸網絡對目標發起攻擊，讓目標帶寬癱瘓或服務器崩潰，導致普通用戶無法正常訪問。DDoS攻擊很少是單一事件，而是一浪接一浪，一旦遭到攻擊就需為后續威脅做好充分準備。根據Akamai的監測數據，游戲行業在2018年全年都是十分易遭受DDoS攻擊的行業(見圖二)。

圖二

2017年8月，全球知名游戲制作和發行公司暴雪的服務器遭受DDoS攻擊，旗下的《魔獸世界》《守望先鋒》《風暴英雄》均出現異常，眾多玩家向暴雪報告游戲中出現畫面嚴重卡頓、網絡延遲等現象，更有玩家表示遇到強制退出的情況。2018年7月，暴雪服務器再次遭到DDoS攻擊，多名《守望先鋒》玩家表示游戲界面出現異常卡頓和延遲，同時出現部分玩家掉線的狀況。

姑且說，暴雪家大業大，經典游戲不勝枚舉，鐵桿粉絲遍布全球，一次甚至兩次的DDoS攻擊都遠不足以拖垮這個行業巨頭。但是對于剛剛走出國門且尚處于摸索階段中國游戲出海企業而言，卻足以致命，免不了眼睜睜地看著初來乍到的玩家退出游戲、卸載客戶端、再也不回頭。

爬蟲攻擊似暗礁

爬蟲攻擊主要指植入在主機和終端內的惡意的程序和代碼被CC端等控制端控制成為攻擊工具，猶如深藏海底的暗礁，對目標發起的一系列具有隱蔽性的攻擊。“撞庫攻擊”正是一種典型的利用爬蟲發起的攻擊方式。Akamai最新發布的《2019年互聯網安全狀況報告：Web攻擊和游戲撞庫》顯示，在2017年11月至2019年3月期間，黑客針對游戲網站進行了120億次撞庫攻擊，這一數字也在不斷上升(見圖三)。

圖三

“玩家被盜號”常常是撞庫攻擊在作祟。游戲撞庫的攻擊目標即獲取用戶信息數據庫，出售帳戶信息的最終目的也就不言而喻。根據Akamai調查，超過一半的玩家在游戲帳戶遭到入侵之后的經濟損失在100到1000美元之間。暗網上每個游戲帳戶的最低價格可低至1.3美元。此前，《堡壘之夜》的玩家帳戶信息在黑產市場進行兜售(見圖四)。2018年2月，再次曝出多名《堡壘之夜》玩家的游戲帳戶被盜取200到500美元不等金額的情況。

圖四

游戲產業繁榮的背后，自然伴隨著黑色產業鏈的崛起。面對利益熏心的黑客們，中國游戲出海企業如果不能保證玩家的帳戶安全，那么獲得玩家信任便是天方夜譚;如果缺少了玩家的信任，發展固定玩家進而拓展市場更是無稽之談。這樣以來，在海外角逐中不過是只“萌新”的中國游戲企業又會陷入舉步維艱的死局。

Web和API攻擊勝險灘

Web攻擊是利用從底層Web服務器到上端應用層的各種漏洞和弱點發起攻擊。被視為Web應用安全領域的權威參考的OWASP在最新版《10項最嚴重的Web應用程序安全風險》報告中，將包括SQL注入(SQLi)在內的注入型攻擊與跨站腳本攻擊(XSS)列入其中。同時，由于近年來手機移動終端的發展，越來越多的應用程序不再以網頁的形式呈現，而是通過后端的API接口進行交互，API攻擊也隨之增多。

根據今年1月的報道，《堡壘之夜》基礎架構被檢測出嚴重的安全漏洞，其中包括SQL注入(SQLi)、跨站點腳本(XSS)錯誤，以及Web應用程序防火墻繞過問題。《堡壘之夜》允許玩家通過第三方登陸，一旦漏洞被黑客利用、玩家帳戶被入侵，后續可能出現的信息泄露和經濟損失不堪設想。工作人員在發現問題之后及時修補，避免了一場令玩家和所屬公司Epic Games都毛骨悚然的噩夢。

盡管最后是虛驚一場，但玩家們“安全感”的丟失不可避免。“吃雞”本就圖個大吉大利，不料“吃雞”游戲變身恐怖游戲，那么一些玩家自然會轉戰《絕地求生》等其他“吃雞”陣地。無論玩家群體多么龐大與堅固，都禁不起接二連三的消耗，況且剛剛啟程的中國游戲出海企業正處于玩家群體積累、品牌形象搭建的過程中，也毫無消耗的資本可言。

中國游戲企業出海就好比一場PVE比賽，DDoS攻擊、爬蟲攻擊、Web和API攻擊就是這張“海上”地圖中的三個大Boss。若想順利擊敗它們，只靠“個人單帶”怎么夠?還需要天衣無縫的團戰配合、適應版本的游戲策略。面對愈演愈烈的安全挑戰，Akamai可以成為中國游戲出海企業身旁“瘋狂carry”的隊友。備受業界認可的Akamai云安全解決方案可以為中國游戲出海企業提供具有層次性的防御措施，幫助提高游戲平臺每一個層面的防御能力。踏駭浪、避暗礁、越險灘，闖過這三道關卡成功登陸之后，才是中國游戲出海企業施展拳腳的廣闊天地。