在API資產(chǎn)管理方面,瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口,及時發(fā)現(xiàn)未知的API和僵尸API。同時,自動對API接口實現(xiàn)分類、分組、并指派責任人,實現(xiàn)數(shù)據(jù)分權管理;并提取API接口的元數(shù)據(jù),為API接口提供可視化展示。
在API攻擊防護方面,瑞數(shù)API BotDefender可以防止繞過業(yè)務邏輯的訪問行為,拒絕非法的API請求參數(shù)調(diào)用,降低安全配置錯誤,縮小攻擊面。同時,支持API安全攻擊檢測和防護,并引入語義分析技術,進一步提高檢測準確性。
在API敏感數(shù)據(jù)管控方面,瑞數(shù)API BotDefender可以對敏感信息進行自動分級,實時洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼,并及時進行脫敏處理,規(guī)避數(shù)據(jù)泄漏風險,滿足合規(guī)審計需求。
在API訪問行為管控方面,瑞數(shù)API BotDefender基于多維度實時監(jiān)控API接口的訪問行為,能夠及時發(fā)現(xiàn)偏離基線的異常訪問行為。同時,內(nèi)置的API業(yè)務威脅模型,可以透視API常見的業(yè)務威脅,高效準確進行人機識別。
在API訪問控制方面,瑞數(shù)API BotDefender內(nèi)置靈活的API訪問控制策略,能夠?qū)PI接口實現(xiàn)精細化的訪問控制,支持多維度限頻、攔截、延時等,實現(xiàn)企業(yè)實時安全響應和業(yè)務發(fā)展的平衡。
一直以來,快消行業(yè)都是bots自動化攻擊的重災區(qū),由爬蟲、撞庫帶來的惡意競爭、數(shù)據(jù)泄露、業(yè)務欺詐等事件頻發(fā)。瑞數(shù)信息作為從bots自動化攻擊防護起家的專業(yè)廠商,為眾多快消企業(yè)提供了領先的自動化攻擊防護產(chǎn)品,至今已保護了上萬億客戶資產(chǎn)和5億多賬戶,阻擋了99%的自動化攻擊。
隨著bots自動化攻擊開始瞄準API,瑞數(shù)信息也率先將所有線上業(yè)務接入渠道納入防護,包括Web、H5、APP、API、微信、小程序等,通過用戶賬號等唯一標識和全訪問記錄,將各業(yè)務接入渠道的數(shù)據(jù)進行融合,實現(xiàn)應用安全全功能的超融合防護。企業(yè)既可以采用瑞數(shù)API BotDefender對API進行單獨防護,也可以在瑞數(shù)下一代WAF基礎上擴展API防護功能,實現(xiàn)全渠道的安全防護。
知名快消企業(yè)API安全治理之道
目前,瑞數(shù)API BotDefender已成功應用在多個快消企業(yè)中,其中不乏行業(yè)頭部企業(yè)?;诖?,瑞數(shù)信息技術總監(jiān)吳劍剛介紹了兩個典型的快消企業(yè)API安全治理實踐。
某知名零售連鎖企業(yè),擁有過億的全球用戶,其線上應用日活已超3000萬?;谛袠I(yè)領先的IT建設,該企業(yè)采用了主流的動靜分離架構(gòu),核心業(yè)務都在API接口上,為了保證業(yè)務安全,很早就部署了傳統(tǒng)API網(wǎng)關、WAF、風控等安全產(chǎn)品。
雖然該企業(yè)已有API網(wǎng)關,但更多的是在鑒權層面起到作用,缺少API安全層面的發(fā)現(xiàn)和管控。而傳統(tǒng)WAF基于規(guī)則庫,對于該企業(yè)來說是個黑盒子,只能看到攔截效果,無法透視業(yè)務威脅,也無法從業(yè)務角度進行安全分析。風控產(chǎn)品則缺乏和安全平臺的聯(lián)動,無法幫助該企業(yè)識別惡意行為。
在采用瑞數(shù)API BotDefender后,該企業(yè)很快發(fā)現(xiàn)了一批未被清點、臨時接口未關閉的API資產(chǎn),更發(fā)現(xiàn)了大量異常行為和背后的異常賬號設備,實施了批量封堵處理。
根據(jù)瑞數(shù)API BotDefender的溯源顯示,某用戶通過手機號在APP上點單后,憑下單憑證去門店取單,取貨手機號就是下單手機號。然而,該手機號在24小時內(nèi)已經(jīng)下單超過50次,這顯然不符合正常用戶使用邏輯。同時,瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設備高達230個,有80個設備在1小時內(nèi)使用5個以上的賬號進行下單,涉及以上行為的總共1540個手機號,這些傳統(tǒng)安全產(chǎn)品無法識別的異常行為,都在瑞數(shù)API BotDefender平臺上清晰地展示出來,并能夠被實時攔截。
除了API資產(chǎn)管理和API異常行為管控之外,瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力,不僅覆蓋OWASP API Security Top10的攻擊防御,且通過API業(yè)務威脅模型,可以快速應對API的業(yè)務安全攻擊,如爬蟲、撞庫等。
某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬活躍會員,龐大的業(yè)務體量,使得該企業(yè)一直將信息安全作為其IT建設中的重中之重。為了保護線上業(yè)務安全,該企業(yè)自2017年起一直采用瑞數(shù)動態(tài)應用保護系統(tǒng) Botgate,對大量機器人攻擊行為、薅羊毛、安全攻擊等行為進行了有效防護。
隨著該企業(yè)更多的業(yè)務交易從線下轉(zhuǎn)移到線上,數(shù)字化營銷程度不斷深入,微信小程序成為其開展業(yè)務和營銷活動的主要線上渠道之一,API接口數(shù)量隨之快速增長,通過API接口發(fā)起的攻擊也越來越多。攻擊者試圖通過API越權訪問會員信息,批量獲取用戶隱私信息,這讓該企業(yè)意識到應迅速加強API防護。
2020年,該企業(yè)在原有的瑞數(shù)動態(tài)應用保護系統(tǒng)基礎上,擴展了API BotDefender模塊,補充API防護能力,獲得了立竿見影的效果:一是對API接口回傳報文中的敏感信息進行脫敏處理,規(guī)避數(shù)據(jù)泄漏風險;二是對API異常訪問行為進行管控,對異常設備和賬號做實時處置;三是基于單個API接口訪問次數(shù)進行限頻,防止CC攻擊造成業(yè)務癱瘓;四是針對地域營銷活動中黑產(chǎn)使用虛假定位軟件的問題,進行有效的人機識別和虛假定位識別,阻擋薅羊毛行為。
結(jié)語
在數(shù)字化浪潮中,快消企業(yè)必須面對愈加復雜的網(wǎng)絡安全環(huán)境,與黑產(chǎn)進行持續(xù)升級的對抗。對于早已全渠道化的快消企業(yè)而言,API是亟需重視的防護對象。瑞數(shù)API BotDefender作為API防護的創(chuàng)新方案,基于瑞數(shù)獨有的“動態(tài)安全+AI”核心技術,能夠為快消企業(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測、管控能力,有效保護企業(yè)的業(yè)務安全和數(shù)據(jù)安全。