数字化时代,传统快消企业纷纷向线上转型升级,大量业务基于APP、小程序、H5 、微信等渠道接入,直接面向消费者展开花样百出的线上营销活动,如:扫码领红包、集卡送好礼、分享得立减金……
然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。
快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。
快消企业面临API安全三大挑战
数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。
作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。
事实上,API攻击对快消企业的业务安全构成了严重影响。
在业务安全层面,快消企业往往会遭遇*、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。
在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。
瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。
在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:
一是API资产不清,数据泄露风险大。
由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。
据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。
二是传统安全产品存在局限性,无法有效应对API攻击。
在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:
传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。
传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。
同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在To C业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。
风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。
三是API面临多种安全攻击,难以有效识别和实时防护。
针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。
快消企业亟需API安全创新方案
在严峻的网络安全形势下,每一个API都有可能成为攻击入口,我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护,构建API安全防护体系势在必行。
为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了API安全管控平台(API BotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。
在API资产管理方面,瑞数API BotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。
在API攻击防护方面,瑞数API BotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。
在API敏感数据管控方面,瑞数API BotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。
在API访问行为管控方面,瑞数API BotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。
在API访问控制方面,瑞数API BotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。
一直以来,快消行业都是bots自动化攻击的重灾区,由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商,为众多快消企业提供了领先的自动化攻击防护产品,至今已保护了上万亿客户资产和5亿多账户,阻挡了99%的自动化攻击。
随着bots自动化攻击开始瞄准API,瑞数信息也率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等,通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,实现应用安全全功能的超融合防护。企业既可以采用瑞数API BotDefender对API进行单独防护,也可以在瑞数下一代WAF基础上扩展API防护功能,实现全渠道的安全防护。
知名快消企业API安全治理之道
目前,瑞数API BotDefender已成功应用在多个快消企业中,其中不乏行业头部企业。基于此,瑞数信息技术总监吴剑刚介绍了两个典型的快消企业API安全治理实践。
案例一:某知名零售连锁企业
某知名零售连锁企业,拥有过亿的全球用户,其线上应用日活已超3000万。基于行业领先的IT建设,该企业采用了主流的动静分离架构,核心业务都在API接口上,为了保证业务安全,很早就部署了传统API网关、WAF、风控等安全产品。
虽然该企业已有API网关,但更多的是在鉴权层面起到作用,缺少API安全层面的发现和管控。而传统WAF基于规则库,对于该企业来说是个黑盒子,只能看到拦截效果,无法透视业务威胁,也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动,无法帮助该企业识别恶意行为。
在采用瑞数API BotDefender后,该企业很快发现了一批未被清点、临时接口未关闭的API资产,更发现了大量异常行为和背后的异常账号设备,实施了批量封堵处理。
根据瑞数API BotDefender的溯源显示,某用户通过手机号在APP上点单后,凭下单凭证去门店取单,取货手机号就是下单手机号。然而,该手机号在24小时内已经下单超过50次,这显然不符合正常用户使用逻辑。同时,瑞数API BotDefender发现涉及这种异常行为的设备高达230个,有80个设备在1小时内使用5个以上的账号进行下单,涉及以上行为的总共1540个手机号,这些传统安全产品无法识别的异常行为,都在瑞数API BotDefender平台上清晰地展示出来,并能够被实时拦截。
除了API资产管理和API异常行为管控之外,瑞数API BotDefender还为该企业提供了全生命周期的API安全能力,不仅覆盖OWASP API Security Top10的攻击防御,且通过API业务威胁模型,可以快速应对API的业务安全攻击,如爬虫、撞库等。
案例二:保健美容零售连锁企业
某知名健康美容零售连锁企业在全球拥有数千万活跃会员,庞大的业务体量,使得该企业一直将信息安全作为其IT建设中的重中之重。为了保护线上业务安全,该企业自2017年起一直采用瑞数动态应用保护系统 Botgate,对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。
随着该企业更多的业务交易从线下转移到线上,数字化营销程度不断深入,微信小程序成为其开展业务和营销活动的主要线上渠道之一,API接口数量随之快速增长,通过API接口发起的攻击也越来越多。攻击者试图通过API越权访问会员信息,批量获取用户隐私信息,这让该企业意识到应迅速加强API防护。
2020年,该企业在原有的瑞数动态应用保护系统基础上,扩展了API BotDefender模块,补充API防护能力,获得了立竿见影的效果:一是对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险;二是对API异常访问行为进行管控,对异常设备和账号做实时处置;三是基于单个API接口访问次数进行限频,防止CC攻击造成业务瘫痪;四是针对地域营销活动中黑产使用虚假定位软件的问题,进行有效的人机识别和虚假定位识别,阻挡薅羊毛行为。
结语
在数字化浪潮中,快消企业必须面对愈加复杂的网络安全环境,与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言,API是亟需重视的防护对象。瑞数API BotDefender作为API防护的创新方案,基于瑞数独有的“动态安全+AI”核心技术,能够为快消企业建立完整的API资产感知、发现、监测、管控能力,有效保护企业的业务安全和数据安全。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
万物向新,数字重组。3月29日,以「REMIX——重组数字未来,创享无限可能」为主题的数说故事第六届D3智能营销峰会在广州白云国际会议中心圆满举办。本届峰会由数说故事携手GDMS联合主办,数说故事作为专场合作伙伴,与5000+品牌人一道开启营销智能新时代,围绕数据驱动生意增长要素的核心,聚焦社媒大数
数字体验经济时代,随着数字化技术的不断发展,内容营销的展现形式也发生了巨大的变化。从文字、图片、GIF、H5到视频再到直播,内容营销载体的多元变化,也让消费者对营销信息的接受速度更快,同时,这也对企业做营销提出了更多考验。
本套课程由云徙科技CTO领衔,联合内外部产品专家、技术极客,围绕“一平台多企业云”产品矩阵详细解析云徙各细分产品的功能及能力,并结合云徙服务的300+家头部客户的数字化实践经验
8月9日,“全域融合共赢未来“悠易MarTech战略发布会上,悠易将联合甲子光年发布《用户增长双螺旋白皮书》,从市场环境及用户痛点着手,提出用户增长双螺旋方法论,为企业制定数字化转型方式,提供全新的参考方向。
每年的618大促,都是企业与品牌的营销大事件,今年618,直播电商的表现尤为亮眼,全网销售额达6959亿元。在这次轰轰烈烈的618盛事中,万达九大广场使用随幻空间,升级打造了一场元宇宙沉浸式的联动大直播
近年来,面对日益激烈的市场竞争,如何实现生产原料和成品的高品质、低成本、高效率逐渐成为大部分公司的目标。条码管理技术的开发和应用可以使企业从传统的生产管理方式中彻底走出来,向数智化转型的方向迈进。北京三维天地科技股份有限公司在实验室数智化领域具有丰富的行业经验,致力于为客户提供信息化整体解决方案及相
2024年1月22日,人行数字供应链金融服务平台电子保函模块正式上线运行,全国首批共5家试点行于日前完成验收与上线工作。信雅达以专业、丰富的系统建设经验助力3家试点行(宁波银行、南京银行、徽商银行)电子保函系统建设,并于1月21日前完成系统上线准备工作,1月22日与人行同步正式上线系统运行,其中宁波
近日,艾灵完成1.5亿元A轮融资。本轮投资方包括英特尔资本、深圳天使母基金直投基金、TCL中新融创、浦耀信晔、住友商事亚洲资本、新电投资(SingtelInnov8)、华迪创投。据透露,艾灵本轮融资将用于深化工业5G、工业智能等核心产品的研发,加速在更多行业落地推广,推动重要行业市场大规模商用落地,
十年,是时间的标尺,也是发展的刻度。从2012年的2.5万亿到2022年的10.81万亿,国内软件产业收入增长了近4倍。特别是近两年,得益于数字经济的蓬勃发展,软件产业更是迎来了黄金期。在外部数字化需求的拉动下,产业内生动力强劲,服务商不断地加速产品进化、生态布局,以寻求新一轮增长。然而,一半是火焰
如今,很多CFO开始关注企业支出数据,希望通过精细化洞察分析,实现有效降本。但由于费用支出零散化、报销流程繁琐化、支出管理割裂化,导致支出数据分析无抓手,数据沉淀不完整导致分析结果无效。暗藏的合规行为如果没有及时发现,还会带来经营风险。分贝通近期发布《一体化支出管理案例集·春季版》,收录了智能制造、
从推出全电发票、改名数电票,到十多种票面样式落实;从少数城市试点,到试点城市覆盖全国范围......从“以票治税”到“以数治税”,数电票作为“金税四期”工程的重要载体,已进入全面普及时代!全面普及后,数电票的概念、数电票与纸质票的区别、如何开具和收票等......每家企业更要做到心中有数。01数电票
摘要:在信息技术快速发展和数字化浪潮席卷全球的今天,中国企业正积极迎接数字化转型的挑战和机遇。在这个过程中,国产化替代正成为中国企业提升信息安全性、实现自主创新与可控性、降低采购成本的重要路径。“从企业自身来讲,在推进精益化管理的进程中,实现软件产品的升级迭代,一方面,要汲取国外先进软件的精髓,另一
伴随“一带一路”的高质量发展,国内企业“走出去”在海外的布局越来越广,出海产业也不断升级迭代,对信息化、数据化建设也越来越重视,信息技术的不断发展在企业全球化布局起着至关重要的作用。凌锐蓝信为用户的全球业务提供高性能、安全和稳定的数智网络服务,消除用户的关键任务应用程序和全球实时流量的连接和延迟问题
随着全球化的加速和数字技术的普及,金融业面临着日益激烈的市场竞争和不断变化的客户需求。为了更好地适应新时代的要求,不少金融企业,特别是银行,正在积极推进数字化改革,打造一个全球业务支撑平台,以提高运营效率、降低成本、提升服务质量。根据德勤《DigitalBankMaturity2022》报告显示,银