阿里云優(yōu)惠券 先領券再下單
數字化時代,傳統(tǒng)快消企業(yè)紛紛向線上轉型升級���,大量業(yè)務基于APP�����、小程序����、H5 ��、微信等渠道接入,直接面向消費者展開花樣百出的線上營銷活動���,如:掃碼領紅包�����、集卡送好禮���、分享得立減金……
然而,在快消行業(yè)一片欣欣向榮的背后�����,黑產分子早已伺機出動����,沉浸在各大品牌的羊毛雨中樂此不疲。數據顯示��,如果企業(yè)在營銷時不做風險控制�,黑產比例一般在20%以上,甚至有一些高達50%���,各個品牌被黑產薅掉的營銷費用非常高��,每日可達幾萬����、幾十萬甚至上百萬不等。
快消企業(yè)之所以容易被黑產盯上����,一方面是這類企業(yè)拉新促銷活動豐富��,黑產能夠快速從中獲得高額利潤�;另一方面也在于快消企業(yè)急劇增加的線上業(yè)務,使得API接口的調用數量呈爆發(fā)式增長�,風險敞口隨之打開,API迅速成為黑產攻擊的新目標���。
快消企業(yè)面臨API安全三大挑戰(zhàn)
數字化趨勢下�����,快消企業(yè)幾乎把大部分業(yè)務包括核心業(yè)務都搬到了線上��,并越來越依賴API整合大量系統(tǒng)����,實現業(yè)務彼此之間的交互。據調查顯示�����,目前每個企業(yè)平均管理超過350個API��,其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴�,在零售業(yè),API流量占比更是超過83%���。
作為線上業(yè)務的接口�,API承擔著連接服務和傳輸數據的重任����,涉及大量用戶敏感信息和業(yè)務數據。正因如此�����,通過API獲取數據的攻擊越來越受到黑客的歡迎:一方面����,針對API的攻擊更加匿名,另一方面企業(yè)對于API的保護程度通常不如網站等應用程序,隨著自動化工具的興起�,黑產針對API的攻擊門檻和攻擊資源要求更低。
事實上��,API攻擊對快消企業(yè)的業(yè)務安全構成了嚴重影響����。
在業(yè)務安全層面,快消企業(yè)往往會遭遇盜號��、欺詐�、刷單�、薅羊毛、占庫存等惡意行為���。由于“薅羊毛”群體巨大�,并大規(guī)模依靠自動化攻擊技術���,會給快消企業(yè)造成巨大經濟損失����,因此成為企業(yè)最為關注的業(yè)務安全問題之一����。
在數據安全層面��,API攻擊已是數據泄露頭號風險�。通過API批量爬取企業(yè)業(yè)務數據和用戶信息��,用于同業(yè)競爭���、數據倒賣�、業(yè)務欺詐等非法行為���,并導致敏感數據泄露�,不僅會給快消企業(yè)及其用戶帶來不可挽回的損失��,更是觸犯了我國《網絡安全法》《數據安全法》等相關法律法規(guī)����。
瑞數信息技術總監(jiān)吳劍剛表示,目前針對快消行業(yè)的API攻擊形勢非常嚴峻���,但快消企業(yè)在API安全防護上卻面臨著真實的痛點:對于大型企業(yè)而言��,傳統(tǒng)安全產品已無力應對新型的API攻擊�;而中小型企業(yè)因IT投入有限,安全防護技術就更加薄弱��。
在吳劍剛看來�,快消企業(yè)在API安全方面普遍面臨三大挑戰(zhàn):
一是API資產不清,數據泄露風險大����。
由于API接口的大量調用,很多企業(yè)并不清楚自己有多少個API��,也不知道API處于什么狀態(tài)��。大量的API資產無法自動探測����,這就使得企業(yè)API資產不清�、責任不清,從而成為黑客攻擊的主要入口����。
據Gartner預測,API濫用將是2022年最常見的攻擊類型����。企業(yè)必須清楚地知道自己擁有哪些API資產,才能更好地保護數據不被泄露。
二是傳統(tǒng)安全產品存在局限性��,無法有效應對API攻擊���。
在大型快消企業(yè)中�����,普遍部署了傳統(tǒng)WAF��、API網關�、風控等多種安全產品����,但這些產品并不是為API安全而生,例如:
傳統(tǒng)WAF技術上主要基于規(guī)則和簽名來識別已知攻擊���,但每個API都有獨特的業(yè)務邏輯和漏洞����,因此傳統(tǒng)WAF缺乏對API上下文所需的架構理解�����,也無法理解獨特的邏輯,很多時候無法識別針對API獨有的漏洞攻擊�。
傳統(tǒng)API安全網關更多是在API請求的身份認證、權限控管����、請求內容校驗與過濾以及API流量限速等方面進行防護,但是這些防護功能都與應用開發(fā)高度相關���,應用程序修改后往往也需要修改API安全網關的配置���,造成部署與維護成本都極為高昂。
同時���,傳統(tǒng)API網關保證身份認證合法����,但不代表能訪問行為合法����。尤其在To C業(yè)務中�,面對黑客以合法身份登錄、模擬正常操作�����、多源低頻的API訪問請求,傳統(tǒng)API網關無法識別這類看似“正常”的用戶行為�。因此,許多企業(yè)開始關注API安全防護���。
風控系統(tǒng)多為旁路預警��,對攻擊束手無策�����。同時�,風控系統(tǒng)多為業(yè)務部門所用��,當安全部門在分析可疑事件時�,由于風控平臺和安全平臺缺少相應的連接,往往出現信息不對稱��、口徑不一致的情況�,導致無法識別出異常行為。當業(yè)務策略發(fā)生變化時����,風控平臺策略也需要相應實現代碼級更新��,在業(yè)務快速發(fā)展的情況下��,風控平臺的運營負擔過重�����。
三是API面臨多種安全攻擊���,難以有效識別和實時防護。
針對API的常見網絡攻擊包括:重放攻擊����、DDoS 攻擊、注入攻擊�����、會話 cookie 篡改�、中間人攻擊、內容篡改��、參數篡改等����,這些新型的安全威脅正在變得更加復雜化、多樣化����、隱蔽化、自動化�����,企業(yè)很難有效識別針對API的未知威脅���,也無法實時細粒度阻斷��、熔斷各類風險���。
快消企業(yè)亟需API安全創(chuàng)新方案
在嚴峻的網絡安全形勢下,每一個API都有可能成為攻擊入口���,我國《數據安全法》也強調了需要對數據在傳輸���、提供、公開時提供保護��,構建API安全防護體系勢在必行�。
為了解決API面臨的各種安全風險與挑戰(zhàn)�����,彌補傳統(tǒng)安全產品的不足���,瑞數信息基于“ADMP安全模型”,創(chuàng)新地推出了API安全管控平臺(API BotDefender)��,從API的資產管理���、敏感數據管控�、訪問行為管控�、API風險識別與管控等維度,體系化保障API安全����。
在API資產管理方面,瑞數API BotDefender可以持續(xù)發(fā)現API接口��,及時發(fā)現未知的API和僵尸API����。同時,自動對API接口實現分類、分組�、并指派責任人,實現數據分權管理��;并提取API接口的元數據��,為API接口提供可視化展示���。
在API攻擊防護方面,瑞數API BotDefender可以防止繞過業(yè)務邏輯的訪問行為����,拒絕非法的API請求參數調用,降低安全配置錯誤����,縮小攻擊面。同時���,支持API安全攻擊檢測和防護��,并引入語義分析技術�,進一步提高檢測準確性�����。
在API敏感數據管控方面,瑞數API BotDefender可以對敏感信息進行自動分級���,實時洞察API接口中雙向傳輸的敏感數據����、明文密碼和弱密碼�����,并及時進行脫敏處理�����,規(guī)避數據泄漏風險����,滿足合規(guī)審計需求。
在API訪問行為管控方面�,瑞數API BotDefender基于多維度實時監(jiān)控API接口的訪問行為,能夠及時發(fā)現偏離基線的異常訪問行為����。同時�,內置的API業(yè)務威脅模型�,可以透視API常見的業(yè)務威脅,高效準確進行人機識別��。
在API訪問控制方面�,瑞數API BotDefender內置靈活的API訪問控制策略,能夠對API接口實現精細化的訪問控制��,支持多維度限頻�����、攔截���、延時等,實現企業(yè)實時安全響應和業(yè)務發(fā)展的平衡�。
一直以來,快消行業(yè)都是bots自動化攻擊的重災區(qū)��,由爬蟲���、撞庫帶來的惡意競爭�����、數據泄露�����、業(yè)務欺詐等事件頻發(fā)����。瑞數信息作為從bots自動化攻擊防護起家的專業(yè)廠商,為眾多快消企業(yè)提供了領先的自動化攻擊防護產品����,至今已保護了上萬億客戶資產和5億多賬戶,阻擋了99%的自動化攻擊���。
隨著bots自動化攻擊開始瞄準API�����,瑞數信息也率先將所有線上業(yè)務接入渠道納入防護�����,包括Web����、H5、APP�、API、微信��、小程序等�,通過用戶賬號等唯一標識和全訪問記錄,將各業(yè)務接入渠道的數據進行融合����,實現應用安全全功能的超融合防護。企業(yè)既可以采用瑞數API BotDefender對API進行單獨防護��,也可以在瑞數下一代WAF基礎上擴展API防護功能�����,實現全渠道的安全防護����。
知名快消企業(yè)API安全治理之道
目前�����,瑞數API BotDefender已成功應用在多個快消企業(yè)中����,其中不乏行業(yè)頭部企業(yè)�����?;诖?��,瑞數信息技術總監(jiān)吳劍剛介紹了兩個典型的快消企業(yè)API安全治理實踐�。
案例一:某知名零售連鎖企業(yè)
某知名零售連鎖企業(yè)��,擁有過億的全球用戶�����,其線上應用日活已超3000萬���?���;谛袠I(yè)領先的IT建設,該企業(yè)采用了主流的動靜分離架構,核心業(yè)務都在API接口上�����,為了保證業(yè)務安全����,很早就部署了傳統(tǒng)API網關、WAF���、風控等安全產品�。
雖然該企業(yè)已有API網關����,但更多的是在鑒權層面起到作用,缺少API安全層面的發(fā)現和管控���。而傳統(tǒng)WAF基于規(guī)則庫�����,對于該企業(yè)來說是個黑盒子,只能看到攔截效果����,無法透視業(yè)務威脅,也無法從業(yè)務角度進行安全分析�����。風控產品則缺乏和安全平臺的聯(lián)動,無法幫助該企業(yè)識別惡意行為�����。
在采用瑞數API BotDefender后�����,該企業(yè)很快發(fā)現了一批未被清點�����、臨時接口未關閉的API資產����,更發(fā)現了大量異常行為和背后的異常賬號設備,實施了批量封堵處理��。
根據瑞數API BotDefender的溯源顯示�����,某用戶通過手機號在APP上點單后�,憑下單憑證去門店取單�,取貨手機號就是下單手機號�。然而,該手機號在24小時內已經下單超過50次����,這顯然不符合正常用戶使用邏輯。同時����,瑞數API BotDefender發(fā)現涉及這種異常行為的設備高達230個,有80個設備在1小時內使用5個以上的賬號進行下單���,涉及以上行為的總共1540個手機號�,這些傳統(tǒng)安全產品無法識別的異常行為��,都在瑞數API BotDefender平臺上清晰地展示出來��,并能夠被實時攔截�����。
除了API資產管理和API異常行為管控之外����,瑞數API BotDefender還為該企業(yè)提供了全生命周期的API安全能力,不僅覆蓋OWASP API Security Top10的攻擊防御�,且通過API業(yè)務威脅模型,可以快速應對API的業(yè)務安全攻擊�,如爬蟲、撞庫等�。
案例二:保健美容零售連鎖企業(yè)
某知名健康美容零售連鎖企業(yè)在全球擁有數千萬活躍會員,龐大的業(yè)務體量����,使得該企業(yè)一直將信息安全作為其IT建設中的重中之重。為了保護線上業(yè)務安全�,該企業(yè)自2017年起一直采用瑞數動態(tài)應用保護系統(tǒng) Botgate,對大量機器人攻擊行為�����、薅羊毛����、安全攻擊等行為進行了有效防護。
隨著該企業(yè)更多的業(yè)務交易從線下轉移到線上���,數字化營銷程度不斷深入�����,微信小程序成為其開展業(yè)務和營銷活動的主要線上渠道之一��,API接口數量隨之快速增長�,通過API接口發(fā)起的攻擊也越來越多。攻擊者試圖通過API越權訪問會員信息�,批量獲取用戶隱私信息,這讓該企業(yè)意識到應迅速加強API防護�。
2020年,該企業(yè)在原有的瑞數動態(tài)應用保護系統(tǒng)基礎上�,擴展了API BotDefender模塊,補充API防護能力��,獲得了立竿見影的效果:一是對API接口回傳報文中的敏感信息進行脫敏處理�����,規(guī)避數據泄漏風險����;二是對API異常訪問行為進行管控,對異常設備和賬號做實時處置��;三是基于單個API接口訪問次數進行限頻���,防止CC攻擊造成業(yè)務癱瘓�;四是針對地域營銷活動中黑產使用虛假定位軟件的問題�,進行有效的人機識別和虛假定位識別,阻擋薅羊毛行為����。
結語
在數字化浪潮中,快消企業(yè)必須面對愈加復雜的網絡安全環(huán)境���,與黑產進行持續(xù)升級的對抗����。對于早已全渠道化的快消企業(yè)而言�����,API是亟需重視的防護對象�����。瑞數API BotDefender作為API防護的創(chuàng)新方案��,基于瑞數獨有的“動態(tài)安全+AI”核心技術��,能夠為快消企業(yè)建立完整的API資產感知、發(fā)現����、監(jiān)測、管控能力���,有效保護企業(yè)的業(yè)務安全和數據安全����。
申請創(chuàng)業(yè)報道���,分享創(chuàng)業(yè)好點子�。點擊此處�,共同探討創(chuàng)業(yè)新機遇!
