在API資產(chǎn)管理方面，瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口，及時(shí)發(fā)現(xiàn)未知的API和僵尸API。同時(shí)，自動(dòng)對(duì)API接口實(shí)現(xiàn)分類(lèi)、分組、并指派責(zé)任人，實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理；并提取API接口的元數(shù)據(jù)，為API接口提供可視化展示。

在API攻擊防護(hù)方面，瑞數(shù)API BotDefender可以防止繞過(guò)業(yè)務(wù)邏輯的訪(fǎng)問(wèn)行為，拒絕非法的API請(qǐng)求參數(shù)調(diào)用，降低安全配置錯(cuò)誤，縮小攻擊面。同時(shí)，支持API安全攻擊檢測(cè)和防護(hù)，并引入語(yǔ)義分析技術(shù)，進(jìn)一步提高檢測(cè)準(zhǔn)確性。

在API敏感數(shù)據(jù)管控方面，瑞數(shù)API BotDefender可以對(duì)敏感信息進(jìn)行自動(dòng)分級(jí)，實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時(shí)進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)，滿(mǎn)足合規(guī)審計(jì)需求。

在API訪(fǎng)問(wèn)行為管控方面，瑞數(shù)API BotDefender基于多維度實(shí)時(shí)監(jiān)控API接口的訪(fǎng)問(wèn)行為，能夠及時(shí)發(fā)現(xiàn)偏離基線(xiàn)的異常訪(fǎng)問(wèn)行為。同時(shí)，內(nèi)置的API業(yè)務(wù)威脅模型，可以透視API常見(jiàn)的業(yè)務(wù)威脅，高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別。

在API訪(fǎng)問(wèn)控制方面，瑞數(shù)API BotDefender內(nèi)置靈活的API訪(fǎng)問(wèn)控制策略，能夠?qū)PI接口實(shí)現(xiàn)精細(xì)化的訪(fǎng)問(wèn)控制，支持多維度限頻、攔截、延時(shí)等，實(shí)現(xiàn)企業(yè)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡。

一直以來(lái)，快消行業(yè)都是bots自動(dòng)化攻擊的重災(zāi)區(qū)，由爬蟲(chóng)、撞庫(kù)帶來(lái)的惡意競(jìng)爭(zhēng)、數(shù)據(jù)泄露、業(yè)務(wù)欺詐等事件頻發(fā)。瑞數(shù)信息作為從bots自動(dòng)化攻擊防護(hù)起家的專(zhuān)業(yè)廠(chǎng)商，為眾多快消企業(yè)提供了領(lǐng)先的自動(dòng)化攻擊防護(hù)產(chǎn)品，至今已保護(hù)了上萬(wàn)億客戶(hù)資產(chǎn)和5億多賬戶(hù)，阻擋了99%的自動(dòng)化攻擊。

隨著bots自動(dòng)化攻擊開(kāi)始瞄準(zhǔn)API，瑞數(shù)信息也率先將所有線(xiàn)上業(yè)務(wù)接入渠道納入防護(hù)，包括Web、H5、APP、API、微信、小程序等，通過(guò)用戶(hù)賬號(hào)等唯一標(biāo)識(shí)和全訪(fǎng)問(wèn)記錄，將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合，實(shí)現(xiàn)應(yīng)用安全全功能的超融合防護(hù)。企業(yè)既可以采用瑞數(shù)API BotDefender對(duì)API進(jìn)行單獨(dú)防護(hù)，也可以在瑞數(shù)下一代WAF基礎(chǔ)上擴(kuò)展API防護(hù)功能，實(shí)現(xiàn)全渠道的安全防護(hù)。

知名快消企業(yè)API安全治理之道

目前，瑞數(shù)API BotDefender已成功應(yīng)用在多個(gè)快消企業(yè)中，其中不乏行業(yè)頭部企業(yè)?；诖耍饠?shù)信息技術(shù)總監(jiān)吳劍剛介紹了兩個(gè)典型的快消企業(yè)API安全治理實(shí)踐。

• 案例一：某知名零售連鎖企業(yè)

某知名零售連鎖企業(yè)，擁有過(guò)億的全球用戶(hù)，其線(xiàn)上應(yīng)用日活已超3000萬(wàn)?；谛袠I(yè)領(lǐng)先的IT建設(shè)，該企業(yè)采用了主流的動(dòng)靜分離架構(gòu)，核心業(yè)務(wù)都在API接口上，為了保證業(yè)務(wù)安全，很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF、風(fēng)控等安全產(chǎn)品。

雖然該企業(yè)已有API網(wǎng)關(guān)，但更多的是在鑒權(quán)層面起到作用，缺少API安全層面的發(fā)現(xiàn)和管控。而傳統(tǒng)WAF基于規(guī)則庫(kù)，對(duì)于該企業(yè)來(lái)說(shuō)是個(gè)黑盒子，只能看到攔截效果，無(wú)法透視業(yè)務(wù)威脅，也無(wú)法從業(yè)務(wù)角度進(jìn)行安全分析。風(fēng)控產(chǎn)品則缺乏和安全平臺(tái)的聯(lián)動(dòng)，無(wú)法幫助該企業(yè)識(shí)別惡意行為。

在采用瑞數(shù)API BotDefender后，該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)、臨時(shí)接口未關(guān)閉的API資產(chǎn)，更發(fā)現(xiàn)了大量異常行為和背后的異常賬號(hào)設(shè)備，實(shí)施了批量封堵處理。

根據(jù)瑞數(shù)API BotDefender的溯源顯示，某用戶(hù)通過(guò)手機(jī)號(hào)在APP上點(diǎn)單后，憑下單憑證去門(mén)店取單，取貨手機(jī)號(hào)就是下單手機(jī)號(hào)。然而，該手機(jī)號(hào)在24小時(shí)內(nèi)已經(jīng)下單超過(guò)50次，這顯然不符合正常用戶(hù)使用邏輯。同時(shí)，瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個(gè)，有80個(gè)設(shè)備在1小時(shí)內(nèi)使用5個(gè)以上的賬號(hào)進(jìn)行下單，涉及以上行為的總共1540個(gè)手機(jī)號(hào)，這些傳統(tǒng)安全產(chǎn)品無(wú)法識(shí)別的異常行為，都在瑞數(shù)API BotDefender平臺(tái)上清晰地展示出來(lái)，并能夠被實(shí)時(shí)攔截。

除了API資產(chǎn)管理和API異常行為管控之外，瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力，不僅覆蓋OWASP API Security Top10的攻擊防御，且通過(guò)API業(yè)務(wù)威脅模型，可以快速應(yīng)對(duì)API的業(yè)務(wù)安全攻擊，如爬蟲(chóng)、撞庫(kù)等。

• 案例二：保健美容零售連鎖企業(yè)

某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬(wàn)活躍會(huì)員，龐大的業(yè)務(wù)體量，使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線(xiàn)上業(yè)務(wù)安全，該企業(yè)自2017年起一直采用瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate，對(duì)大量機(jī)器人攻擊行為、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)。

隨著該企業(yè)更多的業(yè)務(wù)交易從線(xiàn)下轉(zhuǎn)移到線(xiàn)上，數(shù)字化營(yíng)銷(xiāo)程度不斷深入，微信小程序成為其開(kāi)展業(yè)務(wù)和營(yíng)銷(xiāo)活動(dòng)的主要線(xiàn)上渠道之一，API接口數(shù)量隨之快速增長(zhǎng)，通過(guò)API接口發(fā)起的攻擊也越來(lái)越多。攻擊者試圖通過(guò)API越權(quán)訪(fǎng)問(wèn)會(huì)員信息，批量獲取用戶(hù)隱私信息，這讓該企業(yè)意識(shí)到應(yīng)迅速加強(qiáng)API防護(hù)。

2020年，該企業(yè)在原有的瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上，擴(kuò)展了API BotDefender模塊，補(bǔ)充API防護(hù)能力，獲得了立竿見(jiàn)影的效果：一是對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)；二是對(duì)API異常訪(fǎng)問(wèn)行為進(jìn)行管控，對(duì)異常設(shè)備和賬號(hào)做實(shí)時(shí)處置；三是基于單個(gè)API接口訪(fǎng)問(wèn)次數(shù)進(jìn)行限頻，防止CC攻擊造成業(yè)務(wù)癱瘓；四是針對(duì)地域營(yíng)銷(xiāo)活動(dòng)中黑產(chǎn)使用虛假定位軟件的問(wèn)題，進(jìn)行有效的人機(jī)識(shí)別和虛假定位識(shí)別，阻擋薅羊毛行為。

結(jié)語(yǔ)

在數(shù)字化浪潮中，快消企業(yè)必須面對(duì)愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，與黑產(chǎn)進(jìn)行持續(xù)升級(jí)的對(duì)抗。對(duì)于早已全渠道化的快消企業(yè)而言，API是亟需重視的防護(hù)對(duì)象。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案，基于瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù)，能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測(cè)、管控能力，有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全。

zhupb