1. 创业头条
  2. 前沿领域
  3. 企业应用
  4. 正文

瑞数信息:快消行业面临严峻的API攻击,API安全治理势在必行

 2022-05-12 15:34  来源:互联网  我来投稿 撤稿纠错

  项目招商找A5 快速获取精准代理名单

数字化时代,传统快消企业纷纷向线上转型升级,大量业务基于APP、小程序、H5 、微信等渠道接入,直接面向消费者展开花样百出的线上营销活动,如:扫码领红包、集卡送好礼、分享得立减金……

然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。

快消企业面临API安全三大挑战

数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。

作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。

事实上,API攻击对快消企业的业务安全构成了严重影响。

在业务安全层面,快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。

在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。

瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。

在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:

一是API资产不清,数据泄露风险大。

由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。

据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。

二是传统安全产品存在局限性,无法有效应对API攻击。

在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:

传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。

传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。

同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在To C业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。

风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。

三是API面临多种安全攻击,难以有效识别和实时防护。

针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。

快消企业亟需API安全创新方案

在严峻的网络安全形势下,每一个API都有可能成为攻击入口,我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护,构建API安全防护体系势在必行。

为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了API安全管控平台(API BotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。

在API资产管理方面,瑞数API BotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。

在API攻击防护方面,瑞数API BotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。

在API敏感数据管控方面,瑞数API BotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。

在API访问行为管控方面,瑞数API BotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。

在API访问控制方面,瑞数API BotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。

一直以来,快消行业都是bots自动化攻击的重灾区,由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商,为众多快消企业提供了领先的自动化攻击防护产品,至今已保护了上万亿客户资产和5亿多账户,阻挡了99%的自动化攻击。

随着bots自动化攻击开始瞄准API,瑞数信息也率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等,通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,实现应用安全全功能的超融合防护。企业既可以采用瑞数API BotDefender对API进行单独防护,也可以在瑞数下一代WAF基础上扩展API防护功能,实现全渠道的安全防护。

知名快消企业API安全治理之道

目前,瑞数API BotDefender已成功应用在多个快消企业中,其中不乏行业头部企业。基于此,瑞数信息技术总监吴剑刚介绍了两个典型的快消企业API安全治理实践。

案例一:某知名零售连锁企业

某知名零售连锁企业,拥有过亿的全球用户,其线上应用日活已超3000万。基于行业领先的IT建设,该企业采用了主流的动静分离架构,核心业务都在API接口上,为了保证业务安全,很早就部署了传统API网关、WAF、风控等安全产品。

虽然该企业已有API网关,但更多的是在鉴权层面起到作用,缺少API安全层面的发现和管控。而传统WAF基于规则库,对于该企业来说是个黑盒子,只能看到拦截效果,无法透视业务威胁,也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动,无法帮助该企业识别恶意行为。

在采用瑞数API BotDefender后,该企业很快发现了一批未被清点、临时接口未关闭的API资产,更发现了大量异常行为和背后的异常账号设备,实施了批量封堵处理。

根据瑞数API BotDefender的溯源显示,某用户通过手机号在APP上点单后,凭下单凭证去门店取单,取货手机号就是下单手机号。然而,该手机号在24小时内已经下单超过50次,这显然不符合正常用户使用逻辑。同时,瑞数API BotDefender发现涉及这种异常行为的设备高达230个,有80个设备在1小时内使用5个以上的账号进行下单,涉及以上行为的总共1540个手机号,这些传统安全产品无法识别的异常行为,都在瑞数API BotDefender平台上清晰地展示出来,并能够被实时拦截。

除了API资产管理和API异常行为管控之外,瑞数API BotDefender还为该企业提供了全生命周期的API安全能力,不仅覆盖OWASP API Security Top10的攻击防御,且通过API业务威胁模型,可以快速应对API的业务安全攻击,如爬虫、撞库等。

案例二:保健美容零售连锁企业

某知名健康美容零售连锁企业在全球拥有数千万活跃会员,庞大的业务体量,使得该企业一直将信息安全作为其IT建设中的重中之重。为了保护线上业务安全,该企业自2017年起一直采用瑞数动态应用保护系统 Botgate,对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。

随着该企业更多的业务交易从线下转移到线上,数字化营销程度不断深入,微信小程序成为其开展业务和营销活动的主要线上渠道之一,API接口数量随之快速增长,通过API接口发起的攻击也越来越多。攻击者试图通过API越权访问会员信息,批量获取用户隐私信息,这让该企业意识到应迅速加强API防护。

2020年,该企业在原有的瑞数动态应用保护系统基础上,扩展了API BotDefender模块,补充API防护能力,获得了立竿见影的效果:一是对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险;二是对API异常访问行为进行管控,对异常设备和账号做实时处置;三是基于单个API接口访问次数进行限频,防止CC攻击造成业务瘫痪;四是针对地域营销活动中黑产使用虚假定位软件的问题,进行有效的人机识别和虚假定位识别,阻挡薅羊毛行为。

结语

在数字化浪潮中,快消企业必须面对愈加复杂的网络安全环境,与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言,API是亟需重视的防护对象。瑞数API BotDefender作为API防护的创新方案,基于瑞数独有的“动态安全+AI”核心技术,能够为快消企业建立完整的API资产感知、发现、监测、管控能力,有效保护企业的业务安全和数据安全。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
数字化营销

相关文章

  • 新兴铸管:财务数字化重塑企业财务价值

    “新兴铸管:百望云项目组在任务重、工期短的情况下,项目组以严谨专业、高度负责的工作态度,认真细致、加班加点的工作方式,顺利完成百望云增值税系统功能优化对接、与其他系统联调测试、用户培训等上线目标。项目组在实施过程中以用户需求为本,积极沟通、周密部署,克服系统应用范围广、用户集中上线等困难,制定详细的

    标签:
    数字化技术
  • 远程会议总有背景噪音,好视通智能噪声隔离了解一下?

    “好视通”是国内云视频会议知名品牌,拥有多项创新核心技术优势、多方通信服务牌照及行业全面资质,专注为政府、公检法司、教育、集团企业等用户提供“云+端+业务全场景”解决方案。用全国产、高清流畅、安全稳定的云视频服务助力各行各业数字化转型。

    标签:
    视频会议
  • 远光智能资产管理解决方案入选工信部2022年工业互联网APP优秀解决方案

    近日,工业和信息化部信息技术发展司发布“2022年工业互联网APP优秀解决方案”评审结果,由国家电网有限公司推荐的远光软件“智能资产管理解决方案”,凭借突出的技术研发实力及显著的实践成果成功入选。远光“智能资产管理解决方案”遵循资产全寿命周期理念,依托物联网技术,通过二维码标签、RFID标签对资产实

    标签:
    工业互联网
  • 优音通信入选瞪羚企业丨我们做好了充足准备,去迎接2023!

    近日,陕西省科学技术厅公示了2022年陕西省瞪羚企业名单。优音通信凭借在服务领域卓越的价值创造、持续深化的智能通信技术应用以及高速发展不断创新的态势入选陕西省瞪羚企业,并授予证书进行表彰!

  • 2022,降本的背后,企业是如何实现人才增效的?

    巨量认证(OMC)在2022年做了哪些事助力企业人才增效

  • 中企动力: 助力企业完成互联网思维转换

    互联网思维,就是在(移动)互联网+、大数据、云计算等科技不断发展的背景下,对市场、用户、产品、企业价值链乃至对整个商业生态进行重新审视的思考方式。据数据显示,截止到今年9月,我国中小微企业数量高达4800万。这几年的巨大变化,给每个企业带来了危机,同时也带来了沉淀和审视自身的机会。每一次危机其实都在

  • 百望云喜获钛媒体“2022年度潜在价值企业奖”

    再获认可!2022T-EDGE全球创新大会暨钛媒体十年致敬盛典上,2022EDGEAWARDS企业榜正式发布,百望云喜获“年度潜在价值企业奖”。在当下这个持续变革、充满机遇和挑战的时代,创新能力强、引领效应好、拥有核心竞争力的新应用和新模式不断涌现,该奖项旨在表彰那些极具创新和潜力的企业,百望云凭借

  • 百望云紧急完成系统升级,可满足小规模纳税人3%减征1%开票新政

    1月9日,国家税务总局发布了财税2023年1号公告,明确增值税小规模纳税人减免增值税优惠政策,百望云已紧急完成系统升级,可满足小规模纳税人3%减征1%开票新政,帮助用户准确快速开具发票。总体上来讲,小规模纳税人的政策变化还是较大的,核心要点如下:l小规模45万免征降至30万,只有在纳税人开具普票时享

  • 数新网络DataCyber赋能云数据智能操作系统建设,撬动数字信创产业新发展

    近日,大数据产业创新服务媒体数据猿公布了金猿奖《2022大数据产业年度国产化优秀代表厂商》榜单,数新凭借超强的信创实力荣登榜单,同时上榜的还有恒生、火山引擎、星环科技、Kyligence、袋鼠云等企业。近年来,数新一直投身于信创产业的建设,产品的打磨及技术的创新都围绕着信创开展,目前在国产化适配方面

    标签:
    大数据
  • 江行智能入选2022投资界数字科技Venture50

    近日,由清科创业、投资界发起的2022Venture50榜单最终揭晓,江行智能因领先的边缘计算技术及产业赋能能力入选2022投资界数字科技Venture50。Venture50被誉为中国高成长企业投资风向标。自2006年创办以来,已陪伴中国创业者十六年之久,发掘并见证了无数优秀创业企业从“新芽”成长

热门排行

编辑推荐

扫一扫关注最新创业资讯