文章来源  瑞数信息，点击可阅读原文

数字化时代，传统快消企业纷纷向线上转型升级，大量业务基于APP、小程序、H5   、微信等渠道接入，直接面向消费者展开花样百出的线上营销活动，如：扫码领红包、集卡送好礼、分享得立减金……

然而，在快消行业一片欣欣向荣的背后，黑产分子早已伺机出动，沉浸在各大品牌的羊毛雨中乐此不疲。数据显示，如果企业在营销时不做风险控制，黑产比例一般在20%以上，甚至有一些高达50%，各个品牌被黑产薅掉的营销费用非常高，每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上，一方面是这类企业拉新促销活动丰富，黑产能够快速从中获得高额利润；另一方面也在于快消企业急剧增加的线上业务，使得API接口的调用数量呈爆发式增长，风险敞口随之打开，API迅速成为黑产攻击的新目标。

快消企业面临API安全三大挑战

数字化趋势下，快消企业几乎把大部分业务包括核心业务都搬到了线上，并越来越依赖API整合大量系统，实现业务彼此之间的交互。据调查显示，目前每个企业平均管理超过350个API，其中69%的企业会将这些API开放给公众和他们的合作伙伴，在零售业，API流量占比更是超过83%。

作为线上业务的接口，API承担着连接服务和传输数据的重任，涉及大量用户敏感信息和业务数据。正因如此，通过API获取数据的攻击越来越受到黑客的欢迎：一方面，针对API的攻击更加匿名，另一方面企业对于API的保护程度通常不如网站等应用程序，随着自动化工具的兴起，黑产针对API的攻击门槛和攻击资源要求更低。

瑞数信息技术总监吴剑刚表示，目前针对快消行业的API攻击形势非常严峻，API攻击也已对快消企业的安全构成了严重影响。

在业务安全层面，快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大，并大规模依靠自动化攻击技术，会给快消企业造成巨大经济损失，因此成为企业最为关注的业务安全问题之一。

在数据安全层面，API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息，用于同业竞争、数据倒卖、业务欺诈等非法行为，并导致敏感数据泄露，不仅会给快消企业及其用户带来不可挽回的损失，更触犯了我国《网络安全法》《数据安全法》等相关法律法规。

但快消企业在API安全防护上却面临着真实的痛点：对于大型企业而言，传统安全产品已无力应对新型的API攻击；而中小型企业因IT投入有限，安全防护技术就更加薄弱。

在吴剑刚看来，快消企业在API安全方面普遍面临三大挑战：

01

API资产不清，数据泄露风险大

由于API接口的大量调用，很多企业并不清楚自己有多少个API，也不知道API处于什么状态。大量的API资产无法自动探测，这就使得企业API资产不清、责任不清，从而成为黑客攻击的主要入口。

据Gartner预测，API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产，才能更好地保护数据不被泄露。

02

传统安全产品存在局限性，无法有效应对API攻击

在大型快消企业中，普遍部署了传统WAF、API网关、风控等多种安全产品，但这些产品并不是为API安全而生，例如：

传统WAF技术上主要基于规则和签名来识别已知攻击，但每个API都有独特的业务逻辑和漏洞，因此传统WAF缺乏对API上下文所需的架构理解，也无法理解独特的逻辑，很多时候无法识别针对API独有的漏洞攻击。

传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护，但是这些防护功能都与应用开发高度相关，应用程序修改后往往也需要修改API安全网关的配置，造成部署与维护成本都极为高昂。

同时，传统API网关保证身份认证合法，但不代表能访问行为合法。尤其在To C业务中，面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求，传统API网关无法识别这类看似“正常”的用户行为。因此，许多企业开始关注API安全防护。

风控系统多为旁路预警，对攻击束手无策。同时，风控系统多为业务部门所用，当安全部门在分析可疑事件时，由于风控平台和安全平台缺少相应的连接，往往出现信息不对称、口径不一致的情况，导致无法识别出异常行为。当业务策略发生变化时，风控平台策略也需要相应实现代码级更新，在业务快速发展的情况下，风控平台的运营负担过重。

03

API面临多种安全攻击，难以有效识别和实时防护

针对API的常见网络攻击包括：重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等，这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化，企业很难有效识别针对API的未知威胁，也无法实时细粒度阻断、熔断各类风险。

快消企业亟需API安全创新方案

为了解决API面临的各种安全风险与挑战，弥补传统安全产品的不足，瑞数信息基于“ADMP安全模型”，创新地推出了瑞数API安全管控平台（API BotDefender），从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度，体系化保障API安全。

在API资产管理方面

瑞数API BotDefender可以持续发现API接口，及时发现未知的API和僵尸API。同时，自动对API接口实现分类、分组、并指派责任人，实现数据分权管理；并提取API接口的元数据，为API接口提供可视化展示。

在API攻击防护方面

瑞数API BotDefender可以防止绕过业务逻辑的访问行为，拒绝非法的API请求参数调用，降低安全配置错误，缩小攻击面。同时，支持API安全攻击检测和防护，并引入语义分析技术，进一步提高检测准确性。

在API敏感数据管控方面

瑞数API BotDefender可以对敏感信息进行自动分级，实时洞察API接口中双向传输的敏感数据、明文密码和弱密码，并及时进行脱敏处理，规避数据泄漏风险，满足合规审计需求。

在API访问行为管控方面

瑞数API BotDefender基于多维度实时监控API接口的访问行为，能够及时发现偏离基线的异常访问行为。同时，内置的API业务威胁模型，可以透视API常见的业务威胁，高效准确进行人机识别。

在API访问控制方面

瑞数API BotDefender内置灵活的API访问控制策略，能够对API接口实现精细化的访问控制，支持多维度限频、拦截、延时等，实现企业实时安全响应和业务发展的平衡。

一直以来，快消行业作为bots自动化攻击的重灾区，频繁遭受着爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等攻击事件。而瑞数信息作为从bots自动化攻击防护起家的专业厂商，为众多快消企业提供了领先的自动化攻击防护产品，至今已保护了上万亿客户资产和5亿多账户，阻挡了99%的自动化攻击。

随着bots自动化攻击开始瞄准API，瑞数信息率先将所有线上业务接入渠道纳入防护，包括Web、H5、APP、API、微信、小程序等。通过用户账号等唯一标识和全访问记录，将各业务接入渠道的数据进行融合，实现应用安全全功能的超融合防护。企业既可以单独采用瑞数API安全管控平台（API BotDefender）对API进行防护，也可以在瑞数应用保护的基础上扩展API防护功能，从而建立完整的API资产感知、发现、监测、管控能力，实现API全渠道的主动式安全防护。

关于并擎科技（Binqsoft）

上海并擎软件科技有限公司（简称“并擎科技”, www.binqsoft.com）成立于2009年，是一家深耕于网络安全领域，提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海，在北京、广州和深圳设有分支机构，公司核心人员来自Microsoft、HP、Morgan Stanley等知名IT和金融企业，具有丰富的技术积淀和管理经验。

并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验，为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户，提供优质多元的解决方案和专业高效的技术服务。

并擎科技践行“用心服务、共铸安全”的服务理念，凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势，携手多家知名安全厂商，向众多用户提供优质的解决方案和专业的技术服务。