“很多人不同账号使用相同密码,而地下黑产掌握数十亿对账号密码关系,撞库、刷库所造成的账号被盗量,占整体被盗账号的80%,盗号所衍生的黑产业链年获利超百亿元。”7月27日,2017年网络安全生态峰会的电商生态安全论坛上,电商生态安全联盟发布了25000余字的《电子商务生态安全白皮书》,首次披露中国电商的生态安全状况。
电商生态安全白皮书:80%被盗账号系撞库、刷库造成
“单一、传统的安全防御手段,已不足以保护电商行业的自身发展,需要有一种新的模式,让电商行业内的安全资源互补,共同抵御日益严峻的网络安全问题。”电子商务生态安全联盟常务理事长、阿里巴巴集团安全部研究员张玉东表示。
阿里巴巴集团安全部研究员张玉东
正是基于以上考虑,2016年7月13日,阿里巴巴发起并成立“电子商务生态安全联盟”SAEE (Security Alliance of
E-Commerce Ecosystem)。
SAEE针对生态圈内各个伙伴的安全需求,量身定制了6项安全标准,规范行业内的数据安全管理,目前联盟标准覆盖的ISV(独立软件提供商)应用总订单占比达95%。
记者从SAEE获悉,目前SAEE已吸纳35家有行业影响力的ISV服务厂商、物流公司、商家等生态合作伙伴加入联盟,而且,越来越多的平台、商家、ISV、物流正陆续加入,已形成国内最专业权威的电子商务安全生态圈。
SAEE基于过去一年的现状发布了《电子商务生态安全白皮书》。报告全文25000余字,按照基础网络、系统应用、数据、业务等不同安全风险类别划分,从电子商务生态行业内平台、商家、ISV、物流等多维度分析,将千万电商、数亿人群所面临的风险和威胁数据可视化,让从业者、使用者、支持者提高安全防范能力。
记者发现,《电子商务生态安全白皮书》其中一项研究指出,电商欺诈主要集中在北京、上海、广东、浙江、江苏等经济较发达省市,诈骗来源分布主要集中在福建和广东。电商日常敲诈勒索事件占所有恶意行为事件的比例最大,达到38%。
电商生态安全联盟:通过提高行业整体水位抵御安全风险
“希望通过此安全风险报告可以让从业者、使用者、支持者重视安全风险,提高安全意识,更进一步的提高电子商务的安全水平。”在论坛上,SAEE秘书长、阿里巴巴集团资深专家张世长介绍说。
SAEE指出,阿里巴巴集团作为电子商务生态安全联盟的发起者和成员,在过去的一年中,分别对联盟成员提供了诚信计划、御城河、安全众测、威胁感知等多项服务。
阿里巴巴集团资深专家张世长
诚信计划聚集电商生态安全联盟内各成员的力量,共享不诚信的人员行为信息,帮助联盟企业抵御生态内的恶意行为,为企业经营安全保驾护航。
御城河 (eco.alibaba.com)
则是阿里巴巴推出的一套大数据驱动的信息安全产品,针对商家、服务商和物流,分别推出商家数据保镖、服务商数据保镖、物流协同平台三个产品。
目前,御城河已覆盖了95%淘系交易订单,每天帮助服务商分析6.5亿次核心数据访问行为并拦截风险,每天帮助物流商分析6000万次核心数据访问行为;超过300万商家的近800万终端正在使用受我们保护的服务商或物流应用。
安全众测服务是指阿里安全应急响应中心 (security.alibaba.com)
运营着千人规模的技术白帽群体,其中的TOP100核心白帽群体,协助阿里巴巴集团安全解决了大量重要的安全问题,它也协助电商生态合作伙伴发现自身系统的安全问题,提升安全水平。
威胁感知服务可以让联盟内各成员间通过御城河产品便捷的共享威胁情报,从而扩大联盟成员的威胁情报视野,让联盟能够更加快速的检测和应对网络威胁,降低潜在安全风险。
据悉,在2017网络安全峰会上,SAEE联盟也发布了三项联盟标准:《电子商务第三方软件安全要求规范》、《物流快递行业安全等级划分技术规范》和《物流快递行业安全审计日志接入规范》,这些标准已经在SAEE联盟的众多ISV厂家和物流厂商中实施,大大提高电子商务ISV、商家、物流等电商生态参与者的安全能力,促进安全、健康、有序的电商生态环境的共建。
