| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

数字化时代,快消行业面临三大API安全挑战

2022-05-12 16:27 作者:Aaron 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

数字化时代,传统快消企业纷纷向线上转型升级,大量业务基于APP、小程序、H5、微信等渠道接入,直接面向消费者展开花样百出的线上营销活动,如:扫码领红包、集卡送好礼、分享得立减金……

然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。

快消企业面临API安全三大挑战

数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。

作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。

事实上,API攻击对快消企业的业务安全构成了严重影响。

在业务安全层面,快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。

在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。

瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。

在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:

一是API资产不清,数据泄露风险大。

由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。

据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。

二是传统安全产品存在局限性,无法有效应对API攻击。

在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:

传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。

传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。

同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在To C业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。

风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。

三是API面临多种安全攻击,难以有效识别和实时防护。

针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。

快消企业亟需API安全创新方案

在严峻的网络安全形势下,每一个API都有可能成为攻击入口,我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护,构建API安全防护体系势在必行。

为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了API安全管控平台(API BotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。

API资产管理方面,瑞数API BotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。

API攻击防护方面,瑞数API BotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。

API敏感数据管控方面,瑞数API BotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。

API访问行为管控方面,瑞数API BotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。

API访问控制方面,瑞数API BotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。

一直以来,快消行业都是bots自动化攻击的重灾区,由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商,为众多快消企业提供了领先的自动化攻击防护产品,至今已保护了上万亿客户资产和5亿多账户,阻挡了99%的自动化攻击。

随着bots自动化攻击开始瞄准API,瑞数信息也率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等,通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,实现应用安全全功能的超融合防护。企业既可以采用瑞数API BotDefender对API进行单独防护,也可以在瑞数下一代WAF基础上扩展API防护功能,实现全渠道的安全防护。

知名快消企业API安全治理之道

目前,瑞数API BotDefender已成功应用在多个快消企业中,其中不乏行业头部企业。基于此,瑞数信息技术总监吴剑刚介绍了两个典型的快消企业API安全治理实践。
案例一:某知名零售连锁企业

某知名零售连锁企业,拥有过亿的全球用户,其线上应用日活已超3000万。基于行业领先的IT建设,该企业采用了主流的动静分离架构,核心业务都在API接口上,为了保证业务安全,很早就部署了传统API网关、WAF、风控等安全产品。

虽然该企业已有API网关,但更多的是在鉴权层面起到作用,缺少API安全层面的发现和管控。而传统WAF基于规则库,对于该企业来说是个黑盒子,只能看到拦截效果,无法透视业务威胁,也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动,无法帮助该企业识别恶意行为。

在采用瑞数API BotDefender后,该企业很快发现了一批未被清点、临时接口未关闭的API资产,更发现了大量异常行为和背后的异常账号设备,实施了批量封堵处理。

根据瑞数API BotDefender的溯源显示,某用户通过手机号在APP上点单后,凭下单凭证去门店取单,取货手机号就是下单手机号。然而,该手机号在24小时内已经下单超过50次,这显然不符合正常用户使用逻辑。同时,瑞数API BotDefender发现涉及这种异常行为的设备高达230个,有80个设备在1小时内使用5个以上的账号进行下单,涉及以上行为的总共1540个手机号,这些传统安全产品无法识别的异常行为,都在瑞数API BotDefender平台上清晰地展示出来,并能够被实时拦截。

除了API资产管理和API异常行为管控之外,瑞数API BotDefender还为该企业提供了全生命周期的API安全能力,不仅覆盖OWASP API Security Top10的攻击防御,且通过API业务威胁模型,可以快速应对API的业务安全攻击,如爬虫、撞库等。
案例二:保健美容零售连锁企业

某知名健康美容零售连锁企业在全球拥有数千万活跃会员,庞大的业务体量,使得该企业一直将信息安全作为其IT建设中的重中之重。为了保护线上业务安全,该企业自2017年起一直采用瑞数动态应用保护系统Botgate,对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。

随着该企业更多的业务交易从线下转移到线上,数字化营销程度不断深入,微信小程序成为其开展业务和营销活动的主要线上渠道之一,API接口数量随之快速增长,通过API接口发起的攻击也越来越多。攻击者试图通过API越权访问会员信息,批量获取用户隐私信息,这让该企业意识到应迅速加强API防护。

2020年,该企业在原有的瑞数动态应用保护系统基础上,扩展了API BotDefender模块,补充API防护能力,获得了立竿见影的效果:一是对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险;二是对API异常访问行为进行管控,对异常设备和账号做实时处置;三是基于单个API接口访问次数进行限频,防止CC攻击造成业务瘫痪;四是针对地域营销活动中黑产使用虚假定位软件的问题,进行有效的人机识别和虚假定位识别,阻挡薅羊毛行为。

结语

在数字化浪潮中,快消企业必须面对愈加复杂的网络安全环境,与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言,API是亟需重视的防护对象。瑞数API BotDefender作为API防护的创新方案,基于瑞数独有的“动态安全+AI”核心技术,能够为快消企业建立完整的API资产感知、发现、监测、管控能力,有效保护企业的业务安全和数据安全。

【对“数字化时代,快消行业面临三大API安全挑战”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
头条
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财 警惕!网络诈骗盯上中小学生 隔空“遥控”骗
2022年4 月 18 日消息,据央视报道,近期,在广东、江西、江苏等地相继发生针对中小学……
·警惕!网络诈骗盯上中小学生 隔空“遥控”骗
·由于隐私问题 苹果取消了让用户使用Siri进行
·苹果公司以“隐私法薄弱”为理由退出一个隐私
·Facebook动态消息News Feed因算法漏洞连推糟
·丰田汽车主要供应商Denso遭遇网络攻击被勒索
图文
数字化时代,快消行业面临三大API安全挑战
数字化时代,快消行业面临三大API安全挑战
锐成SSL证书周年庆特惠来袭 72元起实现网站HTTPS安全防护!
锐成SSL证书周年庆特惠来袭 72元起实现网站
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·专注安全云,有云信息荣膺云帆奖两项大奖
·瑞星再获西海岸大奖 四款新品打造“企业信息
·盾盘亮相第十九届高交会,信息防护技术引人瞩
·网络安全内功如何修炼?攻击面可视化是秘籍
·阿里云联手中科院 利用量子通信加密云计算安
广告
硅谷精选
数字化时代,快消行业面临三大API安全挑战
数字化时代,快消行业面临三大API安全挑战
锐成SSL证书周年庆特惠来袭 72元起实现网站HTTPS安全防护!
锐成SSL证书周年庆特惠来袭 72元起实现网站HTTPS安全
螳螂科技获ISO9001和ISO27001体系认证信息安全与质量实力获认可
螳螂科技获ISO9001和ISO27001体系认证信息安全与质量
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财
众安天下入选工信部移动互联网APP产品安全漏洞库第二批支撑单位
众安天下入选工信部移动互联网APP产品安全漏洞库第二
网络攻击转向威胁数据安全 我们应该如何防御?
网络攻击转向威胁数据安全 我们应该如何防御?
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2021 硅谷网. 版权所有. All Rights Reserved. <备案号:京ICP备12003855号-2>