游戏行业对安全存在的两大误区

游戏行业一直是竞争、攻击最复杂的一个“江湖”。许多游戏公司在发展业务时，对自身的系统、业务安全，存在诸多盲区；对DDoS攻击究竟是什么，怎么打，也没有真正了解。

有多少充满激情的创业团队、一个个玩法很有特色的产品，被这种互联网攻击问题扼杀在摇篮里； 也看到过一个运营很好的产品，因为遭受DDoS攻击，而一蹶不振。

在与游戏公司安全团队接触的过程中，看到游戏行业对安全有两个很大的误区。

第一个误区是：没有直接损失，就代表我很安全。事实上，相比其它行业，游戏行业的攻击量和复杂度都要高一筹。 每个游戏公司，每个应用，其实都遭受过攻击。但许多游戏安全负责人，仍然会“蒙在鼓里听打雷”，没有察觉正在发生的攻击，或者干脆视而不见，由此埋下安全隐患。

第二个误区是：很多游戏行业安全负责人会认为，只要装了防火墙，就能挡住绝大部分的攻击。然而，防火墙的功能其实很有限。这也从侧面说明了许多游戏行业安全薄弱的根源：只去做好一个点，却看不到整个面。攻击者总会从意想不到的薄弱点，攻陷整个游戏行业的内部系统。

为什么游戏会是DDoS攻击的重灾区呢？这里说几点主要的原因。

首先是因为游戏行业的攻击成本低廉，是防护成本的1/N，攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多，基本的静态防护策略无法达到较好的效果，也就加剧了这种不平衡。

其次，游戏行业生命周期短。一款游戏从出生，到消亡，很多都是半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定：只要发起攻击，游戏公司一定会给“保护费”。

再次，游戏行业对连续性的要求很高，需要7*24在线，因此如果受到DDoS攻击，游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后，游戏公司的玩家数量，从几万人掉到几百人。

最后，游戏公司之间的恶性竞争，也加剧了针对行业的DDoS攻击。