在API資產(chǎn)管理方面，瑞數(shù)API BotDefender可以持續(xù)發(fā)現(xiàn)API接口，及時(shí)發(fā)現(xiàn)未知的API和僵尸API。同時(shí)，自動(dòng)對API接口實(shí)現(xiàn)分類、分組、并指派責(zé)任人，實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理；并提取API接口的元數(shù)據(jù)，為API接口提供可視化展示。

在API攻擊防護(hù)方面，瑞數(shù)API BotDefender可以防止繞過業(yè)務(wù)邏輯的訪問行為，拒絕非法的API請求參數(shù)調(diào)用，降低安全配置錯(cuò)誤，縮小攻擊面。同時(shí)，支持API安全攻擊檢測和防護(hù)，并引入語義分析技術(shù)，進(jìn)一步提高檢測準(zhǔn)確性。

在API敏感數(shù)據(jù)管控方面，瑞數(shù)API BotDefender可以對敏感信息進(jìn)行自動(dòng)分級，實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時(shí)進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)，滿足合規(guī)審計(jì)需求。

在API訪問行為管控方面，瑞數(shù)API BotDefender基于多維度實(shí)時(shí)監(jiān)控API接口的訪問行為，能夠及時(shí)發(fā)現(xiàn)偏離基線的異常訪問行為。同時(shí)，內(nèi)置的API業(yè)務(wù)威脅模型，可以透視API常見的業(yè)務(wù)威脅，高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別。

在API訪問控制方面，瑞數(shù)API BotDefender內(nèi)置靈活的API訪問控制策略，能夠?qū)PI接口實(shí)現(xiàn)精細(xì)化的訪問控制，支持多維度限頻、攔截、延時(shí)等，實(shí)現(xiàn)企業(yè)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡。

一直以來，快消行業(yè)都是bots自動(dòng)化攻擊的重災(zāi)區(qū)，由爬蟲、撞庫帶來的惡意競爭、數(shù)據(jù)泄露、業(yè)務(wù)欺詐等事件頻發(fā)。瑞數(shù)信息作為從bots自動(dòng)化攻擊防護(hù)起家的專業(yè)廠商，為眾多快消企業(yè)提供了領(lǐng)先的自動(dòng)化攻擊防護(hù)產(chǎn)品，至今已保護(hù)了上萬億客戶資產(chǎn)和5億多賬戶，阻擋了99%的自動(dòng)化攻擊。

隨著bots自動(dòng)化攻擊開始瞄準(zhǔn)API，瑞數(shù)信息也率先將所有線上業(yè)務(wù)接入渠道納入防護(hù)，包括Web、H5、APP、API、微信、小程序等，通過用戶賬號等唯一標(biāo)識(shí)和全訪問記錄，將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合，實(shí)現(xiàn)應(yīng)用安全全功能的超融合防護(hù)。企業(yè)既可以采用瑞數(shù)API BotDefender對API進(jìn)行單獨(dú)防護(hù)，也可以在瑞數(shù)下一代WAF基礎(chǔ)上擴(kuò)展API防護(hù)功能，實(shí)現(xiàn)全渠道的安全防護(hù)。

知名快消企業(yè)API安全治理之道

目前，瑞數(shù)API BotDefender已成功應(yīng)用在多個(gè)快消企業(yè)中，其中不乏行業(yè)頭部企業(yè)?；诖?，瑞數(shù)信息技術(shù)總監(jiān)吳劍剛介紹了兩個(gè)典型的快消企業(yè)API安全治理實(shí)踐。

• 案例一：某知名零售連鎖企業(yè)

某知名零售連鎖企業(yè)，擁有過億的全球用戶，其線上應(yīng)用日活已超3000萬?；谛袠I(yè)領(lǐng)先的IT建設(shè)，該企業(yè)采用了主流的動(dòng)靜分離架構(gòu)，核心業(yè)務(wù)都在API接口上，為了保證業(yè)務(wù)安全，很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF、風(fēng)控等安全產(chǎn)品。

雖然該企業(yè)已有API網(wǎng)關(guān)，但更多的是在鑒權(quán)層面起到作用，缺少API安全層面的發(fā)現(xiàn)和管控。而傳統(tǒng)WAF基于規(guī)則庫，對于該企業(yè)來說是個(gè)黑盒子，只能看到攔截效果，無法透視業(yè)務(wù)威脅，也無法從業(yè)務(wù)角度進(jìn)行安全分析。風(fēng)控產(chǎn)品則缺乏和安全平臺(tái)的聯(lián)動(dòng)，無法幫助該企業(yè)識(shí)別惡意行為。

在采用瑞數(shù)API BotDefender后，該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)、臨時(shí)接口未關(guān)閉的API資產(chǎn)，更發(fā)現(xiàn)了大量異常行為和背后的異常賬號設(shè)備，實(shí)施了批量封堵處理。

根據(jù)瑞數(shù)API BotDefender的溯源顯示，某用戶通過手機(jī)號在APP上點(diǎn)單后，憑下單憑證去門店取單，取貨手機(jī)號就是下單手機(jī)號。然而，該手機(jī)號在24小時(shí)內(nèi)已經(jīng)下單超過50次，這顯然不符合正常用戶使用邏輯。同時(shí)，瑞數(shù)API BotDefender發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個(gè)，有80個(gè)設(shè)備在1小時(shí)內(nèi)使用5個(gè)以上的賬號進(jìn)行下單，涉及以上行為的總共1540個(gè)手機(jī)號，這些傳統(tǒng)安全產(chǎn)品無法識(shí)別的異常行為，都在瑞數(shù)API BotDefender平臺(tái)上清晰地展示出來，并能夠被實(shí)時(shí)攔截。

除了API資產(chǎn)管理和API異常行為管控之外，瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力，不僅覆蓋OWASP API Security Top10的攻擊防御，且通過API業(yè)務(wù)威脅模型，可以快速應(yīng)對API的業(yè)務(wù)安全攻擊，如爬蟲、撞庫等。

• 案例二：保健美容零售連鎖企業(yè)

某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬活躍會(huì)員，龐大的業(yè)務(wù)體量，使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線上業(yè)務(wù)安全，該企業(yè)自2017年起一直采用瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate，對大量機(jī)器人攻擊行為、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)。

隨著該企業(yè)更多的業(yè)務(wù)交易從線下轉(zhuǎn)移到線上，數(shù)字化營銷程度不斷深入，微信小程序成為其開展業(yè)務(wù)和營銷活動(dòng)的主要線上渠道之一，API接口數(shù)量隨之快速增長，通過API接口發(fā)起的攻擊也越來越多。攻擊者試圖通過API越權(quán)訪問會(huì)員信息，批量獲取用戶隱私信息，這讓該企業(yè)意識(shí)到應(yīng)迅速加強(qiáng)API防護(hù)。

2020年，該企業(yè)在原有的瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上，擴(kuò)展了API BotDefender模塊，補(bǔ)充API防護(hù)能力，獲得了立竿見影的效果：一是對API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)；二是對API異常訪問行為進(jìn)行管控，對異常設(shè)備和賬號做實(shí)時(shí)處置；三是基于單個(gè)API接口訪問次數(shù)進(jìn)行限頻，防止CC攻擊造成業(yè)務(wù)癱瘓；四是針對地域營銷活動(dòng)中黑產(chǎn)使用虛假定位軟件的問題，進(jìn)行有效的人機(jī)識(shí)別和虛假定位識(shí)別，阻擋薅羊毛行為。

結(jié)語

在數(shù)字化浪潮中，快消企業(yè)必須面對愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，與黑產(chǎn)進(jìn)行持續(xù)升級的對抗。對于早已全渠道化的快消企業(yè)而言，API是亟需重視的防護(hù)對象。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案，基于瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù)，能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測、管控能力，有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全。

zhupb