瑞数信息:快消行业面临严峻的API攻击,API安全治理势在必行

文章来源:网络整理编辑:采集侠2022-05-13 08:34

导读:

[瑞数信息:快消行业面临严峻的API攻击,API安全治理势在必行

数字化时代,传统快消企业纷纷向线上转型升级,大量业务基于APP、小程序、H5 、微信等渠道接入,直接面向消费者展开花样百出的线上营销活动,如:扫码领红包、集卡送好礼、分享得立减金……

然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。

快消企业面临API安全三大挑战

数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。

作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。

事实上,API攻击对快消企业的业务安全构成了严重影响。

在业务安全层面,快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。

在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。

瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。

在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:

一是API资产不清,数据泄露风险大。

由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。

据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。

二是传统安全产品存在局限性,无法有效应对API攻击。

在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:

传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。

传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。

同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在To C业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。

风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。

三是API面临多种安全攻击,难以有效识别和实时防护。

针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。

快消企业亟需API安全创新方案

在严峻的网络安全形势下,每一个API都有可能成为攻击入口,我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护,构建API安全防护体系势在必行。

为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了API安全管控平台(API BotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。

瑞数信息:快消行业面临严峻的API攻击,API安全治理势在必行

在API资产管理方面,瑞数API BotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。

在API攻击防护方面,瑞数API BotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。

在API敏感数据管控方面,瑞数API BotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。

在API访问行为管控方面,瑞数API BotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。

在API访问控制方面,瑞数API BotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。

本文链接:http://www.soxunwang.com/kjrd/2022/0513/101449.html

声明:
1、此文内容为本网站刊发或转载企业宣传资讯,仅代表作者个人观点,供读者参考。
2、搜讯网所转载的稿件都会明确标注作者和来源,如您不希望被转载请及时与我们联系删除。
3、搜讯网的原创文章,请转载时务必注明文章作者和"来源:搜讯网",不尊重原创的行为搜讯网或将追究责任。
4、本站提供的图文仅供参考,不能作为任何咨询依据,专业问题请咨询专业人士,谨防受骗。

关注搜讯网微信号

扫描加关注!

搜讯网福利发放

最新热点 更多
相关阅读 更多