在API資產(chǎn)管理方面,瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口,及時(shí)發(fā)現(xiàn)未知的API和僵尸API。同時(shí),自動(dòng)對(duì)API接口實(shí)現(xiàn)分類(lèi)、分組、并指派責(zé)任人,實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理;并提取API接口的元數(shù)據(jù),為API接口提供可視化展示。

在API攻擊防護(hù)方面,瑞數(shù)API BotDefender可以防止繞過(guò)業(yè)務(wù)邏輯的訪(fǎng)問(wèn)行為,拒絕非法的API請(qǐng)求參數(shù)調(diào)用,降低安全配置錯(cuò)誤,縮小攻擊面。同時(shí),支持API安全攻擊檢測(cè)和防護(hù),并引入語(yǔ)義分析技術(shù),進(jìn)一步提高檢測(cè)準(zhǔn)確性。

在API敏感數(shù)據(jù)管控方面,瑞數(shù)API BotDefender可以對(duì)敏感信息進(jìn)行自動(dòng)分級(jí),實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼,并及時(shí)進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn),滿(mǎn)足合規(guī)審計(jì)需求。

在API訪(fǎng)問(wèn)行為管控方面,瑞數(shù)API BotDefender基于多維度實(shí)時(shí)監(jiān)控API接口的訪(fǎng)問(wèn)行為,能夠及時(shí)發(fā)現(xiàn)偏離基線(xiàn)的異常訪(fǎng)問(wèn)行為。同時(shí),內(nèi)置的API業(yè)務(wù)威脅模型,可以透視API常見(jiàn)的業(yè)務(wù)威脅,高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別。

在API訪(fǎng)問(wèn)控制方面,瑞數(shù)API BotDefender內(nèi)置靈活的API訪(fǎng)問(wèn)控制策略,能夠?qū)PI接口實(shí)現(xiàn)精細(xì)化的訪(fǎng)問(wèn)控制,支持多維度限頻、攔截、延時(shí)等,實(shí)現(xiàn)企業(yè)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡。

一直以來(lái),快消行業(yè)都是bots自動(dòng)化攻擊的重災(zāi)區(qū),由爬蟲(chóng)、撞庫(kù)帶來(lái)的惡意競(jìng)爭(zhēng)、數(shù)據(jù)泄露、業(yè)務(wù)欺詐等事件頻發(fā)。瑞數(shù)信息作為從bots自動(dòng)化攻擊防護(hù)起家的專(zhuān)業(yè)廠(chǎng)商,為眾多快消企業(yè)提供了領(lǐng)先的自動(dòng)化攻擊防護(hù)產(chǎn)品,至今已保護(hù)了上萬(wàn)億客戶(hù)資產(chǎn)和5億多賬戶(hù),阻擋了99%的自動(dòng)化攻擊。

隨著bots自動(dòng)化攻擊開(kāi)始瞄準(zhǔn)API,瑞數(shù)信息也率先將所有線(xiàn)上業(yè)務(wù)接入渠道納入防護(hù),包括Web、H5、APP、API、微信、小程序等,通過(guò)用戶(hù)賬號(hào)等唯一標(biāo)識(shí)和全訪(fǎng)問(wèn)記錄,將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合,實(shí)現(xiàn)應(yīng)用安全全功能的超融合防護(hù)。企業(yè)既可以采用瑞數(shù)API BotDefender對(duì)API進(jìn)行單獨(dú)防護(hù),也可以在瑞數(shù)下一代WAF基礎(chǔ)上擴(kuò)展API防護(hù)功能,實(shí)現(xiàn)全渠道的安全防護(hù)。

知名快消企業(yè)API安全治理之道

目前,瑞數(shù)API BotDefender已成功應(yīng)用在多個(gè)快消企業(yè)中,其中不乏行業(yè)頭部企業(yè)?;诖耍饠?shù)信息技術(shù)總監(jiān)吳劍剛介紹了兩個(gè)典型的快消企業(yè)API安全治理實(shí)踐。

某知名零售連鎖企業(yè),擁有過(guò)億的全球用戶(hù),其線(xiàn)上應(yīng)用日活已超3000萬(wàn)?;谛袠I(yè)領(lǐng)先的IT建設(shè),該企業(yè)采用了主流的動(dòng)靜分離架構(gòu),核心業(yè)務(wù)都在API接口上,為了保證業(yè)務(wù)安全,很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF、風(fēng)控等安全產(chǎn)品。

雖然該企業(yè)已有API網(wǎng)關(guān),但更多的是在鑒權(quán)層面起到作用,缺少API安全層面的發(fā)現(xiàn)和管控。而傳統(tǒng)WAF基于規(guī)則庫(kù),對(duì)于該企業(yè)來(lái)說(shuō)是個(gè)黑盒子,只能看到攔截效果,無(wú)法透視業(yè)務(wù)威脅,也無(wú)法從業(yè)務(wù)角度進(jìn)行安全分析。風(fēng)控產(chǎn)品則缺乏和安全平臺(tái)的聯(lián)動(dòng),無(wú)法幫助該企業(yè)識(shí)別惡意行為。

在采用瑞數(shù)API BotDefender后,該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)、臨時(shí)接口未關(guān)閉的API資產(chǎn),更發(fā)現(xiàn)了大量異常行為和背后的異常賬號(hào)設(shè)備,實(shí)施了批量封堵處理。

根據(jù)瑞數(shù)API BotDefender的溯源顯示,某用戶(hù)通過(guò)手機(jī)號(hào)在APP上點(diǎn)單后,憑下單憑證去門(mén)店取單,取貨手機(jī)號(hào)就是下單手機(jī)號(hào)。然而,該手機(jī)號(hào)在24小時(shí)內(nèi)已經(jīng)下單超過(guò)50次,這顯然不符合正常用戶(hù)使用邏輯。同時(shí),瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個(gè),有80個(gè)設(shè)備在1小時(shí)內(nèi)使用5個(gè)以上的賬號(hào)進(jìn)行下單,涉及以上行為的總共1540個(gè)手機(jī)號(hào),這些傳統(tǒng)安全產(chǎn)品無(wú)法識(shí)別的異常行為,都在瑞數(shù)API BotDefender平臺(tái)上清晰地展示出來(lái),并能夠被實(shí)時(shí)攔截。

除了API資產(chǎn)管理和API異常行為管控之外,瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力,不僅覆蓋OWASP API Security Top10的攻擊防御,且通過(guò)API業(yè)務(wù)威脅模型,可以快速應(yīng)對(duì)API的業(yè)務(wù)安全攻擊,如爬蟲(chóng)、撞庫(kù)等。

某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬(wàn)活躍會(huì)員,龐大的業(yè)務(wù)體量,使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線(xiàn)上業(yè)務(wù)安全,該企業(yè)自2017年起一直采用瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate,對(duì)大量機(jī)器人攻擊行為、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)。

隨著該企業(yè)更多的業(yè)務(wù)交易從線(xiàn)下轉(zhuǎn)移到線(xiàn)上,數(shù)字化營(yíng)銷(xiāo)程度不斷深入,微信小程序成為其開(kāi)展業(yè)務(wù)和營(yíng)銷(xiāo)活動(dòng)的主要線(xiàn)上渠道之一,API接口數(shù)量隨之快速增長(zhǎng),通過(guò)API接口發(fā)起的攻擊也越來(lái)越多。攻擊者試圖通過(guò)API越權(quán)訪(fǎng)問(wèn)會(huì)員信息,批量獲取用戶(hù)隱私信息,這讓該企業(yè)意識(shí)到應(yīng)迅速加強(qiáng)API防護(hù)。

2020年,該企業(yè)在原有的瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上,擴(kuò)展了API BotDefender模塊,補(bǔ)充API防護(hù)能力,獲得了立竿見(jiàn)影的效果:一是對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn);二是對(duì)API異常訪(fǎng)問(wèn)行為進(jìn)行管控,對(duì)異常設(shè)備和賬號(hào)做實(shí)時(shí)處置;三是基于單個(gè)API接口訪(fǎng)問(wèn)次數(shù)進(jìn)行限頻,防止CC攻擊造成業(yè)務(wù)癱瘓;四是針對(duì)地域營(yíng)銷(xiāo)活動(dòng)中黑產(chǎn)使用虛假定位軟件的問(wèn)題,進(jìn)行有效的人機(jī)識(shí)別和虛假定位識(shí)別,阻擋薅羊毛行為。

結(jié)語(yǔ)

在數(shù)字化浪潮中,快消企業(yè)必須面對(duì)愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境,與黑產(chǎn)進(jìn)行持續(xù)升級(jí)的對(duì)抗。對(duì)于早已全渠道化的快消企業(yè)而言,API是亟需重視的防護(hù)對(duì)象。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案,基于瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù),能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測(cè)、管控能力,有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全。

分享到

zhupb

相關(guān)推薦