然而,在快消行业一片欣欣向荣的背后,黑产分子早已伺机出动,沉浸在各大品牌的羊毛雨中乐此不疲。数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%,各个品牌被黑产薅掉的营销费用非常高,每日可达几万、几十万甚至上百万不等。
快消企业之所以容易被黑产盯上,一方面是这类企业拉新促销活动丰富,黑产能够快速从中获得高额利润;另一方面也在于快消企业急剧增加的线上业务,使得API接口的调用数量呈爆发式增长,风险敞口随之打开,API迅速成为黑产攻击的新目标。
快消企业面临API安全三大挑战
数字化趋势下,快消企业几乎把大部分业务包括核心业务都搬到了线上,并越来越依赖API整合大量系统,实现业务彼此之间的交互。据调查显示,目前每个企业平均管理超过350个API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在零售业,API流量占比更是超过83%。
作为线上业务的接口,API承担着连接服务和传输数据的重任,涉及大量用户敏感信息和业务数据。正因如此,通过API获取数据的攻击越来越受到黑客的欢迎:一方面,针对API的攻击更加匿名,另一方面企业对于API的保护程度通常不如网站等应用程序,随着自动化工具的兴起,黑产针对API的攻击门槛和攻击资源要求更低。
事实上,API攻击对快消企业的业务安全构成了严重影响。
在业务安全层面,快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大,并大规模依靠自动化攻击技术,会给快消企业造成巨大经济损失,因此成为企业最为关注的业务安全问题之一。
在数据安全层面,API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息,用于同业竞争、数据倒卖、业务欺诈等非法行为,并导致敏感数据泄露,不仅会给快消企业及其用户带来不可挽回的损失,更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。
瑞数信息技术总监吴剑刚表示,目前针对快消行业的API攻击形势非常严峻,但快消企业在API安全防护上却面临着真实的痛点:对于大型企业而言,传统安全产品已无力应对新型的API攻击;而中小型企业因IT投入有限,安全防护技术就更加薄弱。
在吴剑刚看来,快消企业在API安全方面普遍面临三大挑战:
一是API资产不清,数据泄露风险大。
由于API接口的大量调用,很多企业并不清楚自己有多少个API,也不知道API处于什么状态。大量的API资产无法自动探测,这就使得企业API资产不清、责任不清,从而成为黑客攻击的主要入口。
据Gartner预测,API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产,才能更好地保护数据不被泄露。
二是传统安全产品存在局限性,无法有效应对API攻击。
在大型快消企业中,普遍部署了传统WAF、API网关、风控等多种安全产品,但这些产品并不是为API安全而生,例如:
传统WAF技术上主要基于规则和签名来识别已知攻击,但每个API都有独特的业务逻辑和漏洞,因此传统WAF缺乏对API上下文所需的架构理解,也无法理解独特的逻辑,很多时候无法识别针对API独有的漏洞攻击。
传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成部署与维护成本都极为高昂。
同时,传统API网关保证身份认证合法,但不代表能访问行为合法。尤其在ToC业务中,面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求,传统API网关无法识别这类看似“正常”的用户行为。因此,许多企业开始关注API安全防护。
风控系统多为旁路预警,对攻击束手无策。同时,风控系统多为业务部门所用,当安全部门在分析可疑事件时,由于风控平台和安全平台缺少相应的连接,往往出现信息不对称、口径不一致的情况,导致无法识别出异常行为。当业务策略发生变化时,风控平台策略也需要相应实现代码级更新,在业务快速发展的情况下,风控平台的运营负担过重。
三是API面临多种安全攻击,难以有效识别和实时防护。
针对API的常见网络攻击包括:重放攻击、DDoS攻击、注入攻击、会话cookie篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化,企业很难有效识别针对API的未知威胁,也无法实时细粒度阻断、熔断各类风险。
快消企业亟需API安全创新方案
在严峻的网络安全形势下,每一个API都有可能成为攻击入口,我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护,构建API安全防护体系势在必行。
为了解决API面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息基于“ADMP安全模型”,创新地推出了API安全管控平台(APIBotDefender),从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API安全。
在API资产管理方面,瑞数APIBotDefender可以持续发现API接口,及时发现未知的API和僵尸API。同时,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口的元数据,为API接口提供可视化展示。
在API攻击防护方面,瑞数APIBotDefender可以防止绕过业务逻辑的访问行为,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。
在API敏感数据管控方面,瑞数APIBotDefender可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时进行脱敏处理,规避数据泄漏风险,满足合规审计需求。
在API访问行为管控方面,瑞数APIBotDefender基于多维度实时监控API接口的访问行为,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,高效准确进行人机识别。
在API访问控制方面,瑞数APIBotDefender内置灵活的API访问控制策略,能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。
一直以来,快消行业都是bots自动化攻击的重灾区,由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商,为众多快消企业提供了领先的自动化攻击防护产品,至今已保护了上万亿客户资产和5亿多账户,阻挡了99%的自动化攻击。
随着bots自动化攻击开始瞄准API,瑞数信息也率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等,通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,实现应用安全全功能的超融合防护。企业既可以采用瑞数APIBotDefender对API进行单独防护,也可以在瑞数下一代WAF基础上扩展API防护功能,实现全渠道的安全防护。
知名快消企业API安全治理之道
目前,瑞数APIBotDefender已成功应用在多个快消企业中,其中不乏行业头部企业。基于此,瑞数信息技术总监吴剑刚介绍了两个典型的快消企业API安全治理实践。
l案例一:某知名零售连锁企业
某知名零售连锁企业,拥有过亿的全球用户,其线上应用日活已超3000万。基于行业领先的IT建设,该企业采用了主流的动静分离架构,核心业务都在API接口上,为了保证业务安全,很早就部署了传统API网关、WAF、风控等安全产品。
虽然该企业已有API网关,但更多的是在鉴权层面起到作用,缺少API安全层面的发现和管控。而传统WAF基于规则库,对于该企业来说是个黑盒子,只能看到拦截效果,无法透视业务威胁,也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动,无法帮助该企业识别恶意行为。
在采用瑞数APIBotDefender后,该企业很快发现了一批未被清点、临时接口未关闭的API资产,更发现了大量异常行为和背后的异常账号设备,实施了批量封堵处理。
根据瑞数APIBotDefender的溯源显示,某用户通过手机号在APP上点单后,凭下单凭证去门店取单,取货手机号就是下单手机号。然而,该手机号在24小时内已经下单超过50次,这显然不符合正常用户使用逻辑。同时,瑞数APIBotDefender发现涉及这种异常行为的设备高达230个,有80个设备在1小时内使用5个以上的账号进行下单,涉及以上行为的总共1540个手机号,这些传统安全产品无法识别的异常行为,都在瑞数APIBotDefender平台上清晰地展示出来,并能够被实时拦截。
除了API资产管理和API异常行为管控之外,瑞数APIBotDefender还为该企业提供了全生命周期的API安全能力,不仅覆盖OWASPAPISecurityTop10的攻击防御,且通过API业务威胁模型,可以快速应对API的业务安全攻击,如爬虫、撞库等。
l案例二:保健美容零售连锁企业
某知名健康美容零售连锁企业在全球拥有数千万活跃会员,庞大的业务体量,使得该企业一直将信息安全作为其IT建设中的重中之重。为了保护线上业务安全,该企业自2017年起一直采用瑞数动态应用保护系统Botgate,对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。
随着该企业更多的业务交易从线下转移到线上,数字化营销程度不断深入,微信小程序成为其开展业务和营销活动的主要线上渠道之一,API接口数量随之快速增长,通过API接口发起的攻击也越来越多。攻击者试图通过API越权访问会员信息,批量获取用户隐私信息,这让该企业意识到应迅速加强API防护。
2020年,该企业在原有的瑞数动态应用保护系统基础上,扩展了APIBotDefender模块,补充API防护能力,获得了立竿见影的效果:一是对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险;二是对API异常访问行为进行管控,对异常设备和账号做实时处置;三是基于单个API接口访问次数进行限频,防止CC攻击造成业务瘫痪;四是针对地域营销活动中黑产使用虚假定位软件的问题,进行有效的人机识别和虚假定位识别,阻挡薅羊毛行为。
结语
在数字化浪潮中,快消企业必须面对愈加复杂的网络安全环境,与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言,API是亟需重视的防护对象。瑞数APIBotDefender作为API防护的创新方案,基于瑞数独有的“动态安全+AI”核心技术,能够为快消企业建立完整的API资产感知、发现、监测、管控能力,有效保护企业的业务安全和数据安全。
