域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
數(shù)字化時(shí)代����,傳統(tǒng)快消企業(yè)紛紛向線上轉(zhuǎn)型升級(jí),大量業(yè)務(wù)基于APP、小程序����、H5 、微信等渠道接入����,直接面向消費(fèi)者展開(kāi)花樣百出的線上營(yíng)銷活動(dòng)����,如:掃碼領(lǐng)紅包����、集卡送好禮����、分享得立減金……
然而,在快消行業(yè)一片欣欣向榮的背后,黑產(chǎn)分子早已伺機(jī)出動(dòng),沉浸在各大品牌的羊毛雨中樂(lè)此不疲����。數(shù)據(jù)顯示����,如果企業(yè)在營(yíng)銷時(shí)不做風(fēng)險(xiǎn)控制,黑產(chǎn)比例一般在20%以上����,甚至有一些高達(dá)50%����,各個(gè)品牌被黑產(chǎn)薅掉的營(yíng)銷費(fèi)用非常高����,每日可達(dá)幾萬(wàn)、幾十萬(wàn)甚至上百萬(wàn)不等����。
快消企業(yè)之所以容易被黑產(chǎn)盯上,一方面是這類企業(yè)拉新促銷活動(dòng)豐富����,黑產(chǎn)能夠快速?gòu)闹蝎@得高額利潤(rùn);另一方面也在于快消企業(yè)急劇增加的線上業(yè)務(wù)����,使得API接口的調(diào)用數(shù)量呈爆發(fā)式增長(zhǎng),風(fēng)險(xiǎn)敞口隨之打開(kāi)����,API迅速成為黑產(chǎn)攻擊的新目標(biāo)。
快消企業(yè)面臨API安全三大挑戰(zhàn)
數(shù)字化趨勢(shì)下,快消企業(yè)幾乎把大部分業(yè)務(wù)包括核心業(yè)務(wù)都搬到了線上����,并越來(lái)越依賴API整合大量系統(tǒng)����,實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互。據(jù)調(diào)查顯示����,目前每個(gè)企業(yè)平均管理超過(guò)350個(gè)API,其中69%的企業(yè)會(huì)將這些API開(kāi)放給公眾和他們的合作伙伴����,在零售業(yè),API流量占比更是超過(guò)83%����。
作為線上業(yè)務(wù)的接口,API承擔(dān)著連接服務(wù)和傳輸數(shù)據(jù)的重任����,涉及大量用戶敏感信息和業(yè)務(wù)數(shù)據(jù)。正因如此����,通過(guò)API獲取數(shù)據(jù)的攻擊越來(lái)越受到黑客的歡迎:一方面����,針對(duì)API的攻擊更加匿名����,另一方面企業(yè)對(duì)于API的保護(hù)程度通常不如網(wǎng)站等應(yīng)用程序,隨著自動(dòng)化工具的興起����,黑產(chǎn)針對(duì)API的攻擊門(mén)檻和攻擊資源要求更低。
事實(shí)上����,API攻擊對(duì)快消企業(yè)的業(yè)務(wù)安全構(gòu)成了嚴(yán)重影響。
在業(yè)務(wù)安全層面����,快消企業(yè)往往會(huì)遭遇*、欺詐����、刷單、薅羊毛����、占庫(kù)存等惡意行為����。由于“薅羊毛”群體巨大����,并大規(guī)模依靠自動(dòng)化攻擊技術(shù)����,會(huì)給快消企業(yè)造成巨大經(jīng)濟(jì)損失,因此成為企業(yè)最為關(guān)注的業(yè)務(wù)安全問(wèn)題之一����。
在數(shù)據(jù)安全層面,API攻擊已是數(shù)據(jù)泄露頭號(hào)風(fēng)險(xiǎn)����。通過(guò)API批量爬取企業(yè)業(yè)務(wù)數(shù)據(jù)和用戶信息,用于同業(yè)競(jìng)爭(zhēng)����、數(shù)據(jù)倒賣(mài)、業(yè)務(wù)欺詐等非法行為����,并導(dǎo)致敏感數(shù)據(jù)泄露����,不僅會(huì)給快消企業(yè)及其用戶帶來(lái)不可挽回的損失����,更是觸犯了我國(guó)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)。
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛表示����,目前針對(duì)快消行業(yè)的API攻擊形勢(shì)非常嚴(yán)峻,但快消企業(yè)在API安全防護(hù)上卻面臨著真實(shí)的痛點(diǎn):對(duì)于大型企業(yè)而言����,傳統(tǒng)安全產(chǎn)品已無(wú)力應(yīng)對(duì)新型的API攻擊;而中小型企業(yè)因IT投入有限����,安全防護(hù)技術(shù)就更加薄弱。
在吳劍剛看來(lái)����,快消企業(yè)在API安全方面普遍面臨三大挑戰(zhàn):
一是API資產(chǎn)不清,數(shù)據(jù)泄露風(fēng)險(xiǎn)大����。
由于API接口的大量調(diào)用����,很多企業(yè)并不清楚自己有多少個(gè)API����,也不知道API處于什么狀態(tài)。大量的API資產(chǎn)無(wú)法自動(dòng)探測(cè)����,這就使得企業(yè)API資產(chǎn)不清����、責(zé)任不清,從而成為黑客攻擊的主要入口����。
據(jù)Gartner預(yù)測(cè),API濫用將是2022年最常見(jiàn)的攻擊類型����。企業(yè)必須清楚地知道自己擁有哪些API資產(chǎn),才能更好地保護(hù)數(shù)據(jù)不被泄露����。
二是傳統(tǒng)安全產(chǎn)品存在局限性����,無(wú)法有效應(yīng)對(duì)API攻擊����。
在大型快消企業(yè)中,普遍部署了傳統(tǒng)WAF����、API網(wǎng)關(guān)、風(fēng)控等多種安全產(chǎn)品����,但這些產(chǎn)品并不是為API安全而生,例如:
傳統(tǒng)WAF技術(shù)上主要基于規(guī)則和簽名來(lái)識(shí)別已知攻擊����,但每個(gè)API都有獨(dú)特的業(yè)務(wù)邏輯和漏洞,因此傳統(tǒng)WAF缺乏對(duì)API上下文所需的架構(gòu)理解����,也無(wú)法理解獨(dú)特的邏輯,很多時(shí)候無(wú)法識(shí)別針對(duì)API獨(dú)有的漏洞攻擊����。
傳統(tǒng)API安全網(wǎng)關(guān)更多是在API請(qǐng)求的身份認(rèn)證����、權(quán)限控管����、請(qǐng)求內(nèi)容校驗(yàn)與過(guò)濾以及API流量限速等方面進(jìn)行防護(hù),但是這些防護(hù)功能都與應(yīng)用開(kāi)發(fā)高度相關(guān)����,應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置,造成部署與維護(hù)成本都極為高昂����。
同時(shí)����,傳統(tǒng)API網(wǎng)關(guān)保證身份認(rèn)證合法,但不代表能訪問(wèn)行為合法����。尤其在To C業(yè)務(wù)中,面對(duì)黑客以合法身份登錄����、模擬正常操作����、多源低頻的API訪問(wèn)請(qǐng)求����,傳統(tǒng)API網(wǎng)關(guān)無(wú)法識(shí)別這類看似“正常”的用戶行為。因此����,許多企業(yè)開(kāi)始關(guān)注API安全防護(hù)。
風(fēng)控系統(tǒng)多為旁路預(yù)警����,對(duì)攻擊束手無(wú)策。同時(shí)����,風(fēng)控系統(tǒng)多為業(yè)務(wù)部門(mén)所用,當(dāng)安全部門(mén)在分析可疑事件時(shí)����,由于風(fēng)控平臺(tái)和安全平臺(tái)缺少相應(yīng)的連接,往往出現(xiàn)信息不對(duì)稱、口徑不一致的情況����,導(dǎo)致無(wú)法識(shí)別出異常行為。當(dāng)業(yè)務(wù)策略發(fā)生變化時(shí)����,風(fēng)控平臺(tái)策略也需要相應(yīng)實(shí)現(xiàn)代碼級(jí)更新,在業(yè)務(wù)快速發(fā)展的情況下����,風(fēng)控平臺(tái)的運(yùn)營(yíng)負(fù)擔(dān)過(guò)重。
三是API面臨多種安全攻擊����,難以有效識(shí)別和實(shí)時(shí)防護(hù)。
針對(duì)API的常見(jiàn)網(wǎng)絡(luò)攻擊包括:重放攻擊����、DDoS 攻擊����、注入攻擊、會(huì)話 cookie 篡改����、中間人攻擊����、內(nèi)容篡改����、參數(shù)篡改等,這些新型的安全威脅正在變得更加復(fù)雜化����、多樣化、隱蔽化����、自動(dòng)化,企業(yè)很難有效識(shí)別針對(duì)API的未知威脅����,也無(wú)法實(shí)時(shí)細(xì)粒度阻斷、熔斷各類風(fēng)險(xiǎn)����。
快消企業(yè)亟需API安全創(chuàng)新方案
在嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下,每一個(gè)API都有可能成為攻擊入口����,我國(guó)《數(shù)據(jù)安全法》也強(qiáng)調(diào)了需要對(duì)數(shù)據(jù)在傳輸����、提供����、公開(kāi)時(shí)提供保護(hù),構(gòu)建API安全防護(hù)體系勢(shì)在必行����。
為了解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn),彌補(bǔ)傳統(tǒng)安全產(chǎn)品的不足����,瑞數(shù)信息基于“ADMP安全模型”,創(chuàng)新地推出了API安全管控平臺(tái)(API BotDefender)����,從API的資產(chǎn)管理、敏感數(shù)據(jù)管控����、訪問(wèn)行為管控����、API風(fēng)險(xiǎn)識(shí)別與管控等維度����,體系化保障API安全����。
在API資產(chǎn)管理方面,瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口����,及時(shí)發(fā)現(xiàn)未知的API和僵尸API。同時(shí)����,自動(dòng)對(duì)API接口實(shí)現(xiàn)分類、分組����、并指派責(zé)任人,實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理����;并提取API接口的元數(shù)據(jù),為API接口提供可視化展示����。
在API攻擊防護(hù)方面����,瑞數(shù)API BotDefender可以防止繞過(guò)業(yè)務(wù)邏輯的訪問(wèn)行為����,拒絕非法的API請(qǐng)求參數(shù)調(diào)用,降低安全配置錯(cuò)誤����,縮小攻擊面。同時(shí)����,支持API安全攻擊檢測(cè)和防護(hù),并引入語(yǔ)義分析技術(shù)����,進(jìn)一步提高檢測(cè)準(zhǔn)確性。
在API敏感數(shù)據(jù)管控方面����,瑞數(shù)API BotDefender可以對(duì)敏感信息進(jìn)行自動(dòng)分級(jí),實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)����、明文密碼和弱密碼,并及時(shí)進(jìn)行脫敏處理����,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn),滿足合規(guī)審計(jì)需求����。
在API訪問(wèn)行為管控方面,瑞數(shù)API BotDefender基于多維度實(shí)時(shí)監(jiān)控API接口的訪問(wèn)行為����,能夠及時(shí)發(fā)現(xiàn)偏離基線的異常訪問(wèn)行為。同時(shí)����,內(nèi)置的API業(yè)務(wù)威脅模型,可以透視API常見(jiàn)的業(yè)務(wù)威脅����,高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別。
在API訪問(wèn)控制方面����,瑞數(shù)API BotDefender內(nèi)置靈活的API訪問(wèn)控制策略����,能夠?qū)PI接口實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制����,支持多維度限頻、攔截����、延時(shí)等,實(shí)現(xiàn)企業(yè)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡����。
一直以來(lái),快消行業(yè)都是bots自動(dòng)化攻擊的重災(zāi)區(qū)����,由爬蟲(chóng)、撞庫(kù)帶來(lái)的惡意競(jìng)爭(zhēng)����、數(shù)據(jù)泄露、業(yè)務(wù)欺詐等事件頻發(fā)����。瑞數(shù)信息作為從bots自動(dòng)化攻擊防護(hù)起家的專業(yè)廠商����,為眾多快消企業(yè)提供了領(lǐng)先的自動(dòng)化攻擊防護(hù)產(chǎn)品����,至今已保護(hù)了上萬(wàn)億客戶資產(chǎn)和5億多賬戶����,阻擋了99%的自動(dòng)化攻擊。
隨著bots自動(dòng)化攻擊開(kāi)始瞄準(zhǔn)API����,瑞數(shù)信息也率先將所有線上業(yè)務(wù)接入渠道納入防護(hù),包括Web����、H5、APP����、API、微信����、小程序等����,通過(guò)用戶賬號(hào)等唯一標(biāo)識(shí)和全訪問(wèn)記錄����,將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合,實(shí)現(xiàn)應(yīng)用安全全功能的超融合防護(hù)����。企業(yè)既可以采用瑞數(shù)API BotDefender對(duì)API進(jìn)行單獨(dú)防護(hù),也可以在瑞數(shù)下一代WAF基礎(chǔ)上擴(kuò)展API防護(hù)功能����,實(shí)現(xiàn)全渠道的安全防護(hù)。
知名快消企業(yè)API安全治理之道
目前����,瑞數(shù)API BotDefender已成功應(yīng)用在多個(gè)快消企業(yè)中,其中不乏行業(yè)頭部企業(yè)����。基于此����,瑞數(shù)信息技術(shù)總監(jiān)吳劍剛介紹了兩個(gè)典型的快消企業(yè)API安全治理實(shí)踐����。
案例一:某知名零售連鎖企業(yè)
某知名零售連鎖企業(yè)����,擁有過(guò)億的全球用戶,其線上應(yīng)用日活已超3000萬(wàn)����?���;谛袠I(yè)領(lǐng)先的IT建設(shè),該企業(yè)采用了主流的動(dòng)靜分離架構(gòu)����,核心業(yè)務(wù)都在API接口上,為了保證業(yè)務(wù)安全����,很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF����、風(fēng)控等安全產(chǎn)品����。
雖然該企業(yè)已有API網(wǎng)關(guān)����,但更多的是在鑒權(quán)層面起到作用,缺少API安全層面的發(fā)現(xiàn)和管控����。而傳統(tǒng)WAF基于規(guī)則庫(kù),對(duì)于該企業(yè)來(lái)說(shuō)是個(gè)黑盒子����,只能看到攔截效果,無(wú)法透視業(yè)務(wù)威脅����,也無(wú)法從業(yè)務(wù)角度進(jìn)行安全分析。風(fēng)控產(chǎn)品則缺乏和安全平臺(tái)的聯(lián)動(dòng)����,無(wú)法幫助該企業(yè)識(shí)別惡意行為。
在采用瑞數(shù)API BotDefender后����,該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)����、臨時(shí)接口未關(guān)閉的API資產(chǎn)����,更發(fā)現(xiàn)了大量異常行為和背后的異常賬號(hào)設(shè)備,實(shí)施了批量封堵處理����。
根據(jù)瑞數(shù)API BotDefender的溯源顯示,某用戶通過(guò)手機(jī)號(hào)在APP上點(diǎn)單后����,憑下單憑證去門(mén)店取單����,取貨手機(jī)號(hào)就是下單手機(jī)號(hào)。然而����,該手機(jī)號(hào)在24小時(shí)內(nèi)已經(jīng)下單超過(guò)50次,這顯然不符合正常用戶使用邏輯����。同時(shí)����,瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個(gè)����,有80個(gè)設(shè)備在1小時(shí)內(nèi)使用5個(gè)以上的賬號(hào)進(jìn)行下單,涉及以上行為的總共1540個(gè)手機(jī)號(hào)����,這些傳統(tǒng)安全產(chǎn)品無(wú)法識(shí)別的異常行為,都在瑞數(shù)API BotDefender平臺(tái)上清晰地展示出來(lái)����,并能夠被實(shí)時(shí)攔截。
除了API資產(chǎn)管理和API異常行為管控之外����,瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力,不僅覆蓋OWASP API Security Top10的攻擊防御����,且通過(guò)API業(yè)務(wù)威脅模型,可以快速應(yīng)對(duì)API的業(yè)務(wù)安全攻擊����,如爬蟲(chóng)����、撞庫(kù)等����。
案例二:保健美容零售連鎖企業(yè)
某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬(wàn)活躍會(huì)員,龐大的業(yè)務(wù)體量����,使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線上業(yè)務(wù)安全����,該企業(yè)自2017年起一直采用瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate,對(duì)大量機(jī)器人攻擊行為����、薅羊毛����、安全攻擊等行為進(jìn)行了有效防護(hù)。
隨著該企業(yè)更多的業(yè)務(wù)交易從線下轉(zhuǎn)移到線上����,數(shù)字化營(yíng)銷程度不斷深入����,微信小程序成為其開(kāi)展業(yè)務(wù)和營(yíng)銷活動(dòng)的主要線上渠道之一����,API接口數(shù)量隨之快速增長(zhǎng),通過(guò)API接口發(fā)起的攻擊也越來(lái)越多����。攻擊者試圖通過(guò)API越權(quán)訪問(wèn)會(huì)員信息,批量獲取用戶隱私信息����,這讓該企業(yè)意識(shí)到應(yīng)迅速加強(qiáng)API防護(hù)。
2020年����,該企業(yè)在原有的瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上,擴(kuò)展了API BotDefender模塊����,補(bǔ)充API防護(hù)能力,獲得了立竿見(jiàn)影的效果:一是對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理����,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)����;二是對(duì)API異常訪問(wèn)行為進(jìn)行管控����,對(duì)異常設(shè)備和賬號(hào)做實(shí)時(shí)處置;三是基于單個(gè)API接口訪問(wèn)次數(shù)進(jìn)行限頻����,防止CC攻擊造成業(yè)務(wù)癱瘓;四是針對(duì)地域營(yíng)銷活動(dòng)中黑產(chǎn)使用虛假定位軟件的問(wèn)題����,進(jìn)行有效的人機(jī)識(shí)別和虛假定位識(shí)別,阻擋薅羊毛行為����。
結(jié)語(yǔ)
在數(shù)字化浪潮中,快消企業(yè)必須面對(duì)愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境����,與黑產(chǎn)進(jìn)行持續(xù)升級(jí)的對(duì)抗。對(duì)于早已全渠道化的快消企業(yè)而言����,API是亟需重視的防護(hù)對(duì)象。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案����,基于瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù),能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知����、發(fā)現(xiàn)、監(jiān)測(cè)����、管控能力,有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全����。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子����。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇����!
