劉燁 Akamai北亞區(qū)技術(shù)總監(jiān)
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁告訴記者,在物流和電商企業(yè)中�,API主要分為四類。
1��、外部API:它是與最終使用者交互的API�����,像用戶在手機(jī)APP上進(jìn)行電商交易的登錄�����、下單���,以及在物流網(wǎng)站查詢包裹信息等操作���,都通過外部API完成。這類API暴露在互聯(lián)網(wǎng)上�����,與用戶直接交互��,調(diào)用需認(rèn)證,但用戶身份難以確定��,風(fēng)險(xiǎn)相對(duì)較高�。
2、內(nèi)部API:用于企業(yè)內(nèi)部多個(gè)應(yīng)用之間的交互��,如應(yīng)用不同模塊的數(shù)據(jù)交換或業(yè)務(wù)單元間的服務(wù)調(diào)用。因其在企業(yè)內(nèi)部環(huán)境中被嚴(yán)格管控��,外部攻擊者難以直接訪問�����,所以風(fēng)險(xiǎn)相對(duì)較低�����。
3���、第三方合作伙伴API:是企業(yè)向合作伙伴開放的API,例如電商與物流公司合作時(shí)創(chuàng)建訂單、查詢訂單狀態(tài)的API調(diào)用���,屬于B2B場景�。企業(yè)雖無法完全控制合作伙伴行為�����,但可部分控制API開放范圍��,風(fēng)險(xiǎn)介于外部API和內(nèi)部API之間�。
4����、調(diào)用第三方API:企業(yè)使用第三方服務(wù)時(shí)的API調(diào)用,如物流公司調(diào)用第三方支付平臺(tái)API�。其安全性主要取決于第三方服務(wù)提供商,企業(yè)可監(jiān)控調(diào)用過程,但真正的API安全由第三方負(fù)責(zé) ����。
API安全在物流行業(yè)的關(guān)鍵作用與現(xiàn)存問題
劉燁表示��,API安全在物流行業(yè)至關(guān)重要��。它能幫助企業(yè)清晰了解自身API資產(chǎn)����,防止API被濫用,避免未經(jīng)認(rèn)證或授權(quán)的訪問�,同時(shí)針對(duì)應(yīng)用程序漏洞防止敏感信息泄露��。在數(shù)據(jù)保護(hù)方面�����,API安全作用突出�����,許多數(shù)據(jù)泄露問題源于API的不當(dāng)使用、開發(fā)設(shè)計(jì)缺陷和測(cè)試不足����,做好API安全工作可有效避免這些情況。
然而�����,企業(yè)在管理API方面存在諸多局限性����。API庫存不全,企業(yè)可能不清楚自身開放的API數(shù)量�、調(diào)用方式,還可能存在“影子API”����,在高負(fù)載場景下易引發(fā)安全問題;可觀察性有限��,難以掌握API訪問權(quán)限、認(rèn)證方式和實(shí)時(shí)調(diào)用行為,無法有效控制訪問����;缺乏運(yùn)行時(shí)控制,難以檢測(cè)API調(diào)用中的異常頻率和模式����;測(cè)試不足�,API安全測(cè)試常被忽視或在開發(fā)后期才進(jìn)行���,且多關(guān)注功能性而非安全性�����。
API濫用情況也屢見不鮮���。如Token過期濫用,攻擊者利用認(rèn)證Token過期仍可訪問的漏洞反復(fù)發(fā)起請(qǐng)求�;惡意用戶改ID獲取數(shù)據(jù)���,像游戲公司中惡意用戶篡改玩家ID獲取他人數(shù)據(jù);DDoS攻擊�,通過大量API請(qǐng)求快速消耗服務(wù)器資源�����。
Akamai與Noname的創(chuàng)新解決方案
為應(yīng)對(duì)這些問題�����,Akamai收購Noname公司�,推出了全面的API安全解決方案��。該方案涵蓋四個(gè)關(guān)鍵部分:
1、API發(fā)現(xiàn):能幫助企業(yè)精準(zhǔn)盤點(diǎn)API“庫存”��。許多企業(yè)對(duì)自身API數(shù)量預(yù)估不足����,開發(fā)過程中產(chǎn)生的未記錄API易被外部訪問��,Akamai的API發(fā)現(xiàn)工具可有效解決這一問題。
2����、安全態(tài)勢(shì)管理:致力于解決開發(fā)過程失誤導(dǎo)致的數(shù)據(jù)泄露問題,監(jiān)控API返回?cái)?shù)據(jù)�,避免PII等敏感數(shù)據(jù)泄露。
3�、測(cè)試:集成的測(cè)試模塊可依據(jù)API文檔自動(dòng)生成測(cè)試用例�,模擬終端用戶訪問行為進(jìn)行滲透測(cè)試,高效發(fā)現(xiàn)API漏洞����。
4、運(yùn)行保護(hù):利用機(jī)器學(xué)習(xí)學(xué)習(xí)API正常行為模式形成基線�����,實(shí)時(shí)識(shí)別異常行為并發(fā)出告警��,保障API運(yùn)行安全����。
此外���,Akamai還提供了兩個(gè)新的解決方案���。API安全解決方案專注于API邏輯安全防護(hù)�,應(yīng)對(duì)API潛在風(fēng)險(xiǎn)�����;零信任微分段解決方案在數(shù)據(jù)中心因API或應(yīng)用漏洞被攻破時(shí)��,可隔離內(nèi)部網(wǎng)絡(luò)�����,防止惡意軟件傳播���。
劉燁說���,Akamai的API安全解決方案雖并非專為物流行業(yè)定制,但充分考慮了物流行業(yè)API的特點(diǎn)���。其圍繞API資產(chǎn)盤點(diǎn)��、安全態(tài)勢(shì)管理�����、運(yùn)行時(shí)安全管理和安全測(cè)試等方面的設(shè)計(jì)��,能有效應(yīng)對(duì)物流行業(yè)上下游交互頻繁����、API調(diào)用類型多樣的安全挑戰(zhàn)��。
平衡安全與效率的策略與實(shí)踐
在保障物流行業(yè)API安全時(shí),平衡安全需求和業(yè)務(wù)效率是企業(yè)面臨的重要課題����。安全是業(yè)務(wù)順暢運(yùn)行的前提,一次安全漏洞可能導(dǎo)致企業(yè)名譽(yù)受損����、用戶信息泄露和合規(guī)問題,影響長期發(fā)展�。企業(yè)應(yīng)在不改變現(xiàn)有業(yè)務(wù)流程的情況下����,借助安全工具���、產(chǎn)品和團(tuán)隊(duì)制定貼合業(yè)務(wù)需求的安全策略�����。
Akamai建議�����,企業(yè)的業(yè)務(wù)�����、安全和IT運(yùn)維負(fù)責(zé)人應(yīng)達(dá)成共識(shí)�����,共同努力。在管理API方面����,企業(yè)可遵循一些最佳實(shí)踐:進(jìn)行API盤點(diǎn),全面了解自身API���;建立完善的身份驗(yàn)證和授權(quán)機(jī)制�����;實(shí)施速率限制和訪問控制��,防止資源濫用�����;加強(qiáng)監(jiān)控并建立基線�����,及時(shí)發(fā)現(xiàn)異常�;定期開展安全審計(jì)和滲透測(cè)試���。
針對(duì)AI生成代碼帶來的新型攻擊方式�,企業(yè)可采取“AI+人”結(jié)合的模式。Akamai在WAF和Bot識(shí)別等安全解決方案中融入AI技術(shù)�,專業(yè)安全服務(wù)團(tuán)隊(duì)提供咨詢和決策��。同時(shí)�����,Akamai建議企業(yè)選擇安全工具時(shí)應(yīng)注重其AI能力�����,如能否通過機(jī)器學(xué)習(xí)建立基線識(shí)別攻擊�。
物流企業(yè)采用API方式接入大模型技術(shù)時(shí)��,除傳統(tǒng)API安全問題外����,還面臨如“內(nèi)容投毒”等新的安全隱患����。企業(yè)需明確大模型使用規(guī)范,過濾返回內(nèi)容���。
未來安全領(lǐng)域發(fā)展趨勢(shì)
劉燁表示����,結(jié)合物流和電商行業(yè)API條目多����、類型復(fù)雜的特點(diǎn),未來安全領(lǐng)域有五個(gè)重要發(fā)展方向��。一是強(qiáng)化AI與機(jī)器學(xué)習(xí)在安全防護(hù)中的核心作用�,動(dòng)態(tài)識(shí)別和應(yīng)對(duì)復(fù)雜威脅��;二是注重動(dòng)態(tài)安全防護(hù),關(guān)注運(yùn)行時(shí)基線變化�����,實(shí)現(xiàn)實(shí)時(shí)保護(hù)�����;三是保障供應(yīng)鏈全鏈路安全��,覆蓋各類API接口���,考慮上下游交互安全;四是推行安全測(cè)試左移�����,將測(cè)試集成到開發(fā)模塊;五是重視合規(guī)性要求�,確保符合行業(yè)和法律規(guī)定��,應(yīng)對(duì)用戶信息泄露等合規(guī)挑戰(zhàn)���。
在電商與物流行業(yè)快速發(fā)展的當(dāng)下,API安全是保障行業(yè)穩(wěn)定運(yùn)行的關(guān)鍵因素。Akamai的見解和解決方案為企業(yè)應(yīng)對(duì)API安全挑戰(zhàn)提供了有力支持��,企業(yè)應(yīng)積極采取措施���,平衡安全與效率�,順應(yīng)安全領(lǐng)域發(fā)展趨勢(shì)����,確保業(yè)務(wù)的可持續(xù)發(fā)展���。
![]()
算力豹主編
