域名預(yù)訂/競價���,好“米”不錯過
數(shù)字化時代��,傳統(tǒng)快消企業(yè)紛紛向線上轉(zhuǎn)型升級�,大量業(yè)務(wù)基于APP、小程序����、H5 ���、微信等渠道接入�����,直接面向消費者展開花樣百出的線上營銷活動��,如:掃碼領(lǐng)紅包����、集卡送好禮����、分享得立減金……
然而����,在快消行業(yè)一片欣欣向榮的背后�����,黑產(chǎn)分子早已伺機(jī)出動����,沉浸在各大品牌的羊毛雨中樂此不疲。數(shù)據(jù)顯示�����,如果企業(yè)在營銷時不做風(fēng)險控制�����,黑產(chǎn)比例一般在20%以上�,甚至有一些高達(dá)50%,各個品牌被黑產(chǎn)薅掉的營銷費用非常高����,每日可達(dá)幾萬、幾十萬甚至上百萬不等�����。
快消企業(yè)之所以容易被黑產(chǎn)盯上,一方面是這類企業(yè)拉新促銷活動豐富����,黑產(chǎn)能夠快速從中獲得高額利潤;另一方面也在于快消企業(yè)急劇增加的線上業(yè)務(wù)�����,使得API接口的調(diào)用數(shù)量呈爆發(fā)式增長���,風(fēng)險敞口隨之打開,API迅速成為黑產(chǎn)攻擊的新目標(biāo)�����。
快消企業(yè)面臨API安全三大挑戰(zhàn)
數(shù)字化趨勢下�,快消企業(yè)幾乎把大部分業(yè)務(wù)包括核心業(yè)務(wù)都搬到了線上,并越來越依賴API整合大量系統(tǒng)���,實現(xiàn)業(yè)務(wù)彼此之間的交互�。據(jù)調(diào)查顯示����,目前每個企業(yè)平均管理超過350個API���,其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴,在零售業(yè)�����,API流量占比更是超過83%����。
作為線上業(yè)務(wù)的接口,API承擔(dān)著連接服務(wù)和傳輸數(shù)據(jù)的重任�,涉及大量用戶敏感信息和業(yè)務(wù)數(shù)據(jù)。正因如此���,通過API獲取數(shù)據(jù)的攻擊越來越受到黑客的歡迎:一方面�����,針對API的攻擊更加匿名���,另一方面企業(yè)對于API的保護(hù)程度通常不如網(wǎng)站等應(yīng)用程序,隨著自動化工具的興起,黑產(chǎn)針對API的攻擊門檻和攻擊資源要求更低���。
事實上��,API攻擊對快消企業(yè)的業(yè)務(wù)安全構(gòu)成了嚴(yán)重影響�����。
在業(yè)務(wù)安全層面���,快消企業(yè)往往會遭遇*、欺詐�����、刷單��、薅羊毛�、占庫存等惡意行為����。由于“薅羊毛”群體巨大,并大規(guī)模依靠自動化攻擊技術(shù)���,會給快消企業(yè)造成巨大經(jīng)濟(jì)損失��,因此成為企業(yè)最為關(guān)注的業(yè)務(wù)安全問題之一����。
在數(shù)據(jù)安全層面,API攻擊已是數(shù)據(jù)泄露頭號風(fēng)險�。通過API批量爬取企業(yè)業(yè)務(wù)數(shù)據(jù)和用戶信息,用于同業(yè)競爭���、數(shù)據(jù)倒賣����、業(yè)務(wù)欺詐等非法行為�,并導(dǎo)致敏感數(shù)據(jù)泄露,不僅會給快消企業(yè)及其用戶帶來不可挽回的損失�����,更是觸犯了我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)�����。
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛表示����,目前針對快消行業(yè)的API攻擊形勢非常嚴(yán)峻����,但快消企業(yè)在API安全防護(hù)上卻面臨著真實的痛點:對于大型企業(yè)而言����,傳統(tǒng)安全產(chǎn)品已無力應(yīng)對新型的API攻擊;而中小型企業(yè)因IT投入有限�����,安全防護(hù)技術(shù)就更加薄弱�����。
在吳劍剛看來����,快消企業(yè)在API安全方面普遍面臨三大挑戰(zhàn):
一是API資產(chǎn)不清,數(shù)據(jù)泄露風(fēng)險大����。
由于API接口的大量調(diào)用�����,很多企業(yè)并不清楚自己有多少個API,也不知道API處于什么狀態(tài)�。大量的API資產(chǎn)無法自動探測,這就使得企業(yè)API資產(chǎn)不清���、責(zé)任不清�����,從而成為黑客攻擊的主要入口�。
據(jù)Gartner預(yù)測�����,API濫用將是2022年最常見的攻擊類型���。企業(yè)必須清楚地知道自己擁有哪些API資產(chǎn)����,才能更好地保護(hù)數(shù)據(jù)不被泄露���。
二是傳統(tǒng)安全產(chǎn)品存在局限性����,無法有效應(yīng)對API攻擊。
在大型快消企業(yè)中���,普遍部署了傳統(tǒng)WAF�����、API網(wǎng)關(guān)�����、風(fēng)控等多種安全產(chǎn)品��,但這些產(chǎn)品并不是為API安全而生���,例如:
傳統(tǒng)WAF技術(shù)上主要基于規(guī)則和簽名來識別已知攻擊,但每個API都有獨特的業(yè)務(wù)邏輯和漏洞����,因此傳統(tǒng)WAF缺乏對API上下文所需的架構(gòu)理解,也無法理解獨特的邏輯����,很多時候無法識別針對API獨有的漏洞攻擊。
傳統(tǒng)API安全網(wǎng)關(guān)更多是在API請求的身份認(rèn)證�����、權(quán)限控管�����、請求內(nèi)容校驗與過濾以及API流量限速等方面進(jìn)行防護(hù)�����,但是這些防護(hù)功能都與應(yīng)用開發(fā)高度相關(guān)�,應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置,造成部署與維護(hù)成本都極為高昂��。
同時���,傳統(tǒng)API網(wǎng)關(guān)保證身份認(rèn)證合法���,但不代表能訪問行為合法。尤其在To C業(yè)務(wù)中����,面對黑客以合法身份登錄����、模擬正常操作�����、多源低頻的API訪問請求���,傳統(tǒng)API網(wǎng)關(guān)無法識別這類看似“正常”的用戶行為�。因此����,許多企業(yè)開始關(guān)注API安全防護(hù)。
風(fēng)控系統(tǒng)多為旁路預(yù)警�����,對攻擊束手無策�����。同時��,風(fēng)控系統(tǒng)多為業(yè)務(wù)部門所用�,當(dāng)安全部門在分析可疑事件時���,由于風(fēng)控平臺和安全平臺缺少相應(yīng)的連接,往往出現(xiàn)信息不對稱���、口徑不一致的情況,導(dǎo)致無法識別出異常行為����。當(dāng)業(yè)務(wù)策略發(fā)生變化時,風(fēng)控平臺策略也需要相應(yīng)實現(xiàn)代碼級更新���,在業(yè)務(wù)快速發(fā)展的情況下�����,風(fēng)控平臺的運營負(fù)擔(dān)過重�����。
三是API面臨多種安全攻擊�,難以有效識別和實時防護(hù)��。
針對API的常見網(wǎng)絡(luò)攻擊包括:重放攻擊����、DDoS 攻擊�����、注入攻擊���、會話 cookie 篡改、中間人攻擊�����、內(nèi)容篡改����、參數(shù)篡改等,這些新型的安全威脅正在變得更加復(fù)雜化���、多樣化���、隱蔽化、自動化���,企業(yè)很難有效識別針對API的未知威脅�����,也無法實時細(xì)粒度阻斷���、熔斷各類風(fēng)險����。
快消企業(yè)亟需API安全創(chuàng)新方案
在嚴(yán)峻的網(wǎng)絡(luò)安全形勢下��,每一個API都有可能成為攻擊入口�����,我國《數(shù)據(jù)安全法》也強(qiáng)調(diào)了需要對數(shù)據(jù)在傳輸���、提供、公開時提供保護(hù)�����,構(gòu)建API安全防護(hù)體系勢在必行�����。
為了解決API面臨的各種安全風(fēng)險與挑戰(zhàn),彌補(bǔ)傳統(tǒng)安全產(chǎn)品的不足��,瑞數(shù)信息基于“ADMP安全模型”���,創(chuàng)新地推出了API安全管控平臺(API BotDefender)�����,從API的資產(chǎn)管理��、敏感數(shù)據(jù)管控���、訪問行為管控、API風(fēng)險識別與管控等維度���,體系化保障API安全�。
在API資產(chǎn)管理方面�����,瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口�����,及時發(fā)現(xiàn)未知的API和僵尸API。同時��,自動對API接口實現(xiàn)分類��、分組�、并指派責(zé)任人,實現(xiàn)數(shù)據(jù)分權(quán)管理����;并提取API接口的元數(shù)據(jù),為API接口提供可視化展示��。
在API攻擊防護(hù)方面�����,瑞數(shù)API BotDefender可以防止繞過業(yè)務(wù)邏輯的訪問行為����,拒絕非法的API請求參數(shù)調(diào)用����,降低安全配置錯誤,縮小攻擊面。同時�����,支持API安全攻擊檢測和防護(hù)���,并引入語義分析技術(shù)�,進(jìn)一步提高檢測準(zhǔn)確性����。
在API敏感數(shù)據(jù)管控方面,瑞數(shù)API BotDefender可以對敏感信息進(jìn)行自動分級����,實時洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼����,并及時進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險����,滿足合規(guī)審計需求。
在API訪問行為管控方面����,瑞數(shù)API BotDefender基于多維度實時監(jiān)控API接口的訪問行為�����,能夠及時發(fā)現(xiàn)偏離基線的異常訪問行為����。同時�����,內(nèi)置的API業(yè)務(wù)威脅模型�,可以透視API常見的業(yè)務(wù)威脅,高效準(zhǔn)確進(jìn)行人機(jī)識別���。
在API訪問控制方面���,瑞數(shù)API BotDefender內(nèi)置靈活的API訪問控制策略���,能夠?qū)PI接口實現(xiàn)精細(xì)化的訪問控制�����,支持多維度限頻�����、攔截�����、延時等�,實現(xiàn)企業(yè)實時安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡。
一直以來,快消行業(yè)都是bots自動化攻擊的重災(zāi)區(qū),由爬蟲����、撞庫帶來的惡意競爭、數(shù)據(jù)泄露�����、業(yè)務(wù)欺詐等事件頻發(fā)����。瑞數(shù)信息作為從bots自動化攻擊防護(hù)起家的專業(yè)廠商�����,為眾多快消企業(yè)提供了領(lǐng)先的自動化攻擊防護(hù)產(chǎn)品,至今已保護(hù)了上萬億客戶資產(chǎn)和5億多賬戶�,阻擋了99%的自動化攻擊。
隨著bots自動化攻擊開始瞄準(zhǔn)API�,瑞數(shù)信息也率先將所有線上業(yè)務(wù)接入渠道納入防護(hù),包括Web�����、H5����、APP、API�、微信、小程序等���,通過用戶賬號等唯一標(biāo)識和全訪問記錄�,將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合�,實現(xiàn)應(yīng)用安全全功能的超融合防護(hù)。企業(yè)既可以采用瑞數(shù)API BotDefender對API進(jìn)行單獨防護(hù)����,也可以在瑞數(shù)下一代WAF基礎(chǔ)上擴(kuò)展API防護(hù)功能��,實現(xiàn)全渠道的安全防護(hù)。
知名快消企業(yè)API安全治理之道
目前�,瑞數(shù)API BotDefender已成功應(yīng)用在多個快消企業(yè)中,其中不乏行業(yè)頭部企業(yè)���?����;诖?,瑞數(shù)信息技術(shù)總監(jiān)吳劍剛介紹了兩個典型的快消企業(yè)API安全治理實踐��。
案例一:某知名零售連鎖企業(yè)
某知名零售連鎖企業(yè)����,擁有過億的全球用戶,其線上應(yīng)用日活已超3000萬�。基于行業(yè)領(lǐng)先的IT建設(shè)����,該企業(yè)采用了主流的動靜分離架構(gòu),核心業(yè)務(wù)都在API接口上��,為了保證業(yè)務(wù)安全���,很早就部署了傳統(tǒng)API網(wǎng)關(guān)����、WAF、風(fēng)控等安全產(chǎn)品�����。
雖然該企業(yè)已有API網(wǎng)關(guān)��,但更多的是在鑒權(quán)層面起到作用���,缺少API安全層面的發(fā)現(xiàn)和管控���。而傳統(tǒng)WAF基于規(guī)則庫,對于該企業(yè)來說是個黑盒子����,只能看到攔截效果,無法透視業(yè)務(wù)威脅����,也無法從業(yè)務(wù)角度進(jìn)行安全分析。風(fēng)控產(chǎn)品則缺乏和安全平臺的聯(lián)動,無法幫助該企業(yè)識別惡意行為�。
在采用瑞數(shù)API BotDefender后�����,該企業(yè)很快發(fā)現(xiàn)了一批未被清點�����、臨時接口未關(guān)閉的API資產(chǎn)�����,更發(fā)現(xiàn)了大量異常行為和背后的異常賬號設(shè)備�,實施了批量封堵處理。
根據(jù)瑞數(shù)API BotDefender的溯源顯示�,某用戶通過手機(jī)號在APP上點單后,憑下單憑證去門店取單���,取貨手機(jī)號就是下單手機(jī)號����。然而�����,該手機(jī)號在24小時內(nèi)已經(jīng)下單超過50次,這顯然不符合正常用戶使用邏輯���。同時�,瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個�,有80個設(shè)備在1小時內(nèi)使用5個以上的賬號進(jìn)行下單,涉及以上行為的總共1540個手機(jī)號�����,這些傳統(tǒng)安全產(chǎn)品無法識別的異常行為���,都在瑞數(shù)API BotDefender平臺上清晰地展示出來���,并能夠被實時攔截。
除了API資產(chǎn)管理和API異常行為管控之外���,瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力��,不僅覆蓋OWASP API Security Top10的攻擊防御�����,且通過API業(yè)務(wù)威脅模型�����,可以快速應(yīng)對API的業(yè)務(wù)安全攻擊����,如爬蟲��、撞庫等����。
案例二:保健美容零售連鎖企業(yè)
某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬活躍會員,龐大的業(yè)務(wù)體量����,使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線上業(yè)務(wù)安全�,該企業(yè)自2017年起一直采用瑞數(shù)動態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate,對大量機(jī)器人攻擊行為�、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)�。
隨著該企業(yè)更多的業(yè)務(wù)交易從線下轉(zhuǎn)移到線上,數(shù)字化營銷程度不斷深入���,微信小程序成為其開展業(yè)務(wù)和營銷活動的主要線上渠道之一����,API接口數(shù)量隨之快速增長,通過API接口發(fā)起的攻擊也越來越多����。攻擊者試圖通過API越權(quán)訪問會員信息,批量獲取用戶隱私信息�����,這讓該企業(yè)意識到應(yīng)迅速加強(qiáng)API防護(hù)�。
2020年,該企業(yè)在原有的瑞數(shù)動態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上����,擴(kuò)展了API BotDefender模塊,補(bǔ)充API防護(hù)能力�����,獲得了立竿見影的效果:一是對API接口回傳報文中的敏感信息進(jìn)行脫敏處理�����,規(guī)避數(shù)據(jù)泄漏風(fēng)險;二是對API異常訪問行為進(jìn)行管控����,對異常設(shè)備和賬號做實時處置;三是基于單個API接口訪問次數(shù)進(jìn)行限頻����,防止CC攻擊造成業(yè)務(wù)癱瘓;四是針對地域營銷活動中黑產(chǎn)使用虛假定位軟件的問題���,進(jìn)行有效的人機(jī)識別和虛假定位識別,阻擋薅羊毛行為�。
結(jié)語
在數(shù)字化浪潮中,快消企業(yè)必須面對愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境�����,與黑產(chǎn)進(jìn)行持續(xù)升級的對抗����。對于早已全渠道化的快消企業(yè)而言,API是亟需重視的防護(hù)對象���。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案�����,基于瑞數(shù)獨有的“動態(tài)安全+AI”核心技術(shù)����,能夠為快消企業(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)��、監(jiān)測��、管控能力��,有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全�����。
申請創(chuàng)業(yè)報道��,分享創(chuàng)業(yè)好點子���。點擊此處�����,共同探討創(chuàng)業(yè)新機(jī)遇�����!
