文章来源 瑞数信息,点击可阅读原文
数字化时代,传统快消企业纷纷向线上转型升级,大量业务基于APP、小程序、H5 、微信等渠道接入,直接面向消费者展开花样百出的线上营销活动,如:扫码领红包、集卡送好礼、分享得立减金……
然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。
快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。
快消企业面临API安全三大挑战
数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。
作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。
瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,API攻击也已对快消企业的安全构成了严重影响。
在业务安全层面,快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。
在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更触犯了我国《网络安全法》《数据安全法》等相关法律法规。
但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。
在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:
01
API资产不清,数据泄露风险大
由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。
据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。
02
传统安全产品存在局限性,无法有效应对API攻击
在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:
传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。
传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。
同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在To C业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。
风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。
03
API面临多种安全攻击,难以有效识别和实时防护
针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。
快消企业亟需API安全创新方案
为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了瑞数API安全管控平台(API BotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。
在API资产管理方面
瑞数API BotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。
在API攻击防护方面
瑞数API BotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。
在API敏感数据管控方面
瑞数API BotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。
在API访问行为管控方面
瑞数API BotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。
在API访问控制方面
瑞数API BotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。
一直以来,快消行业作为bots自动化攻击的重灾区,频繁遭受着爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等攻击事件。而瑞数信息作为从bots自动化攻击防护起家的专业厂商,为众多快消企业提供了领先的自动化攻击防护产品,至今已保护了上万亿客户资产和5亿多账户,阻挡了99%的自动化攻击。
随着bots自动化攻击开始瞄准API,瑞数信息率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等。通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,实现应用安全全功能的超融合防护。企业既可以单独采用瑞数API安全管控平台(API BotDefender)对API进行防护,也可以在瑞数应用保护的基础上扩展API防护功能,从而建立完整的API资产感知、发现、监测、管控能力,实现API全渠道的主动式安全防护。