瑞数信息：快消行业面临严峻的API攻击，API安全治理势在必行

在数字化时代，传统消费企业不断向在线转型升级，大量业务基于APP、小程序、H5、微信等渠道接入，直接面向消费者开展丰富多彩的在线营销活动，如扫描接收红包，收集卡片送上好礼，分享省钱，但在消费行业的一面雨的阴影下，黑色生产分子已经在等待，沉浸在每个品牌的羊毛中。数据显示，如果企业在营销中不做风险控制，黑色生产的比例一般会达到20%以上，甚至可能达到50%，而黑色生产所淘汰的每个品牌的营销成本都很高，每天可以达到数万、数十万甚至数百万。快速消费品企业之所以容易关注黑色生产，一方面，这类企业有丰富的新促销活动，黑色生产很快就能获得高额利润。一方面，随着快速消费品企业在线业务的激增，API接口调用数量呈爆炸式增长，风险敞口打开，API迅速成为黑生产攻击的新目标。在数字化趋势下，快速消费品公司正在将包括核心业务在内的大部分业务转移到网上，并越来越多地依赖API来整合大量系统并实现业务之间的交互。调查显示，目前平均企业管理超过350个API，其中69%的企业向公众和合作伙伴开放这些API，零售业占API流量的83%以上。API作为在线业务的接口，负责连接服务，传输用户敏感信息和业务数据的大量数据。出于这个原因，通过API获取数据的攻击越来越受到黑客的欢迎。一方面，针对API的攻击更加匿名，另一方面，企业的API保护通常不如网站等应用程序，随着自动化工具的兴起，黑客对API的门槛和攻击资源要求也更低。事实上，API攻击已经严重影响了快速消费品企业的业务安全。在商业安全层面，快速消费品企业经常会遇到恶意行为，如号码盗窃、诈骗、刷、提取羊毛、占用库存等。由于“拉羊毛”集团规模庞大，而且大规模依赖自动攻击技术，给快速消费品企业带来巨大的经济损失，成为企业最关心的商业安全问题之一。在数据安全层面，API攻击已经是数据泄露的最大风险。通过API获取大量企业的商业数据和用户信息，并将其用于行业竞争、数据转售、商业欺诈等非法活动，造成敏感数据泄露，不仅会给快消品企业和用户带来不可弥补的损失，还会违反我国《网络安全法》、《数据安全法》等相关法律法规。瑞达信息技术总监吴建刚表示，虽然快速消费品行业的API攻击形势非常严峻，但快速消费品企业在API安全防护方面面临着真正的痛点。对于大型企业来说，传统的安全产品无法应对新的API攻击。中小企业的安全保护技术更薄弱，因为IT投资有限。吴建刚表示，快速消费品企业在API安全方面面临着三大挑战：首先，API资产不明确，数据泄露的风险很高。由于对API接口的调用太多，许多公司不知道有多少API或API的状态。大量的API资产无法自动检测，这使得企业API资产和责任变得模糊，成为黑客攻击的主要切入点。Gartner预测，API滥用将成为2022年最常见的攻击类型。企业需要清楚地了解他们拥有的API资产，以防止数据泄露。传统的安全产品存在局限性，无法有效应对API攻击。在大型快速消费品公司中，各种安全产品如传统的WAF、API网关、风险管理等都得到了广泛的部署，但这些产品并不是为了API安全而诞生的。例如，传统的WAF技术主要是基于规则和签名来识别已知攻击，但由于每个API都有其独特的业务逻辑和漏洞，传统的WAF往往缺乏API上下文所需的架构理解，无法理解其独特逻辑，无法识别特定于API的漏洞攻击。传统的API安全网关保护API请求，如身份验证、权限控制、请求内容验证和过滤、API流量速度限制等，但这些保护功能与应用程序开发非常相关，在应用程序更改后，API安全网关的配置通常需要更改。部署和维护成本可能非常高。另一方面，传统的API网关可以确保身份验证是合法的，但访问是不合法的。特别是在To C业务中，面对黑客以合法身份登录、模拟正常操作、发出多源低频API访问请求，传统的API网关无法识别这种看似“正常”的用户行为。许多公司都在关注API安全问题。大多数风险控制系统都是旁路警报，因此对攻击无能为力。同时，风险管理系统主要应用于业务部门，当安全部门分析可疑事件时，风险管理平台与安全平台之间缺乏相应的连接性，导致信息不对称和口径不一致，无法识别异常行为。当业务战略发生变化时，风险管理平台战略也需要实现代码层面的更新，在业务快速发展的情况下，风险管理平台的运营负担将过重。API面临多重安全攻击，难以进行有效识别和实时保护。针对API的常见网络攻击包括重播攻击、DDoS攻击、注入攻击、会话cookie篡改、中间人攻击、内容篡改和参数篡改。这些新的安全威胁变得更加复杂、多样化、隐蔽和自动化，这使得企业很难有效地识别API面临的未知威胁。在严峻的网络安全形势下，每一个API都可能成为攻击的切入点，我国《数据安全法》也强调了在传输、提供、发布等方面对数据进行保护的必要性，构建API安全防护体系势在必行。为了解决API面临的各种安全风险和挑战，弥补传统安全产品的不足，瑞数字信息基于“ADMP安全模型”，创新地开发了API安全控制平台。启动（API BotDefender），从API资产管理、敏感数据控制、访问行为控制、API风险识别与控制等维度系统地保证API安全。

在API资产管理方面，BotDefender API可以持续检测API接口，及时检测未知或僵尸API。同时，API接口的分类、分组和负责人分配自动化，实现数据分布式管理。它提取API接口的元数据，并直观地显示API接口。在API攻击保护方面，BotDefender可防止访问行为绕过业务逻辑，拒绝未经授权的API请求参数调用，减少安全配置错误，并减少攻击面。同时支持API安全攻击的检测和防护，引入语义分析技术，进一步提高检测的准确性。在管理API敏感数据方面，BotDefender API可以自动对敏感信息进行分级，实时洞察敏感数据、明文密码和弱密码在API接口内双向传输，从而及时脱敏，以避免数据泄露的风险，满足合规性审计的需要。在API访问行为控制方面，BotDefender API基于多维实时监控API接口的访问行为，及时检测偏离基线的异常访问行为。与此同时，内置的API业务威胁模型可以让API的常见业务威胁可视化，并高效准确地进行人类识别。在API门禁方面，睿数字API BotDefender内置了灵活的API门禁策略，实现了API接口的精细门禁，支持多维频率限制、拦截、时延等，实现了企业实时安全响应与业务发展的平衡。一直以来，快速消费品行业都是机器人自动攻击最严重的领域，经常发生恶意竞争、数据泄露、商业欺诈等，因为爬虫和数据库崩溃。作为一家从机器人自动攻击防护起步的专业厂商，瑞士数字信息为众多快速消费品企业提供领先的自动攻击防护产品，迄今为止保护了数万亿客户资产和超过5亿个账户，阻挡了99%的自动攻击。随着Bot自动攻击开始针对API，瑞数字还将包括Web、H5、APP、API、WeChat、小程序等在内的所有在线商务访问渠道纳入保护，通过用户账户和完整访问记录等唯一标识符，整合各商务访问渠道的数据。它为应用安全提供全功能的超收敛保护。企业可以使用Swigon API BotDefender单独保护API，或者基于Swigon的下一代WAF扩展API保护功能，以实现全渠道安全保护。目前FMCG API安全治理，瑞数码API BotDefender已成功应用于多家FMCG企业，其中包括业内顶尖企业。在此基础上，瑞数字信息技术总监吴建刚介绍了快速消费品企业API安全治理的两个典型实践：案例1：知名零售连锁企业知名零售连锁企业在全球拥有超过1亿用户，日常生活中的在线应用已经超过3000万。基于行业领先的IT建设，公司采用主流动态隔离架构，核心业务在API接口上，早期推出传统API网关、WAF、风险管理等安全产品，以确保业务安全。该公司已经拥有API网关，但在身份验证级别上扮演了很多角色，缺乏API安全级别的检测和控制。传统的WAF是基于规则的，对企业来说是一个黑盒子，只能看到拦截效果，无法对业务威胁进行可视化，无法从业务角度进行安全分析。风险管理产品缺乏与安全平台的协调，而安全平台可以帮助企业识别恶意行为。在采用Swigon API BotDefender后，该公司很快发现了一批未被库存、临时接口未被关闭的API资产，并发现了大量异常行为和异常账户设备背后的情况，并实施了批量封锁处理。根据瑞数码API BotDefender的可追溯性，用户通过手机号码在应用程序上下订单后，拿着订单证书去商店领取订单，手机号码就是订购的手机号码。但是，手机号码在24小时内被订购了50多次，这显然与普通用户逻辑不符。与此同时，RUID API BotDefender发现多达230台设备包含这种异常行为，其中80台设备在一小时内使用5个以上账号订购，其中总共1540个手机号码，这些传统的安全产品在RUID API BotDefender平台上清晰可见，无法识别出这些异常行为。它可以被实时拦截。除了API资产管理和API异常行为控制之外，Swimer API BotDefender还涵盖了OWASP API安全十大攻击防御，还通过API业务威胁模型为企业提供了全生命周期的API安全功能，以快速响应API业务安全攻击，如爬虫和库崩溃。案例2：健康美容零售连锁企业一家知名的健康美容零售连锁企业，在全球拥有数千万活跃会员和庞大的业务量，将信息安全作为IT建设的重中之重。为了保护线上业务的安全，公司自2017年起采用瑞数字的动态应用保护系统Botgate，对大量的机器人攻击、羊毛提取和安全攻击进行了有效的保护。随着越来越多的企业业务交易从线下转移到线上，数字营销的深入，微信小程序成为开展业务和营销活动的主要在线渠道之一，API接口的数量迅速增加，通过API接口的攻击也在增加。我们意识到，攻击者通过API获取会员信息，并试图获取大量用户隐私信息，我们迫切需要加强API保护。2020年，公司在原有瑞东动态应用保护系统的基础上，扩展了API BotDefender模块，补充了API保护功能，取得了立竿见影的效果。首先，它对API接口返回消息中的敏感信息进行脱敏处理，避免数据泄露的风险。其次，它控制API异常访问行为，实时处理异常设备和帐户。第三，基于单个API接口的访问次数限制频率，防止CC攻击导致业务瘫痪。第四，解决黑人生产者在区域营销活动中使用假定位软件的问题，进行有效的人机识别和假定位，阻止拉羊毛行为。在数字化浪潮中，快速消费品企业面临着日益复杂的网络安全环境，不得不面对与黑生产的不断升级。对于已经拥有全渠道的快速消费品公司来说，API是一个非常重要的保护对象。作为API防护的创新解决方案，Swigon API BotDefender基于其独特的“动态安全+AI”核心技术，为快速消费品企业建立了完整的API资产识别、检测、监控和控制能力，有效保护企业的业务安全和数据安全。