• <xmp id="o6oq2"><table id="o6oq2"></table>
  • 中國數據存儲服務平臺

    瑞數信息:快消行業面臨嚴峻的API攻擊,API安全治理勢在必行

    數字化時代,傳統快消企業紛紛向線上轉型升級,大量業務基于APP、小程序、H5 、微信等渠道接入,直接面向消費者展開花樣百出的線上營銷活動,如:掃碼領紅包、集卡送好禮、分享得立減金……

    然而,在快消行業一片欣欣向榮的背后,黑產分子早已伺機出動,沉浸在各大品牌的羊毛雨中樂此不疲。數據顯示,如果企業在營銷時不做風險控制,黑產比例一般在20%以上,甚至有一些高達50%,各個品牌被黑產薅掉的營銷費用非常高,每日可達幾萬、幾十萬甚至上百萬不等。

    快消企業之所以容易被黑產盯上,一方面是這類企業拉新促銷活動豐富,黑產能夠快速從中獲得高額利潤;另一方面也在于快消企業急劇增加的線上業務,使得API接口的調用數量呈爆發式增長,風險敞口隨之打開,API迅速成為黑產攻擊的新目標。

    快消企業面臨API安全三大挑戰

    數字化趨勢下,快消企業幾乎把大部分業務包括核心業務都搬到了線上,并越來越依賴API整合大量系統,實現業務彼此之間的交互。據調查顯示,目前每個企業平均管理超過350個API,其中69%的企業會將這些API開放給公眾和他們的合作伙伴,在零售業,API流量占比更是超過83%。

    作為線上業務的接口,API承擔著連接服務和傳輸數據的重任,涉及大量用戶敏感信息和業務數據。正因如此,通過API獲取數據的攻擊越來越受到黑客的歡迎:一方面,針對API的攻擊更加匿名,另一方面企業對于API的保護程度通常不如網站等應用程序,隨著自動化工具的興起,黑產針對API的攻擊門檻和攻擊資源要求更低。

    事實上,API攻擊對快消企業的業務安全構成了嚴重影響。

    在業務安全層面,快消企業往往會遭遇盜號、欺詐、刷單、薅羊毛、占庫存等惡意行為。由于“薅羊毛”群體巨大,并大規模依靠自動化攻擊技術,會給快消企業造成巨大經濟損失,因此成為企業最為關注的業務安全問題之一。

    在數據安全層面,API攻擊已是數據泄露頭號風險。通過API批量爬取企業業務數據和用戶信息,用于同業競爭、數據倒賣、業務欺詐等非法行為,并導致敏感數據泄露,不僅會給快消企業及其用戶帶來不可挽回的損失,更是觸犯了我國《網絡安全法》《數據安全法》等相關法律法規。

    瑞數信息技術總監吳劍剛表示,目前針對快消行業的API攻擊形勢非常嚴峻,但快消企業在API安全防護上卻面臨著真實的痛點:對于大型企業而言,傳統安全產品已無力應對新型的API攻擊;而中小型企業因IT投入有限,安全防護技術就更加薄弱。

    在吳劍剛看來,快消企業在API安全方面普遍面臨三大挑戰:

    一是API資產不清,數據泄露風險大。

    由于API接口的大量調用,很多企業并不清楚自己有多少個API,也不知道API處于什么狀態。大量的API資產無法自動探測,這就使得企業API資產不清、責任不清,從而成為黑客攻擊的主要入口。

    據Gartner預測,API濫用將是2022年最常見的攻擊類型。企業必須清楚地知道自己擁有哪些API資產,才能更好地保護數據不被泄露。

    二是傳統安全產品存在局限性,無法有效應對API攻擊。

    在大型快消企業中,普遍部署了傳統WAF、API網關、風控等多種安全產品,但這些產品并不是為API安全而生,例如:

    傳統WAF技術上主要基于規則和簽名來識別已知攻擊,但每個API都有獨特的業務邏輯和漏洞,因此傳統WAF缺乏對API上下文所需的架構理解,也無法理解獨特的邏輯,很多時候無法識別針對API獨有的漏洞攻擊。

    傳統API安全網關更多是在API請求的身份認證、權限控管、請求內容校驗與過濾以及API流量限速等方面進行防護,但是這些防護功能都與應用開發高度相關,應用程序修改后往往也需要修改API安全網關的配置,造成部署與維護成本都極為高昂。

    同時,傳統API網關保證身份認證合法,但不代表能訪問行為合法。尤其在To C業務中,面對黑客以合法身份登錄、模擬正常操作、多源低頻的API訪問請求,傳統API網關無法識別這類看似“正?!钡挠脩粜袨?。因此,許多企業開始關注API安全防護。

    風控系統多為旁路預警,對攻擊束手無策。同時,風控系統多為業務部門所用,當安全部門在分析可疑事件時,由于風控平臺和安全平臺缺少相應的連接,往往出現信息不對稱、口徑不一致的情況,導致無法識別出異常行為。當業務策略發生變化時,風控平臺策略也需要相應實現代碼級更新,在業務快速發展的情況下,風控平臺的運營負擔過重。

    三是API面臨多種安全攻擊,難以有效識別和實時防護。

    針對API的常見網絡攻擊包括:重放攻擊、DDoS 攻擊、注入攻擊、會話 cookie 篡改、中間人攻擊、內容篡改、參數篡改等,這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化、自動化,企業很難有效識別針對API的未知威脅,也無法實時細粒度阻斷、熔斷各類風險。

    快消企業亟需API安全創新方案

    在嚴峻的網絡安全形勢下,每一個API都有可能成為攻擊入口,我國《數據安全法》也強調了需要對數據在傳輸、提供、公開時提供保護,構建API安全防護體系勢在必行。

    為了解決API面臨的各種安全風險與挑戰,彌補傳統安全產品的不足,瑞數信息基于“ADMP安全模型”,創新地推出了API安全管控平臺(API BotDefender),從API的資產管理、敏感數據管控、訪問行為管控、API風險識別與管控等維度,體系化保障API安全。

    在API資產管理方面,瑞數API BotDefender可以持續發現API接口,及時發現未知的API和僵尸API。同時,自動對API接口實現分類、分組、并指派責任人,實現數據分權管理;并提取API接口的元數據,為API接口提供可視化展示。

    在API攻擊防護方面,瑞數API BotDefender可以防止繞過業務邏輯的訪問行為,拒絕非法的API請求參數調用,降低安全配置錯誤,縮小攻擊面。同時,支持API安全攻擊檢測和防護,并引入語義分析技術,進一步提高檢測準確性。

    在API敏感數據管控方面,瑞數API BotDefender可以對敏感信息進行自動分級,實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼,并及時進行脫敏處理,規避數據泄漏風險,滿足合規審計需求。

    在API訪問行為管控方面,瑞數API BotDefender基于多維度實時監控API接口的訪問行為,能夠及時發現偏離基線的異常訪問行為。同時,內置的API業務威脅模型,可以透視API常見的業務威脅,高效準確進行人機識別。

    在API訪問控制方面,瑞數API BotDefender內置靈活的API訪問控制策略,能夠對API接口實現精細化的訪問控制,支持多維度限頻、攔截、延時等,實現企業實時安全響應和業務發展的平衡。

    一直以來,快消行業都是bots自動化攻擊的重災區,由爬蟲、撞庫帶來的惡意競爭、數據泄露、業務欺詐等事件頻發。瑞數信息作為從bots自動化攻擊防護起家的專業廠商,為眾多快消企業提供了領先的自動化攻擊防護產品,至今已保護了上萬億客戶資產和5億多賬戶,阻擋了99%的自動化攻擊。

    隨著bots自動化攻擊開始瞄準API,瑞數信息也率先將所有線上業務接入渠道納入防護,包括Web、H5、APP、API、微信、小程序等,通過用戶賬號等唯一標識和全訪問記錄,將各業務接入渠道的數據進行融合,實現應用安全全功能的超融合防護。企業既可以采用瑞數API BotDefender對API進行單獨防護,也可以在瑞數下一代WAF基礎上擴展API防護功能,實現全渠道的安全防護。

    知名快消企業API安全治理之道

    目前,瑞數API BotDefender已成功應用在多個快消企業中,其中不乏行業頭部企業?;诖?,瑞數信息技術總監吳劍剛介紹了兩個典型的快消企業API安全治理實踐。

    • 案例一:某知名零售連鎖企業

    某知名零售連鎖企業,擁有過億的全球用戶,其線上應用日活已超3000萬?;谛袠I領先的IT建設,該企業采用了主流的動靜分離架構,核心業務都在API接口上,為了保證業務安全,很早就部署了傳統API網關、WAF、風控等安全產品。

    雖然該企業已有API網關,但更多的是在鑒權層面起到作用,缺少API安全層面的發現和管控。而傳統WAF基于規則庫,對于該企業來說是個黑盒子,只能看到攔截效果,無法透視業務威脅,也無法從業務角度進行安全分析。風控產品則缺乏和安全平臺的聯動,無法幫助該企業識別惡意行為。

    在采用瑞數API BotDefender后,該企業很快發現了一批未被清點、臨時接口未關閉的API資產,更發現了大量異常行為和背后的異常賬號設備,實施了批量封堵處理。

    根據瑞數API BotDefender的溯源顯示,某用戶通過手機號在APP上點單后,憑下單憑證去門店取單,取貨手機號就是下單手機號。然而,該手機號在24小時內已經下單超過50次,這顯然不符合正常用戶使用邏輯。同時,瑞數API BotDefender發現涉及這種異常行為的設備高達230個,有80個設備在1小時內使用5個以上的賬號進行下單,涉及以上行為的總共1540個手機號,這些傳統安全產品無法識別的異常行為,都在瑞數API BotDefender平臺上清晰地展示出來,并能夠被實時攔截。

    除了API資產管理和API異常行為管控之外,瑞數API BotDefender還為該企業提供了全生命周期的API安全能力,不僅覆蓋OWASP API Security Top10的攻擊防御,且通過API業務威脅模型,可以快速應對API的業務安全攻擊,如爬蟲、撞庫等。

    • 案例二:保健美容零售連鎖企業

    某知名健康美容零售連鎖企業在全球擁有數千萬活躍會員,龐大的業務體量,使得該企業一直將信息安全作為其IT建設中的重中之重。為了保護線上業務安全,該企業自2017年起一直采用瑞數動態應用保護系統 Botgate,對大量機器人攻擊行為、薅羊毛、安全攻擊等行為進行了有效防護。

    隨著該企業更多的業務交易從線下轉移到線上,數字化營銷程度不斷深入,微信小程序成為其開展業務和營銷活動的主要線上渠道之一,API接口數量隨之快速增長,通過API接口發起的攻擊也越來越多。攻擊者試圖通過API越權訪問會員信息,批量獲取用戶隱私信息,這讓該企業意識到應迅速加強API防護。

    2020年,該企業在原有的瑞數動態應用保護系統基礎上,擴展了API BotDefender模塊,補充API防護能力,獲得了立竿見影的效果:一是對API接口回傳報文中的敏感信息進行脫敏處理,規避數據泄漏風險;二是對API異常訪問行為進行管控,對異常設備和賬號做實時處置;三是基于單個API接口訪問次數進行限頻,防止CC攻擊造成業務癱瘓;四是針對地域營銷活動中黑產使用虛假定位軟件的問題,進行有效的人機識別和虛假定位識別,阻擋薅羊毛行為。

    結語

    在數字化浪潮中,快消企業必須面對愈加復雜的網絡安全環境,與黑產進行持續升級的對抗。對于早已全渠道化的快消企業而言,API是亟需重視的防護對象。瑞數API BotDefender作為API防護的創新方案,基于瑞數獨有的“動態安全+AI”核心技術,能夠為快消企業建立完整的API資產感知、發現、監測、管控能力,有效保護企業的業務安全和數據安全。

    未經允許不得轉載:存儲在線 » 瑞數信息:快消行業面臨嚴峻的API攻擊,API安全治理勢在必行
    分享到: 更多 (0)
    精品二区,舌头在花缝来回滑的感觉,《3D精-液-検査》旧里番
  • <xmp id="o6oq2"><table id="o6oq2"></table>