瑞数信息：快消行业面临严峻的API攻击，API安全治理势在必行

　 域名预订/竞价，好“米”不错过

数字化时代，传统快消企业纷纷向线上转型升级，大量业务基于APP、小程序、H5 、微信等渠道接入，直接面向消费者展开花样百出的线上营销活动，如：扫码领红包、集卡送好礼、分享得立减金……

然而，在快消行业一片欣欣向荣的背后，黑产分子早已伺机出动，沉浸在各大品牌的羊毛雨中乐此不疲。数据显示，如果企业在营销时不做风险控制，黑产比例一般在20%以上，甚至有一些高达50%，各个品牌被黑产薅掉的营销费用非常高，每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上，一方面是这类企业拉新促销活动丰富，黑产能够快速从中获得高额利润；另一方面也在于快消企业急剧增加的线上业务，使得API接口的调用数量呈爆发式增长，风险敞口随之打开，API迅速成为黑产攻击的新目标。

快消企业面临API安全三大挑战

数字化趋势下，快消企业几乎把大部分业务包括核心业务都搬到了线上，并越来越依赖API整合大量系统，实现业务彼此之间的交互。据调查显示，目前每个企业平均管理超过350个API，其中69%的企业会将这些API开放给公众和他们的合作伙伴，在零售业，API流量占比更是超过83%。

作为线上业务的接口，API承担着连接服务和传输数据的重任，涉及大量用户敏感信息和业务数据。正因如此，通过API获取数据的攻击越来越受到黑客的欢迎：一方面，针对API的攻击更加匿名，另一方面企业对于API的保护程度通常不如网站等应用程序，随着自动化工具的兴起，黑产针对API的攻击门槛和攻击资源要求更低。

事实上，API攻击对快消企业的业务安全构成了严重影响。

在业务安全层面，快消企业往往会遭遇*、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大，并大规模依靠自动化攻击技术，会给快消企业造成巨大经济损失，因此成为企业最为关注的业务安全问题之一。

在数据安全层面，API攻击已是数据泄露头号风险。通过API批量爬取企业业务数据和用户信息，用于同业竞争、数据倒卖、业务欺诈等非法行为，并导致敏感数据泄露，不仅会给快消企业及其用户带来不可挽回的损失，更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。

瑞数信息技术总监吴剑刚表示，目前针对快消行业的API攻击形势非常严峻，但快消企业在API安全防护上却面临着真实的痛点：对于大型企业而言，传统安全产品已无力应对新型的API攻击；而中小型企业因IT投入有限，安全防护技术就更加薄弱。

在吴剑刚看来，快消企业在API安全方面普遍面临三大挑战：

一是API资产不清，数据泄露风险大。

由于API接口的大量调用，很多企业并不清楚自己有多少个API，也不知道API处于什么状态。大量的API资产无法自动探测，这就使得企业API资产不清、责任不清，从而成为黑客攻击的主要入口。

据Gartner预测，API滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些API资产，才能更好地保护数据不被泄露。

二是传统安全产品存在局限性，无法有效应对API攻击。

在大型快消企业中，普遍部署了传统WAF、API网关、风控等多种安全产品，但这些产品并不是为API安全而生，例如：

传统WAF技术上主要基于规则和签名来识别已知攻击，但每个API都有独特的业务逻辑和漏洞，因此传统WAF缺乏对API上下文所需的架构理解，也无法理解独特的逻辑，很多时候无法识别针对API独有的漏洞攻击。

传统API安全网关更多是在API请求的身份认证、权限控管、请求内容校验与过滤以及API流量限速等方面进行防护，但是这些防护功能都与应用开发高度相关，应用程序修改后往往也需要修改API安全网关的配置，造成部署与维护成本都极为高昂。

同时，传统API网关保证身份认证合法，但不代表能访问行为合法。尤其在To C业务中，面对黑客以合法身份登录、模拟正常操作、多源低频的API访问请求，传统API网关无法识别这类看似“正常”的用户行为。因此，许多企业开始关注API安全防护。

风控系统多为旁路预警，对攻击束手无策。同时，风控系统多为业务部门所用，当安全部门在分析可疑事件时，由于风控平台和安全平台缺少相应的连接，往往出现信息不对称、口径不一致的情况，导致无法识别出异常行为。当业务策略发生变化时，风控平台策略也需要相应实现代码级更新，在业务快速发展的情况下，风控平台的运营负担过重。

三是API面临多种安全攻击，难以有效识别和实时防护。

针对API的常见网络攻击包括：重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等，这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化，企业很难有效识别针对API的未知威胁，也无法实时细粒度阻断、熔断各类风险。

快消企业亟需API安全创新方案

在严峻的网络安全形势下，每一个API都有可能成为攻击入口，我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护，构建API安全防护体系势在必行。

为了解决API面临的各种安全风险与挑战，弥补传统安全产品的不足，瑞数信息基于“ADMP安全模型”，创新地推出了API安全管控平台（API BotDefender），从API的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度，体系化保障API安全。

在API资产管理方面，瑞数API BotDefender可以持续发现API接口，及时发现未知的API和僵尸API。同时，自动对API接口实现分类、分组、并指派责任人，实现数据分权管理；并提取API接口的元数据，为API接口提供可视化展示。

在API攻击防护方面，瑞数API BotDefender可以防止绕过业务逻辑的访问行为，拒绝非法的API请求参数调用，降低安全配置错误，缩小攻击面。同时，支持API安全攻击检测和防护，并引入语义分析技术，进一步提高检测准确性。

在API敏感数据管控方面，瑞数API BotDefender可以对敏感信息进行自动分级，实时洞察API接口中双向传输的敏感数据、明文密码和弱密码，并及时进行脱敏处理，规避数据泄漏风险，满足合规审计需求。

在API访问行为管控方面，瑞数API BotDefender基于多维度实时监控API接口的访问行为，能够及时发现偏离基线的异常访问行为。同时，内置的API业务威胁模型，可以透视API常见的业务威胁，高效准确进行人机识别。

在API访问控制方面，瑞数API BotDefender内置灵活的API访问控制策略，能够对API接口实现精细化的访问控制，支持多维度限频、拦截、延时等，实现企业实时安全响应和业务发展的平衡。

一直以来，快消行业都是bots自动化攻击的重灾区，由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商，为众多快消企业提供了领先的自动化攻击防护产品，至今已保护了上万亿客户资产和5亿多账户，阻挡了99%的自动化攻击。

随着bots自动化攻击开始瞄准API，瑞数信息也率先将所有线上业务接入渠道纳入防护，包括Web、H5、APP、API、微信、小程序等，通过用户账号等唯一标识和全访问记录，将各业务接入渠道的数据进行融合，实现应用安全全功能的超融合防护。企业既可以采用瑞数API BotDefender对API进行单独防护，也可以在瑞数下一代WAF基础上扩展API防护功能，实现全渠道的安全防护。

知名快消企业API安全治理之道

目前，瑞数API BotDefender已成功应用在多个快消企业中，其中不乏行业头部企业。基于此，瑞数信息技术总监吴剑刚介绍了两个典型的快消企业API安全治理实践。

案例一：某知名零售连锁企业

某知名零售连锁企业，拥有过亿的全球用户，其线上应用日活已超3000万。基于行业领先的IT建设，该企业采用了主流的动静分离架构，核心业务都在API接口上，为了保证业务安全，很早就部署了传统API网关、WAF、风控等安全产品。

虽然该企业已有API网关，但更多的是在鉴权层面起到作用，缺少API安全层面的发现和管控。而传统WAF基于规则库，对于该企业来说是个黑盒子，只能看到拦截效果，无法透视业务威胁，也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动，无法帮助该企业识别恶意行为。

在采用瑞数API BotDefender后，该企业很快发现了一批未被清点、临时接口未关闭的API资产，更发现了大量异常行为和背后的异常账号设备，实施了批量封堵处理。

根据瑞数API BotDefender的溯源显示，某用户通过手机号在APP上点单后，凭下单凭证去门店取单，取货手机号就是下单手机号。然而，该手机号在24小时内已经下单超过50次，这显然不符合正常用户使用逻辑。同时，瑞数API BotDefender发现涉及这种异常行为的设备高达230个，有80个设备在1小时内使用5个以上的账号进行下单，涉及以上行为的总共1540个手机号，这些传统安全产品无法识别的异常行为，都在瑞数API BotDefender平台上清晰地展示出来，并能够被实时拦截。

除了API资产管理和API异常行为管控之外，瑞数API BotDefender还为该企业提供了全生命周期的API安全能力，不仅覆盖OWASP API Security Top10的攻击防御，且通过API业务威胁模型，可以快速应对API的业务安全攻击，如爬虫、撞库等。

案例二：保健美容零售连锁企业

某知名健康美容零售连锁企业在全球拥有数千万活跃会员，庞大的业务体量，使得该企业一直将信息安全作为其IT建设中的重中之重。为了保护线上业务安全，该企业自2017年起一直采用瑞数动态应用保护系统 Botgate，对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。

随着该企业更多的业务交易从线下转移到线上，数字化营销程度不断深入，微信小程序成为其开展业务和营销活动的主要线上渠道之一，API接口数量随之快速增长，通过API接口发起的攻击也越来越多。攻击者试图通过API越权访问会员信息，批量获取用户隐私信息，这让该企业意识到应迅速加强API防护。

2020年，该企业在原有的瑞数动态应用保护系统基础上，扩展了API BotDefender模块，补充API防护能力，获得了立竿见影的效果：一是对API接口回传报文中的敏感信息进行脱敏处理，规避数据泄漏风险；二是对API异常访问行为进行管控，对异常设备和账号做实时处置；三是基于单个API接口访问次数进行限频，防止CC攻击造成业务瘫痪；四是针对地域营销活动中黑产使用虚假定位软件的问题，进行有效的人机识别和虚假定位识别，阻挡薅羊毛行为。

结语

在数字化浪潮中，快消企业必须面对愈加复杂的网络安全环境，与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言，API是亟需重视的防护对象。瑞数API BotDefender作为API防护的创新方案，基于瑞数独有的“动态安全+AI”核心技术，能够为快消企业建立完整的API资产感知、发现、监测、管控能力，有效保护企业的业务安全和数据安全。

申请创业报道，分享创业好点子。点击此处，共同探讨创业新机遇！