數(shù)字化趨勢(shì)下，快消企業(yè)幾乎把大部分業(yè)務(wù)包括核心業(yè)務(wù)都搬到了線上，并越來(lái)越依賴(lài)API整合大量系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互。但同時(shí)，通過(guò)API獲取數(shù)據(jù)的攻擊也越來(lái)越受到黑客的歡迎，傳統(tǒng)安全產(chǎn)品在應(yīng)對(duì)新型API攻擊時(shí)也逐漸力不從心。

為了解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn)，彌補(bǔ)傳統(tǒng)安全產(chǎn)品的不足，瑞數(shù)信息推出瑞數(shù)API安全管控平臺(tái)（API BotDefender），從API的資產(chǎn)管理、敏感數(shù)據(jù)管控、訪問(wèn)行為管控、API風(fēng)險(xiǎn)識(shí)別與管控等維度，體系化保障API安全。

目前，瑞數(shù)API安全管控平臺(tái)（API BotDefender）已成功應(yīng)用在多個(gè)快消企業(yè)中，其中不乏行業(yè)頭部企業(yè)。以下為兩個(gè)典型的快消企業(yè)API安全治理實(shí)踐案例。

案例一

某知名餐飲零售連鎖企業(yè)

某知名餐飲零售連鎖企業(yè)，擁有過(guò)億的全球用戶(hù)，其線上應(yīng)用日活已超3000萬(wàn)。該企業(yè)基于行業(yè)領(lǐng)先的IT建設(shè)，采用了主流的動(dòng)靜分離架構(gòu)，核心業(yè)務(wù)都在API接口上，同時(shí)為了保證業(yè)務(wù)安全，很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF、風(fēng)控等安全產(chǎn)品。

然而，該企業(yè)已有的API網(wǎng)關(guān)更多是在鑒權(quán)層面起到作用，缺少API安全層面的發(fā)現(xiàn)和管控。部署的傳統(tǒng)WAF基于規(guī)則庫(kù)，則對(duì)于該企業(yè)來(lái)說(shuō)是個(gè)黑盒子，只能看到攔截效果，無(wú)法透視業(yè)務(wù)威脅，也無(wú)法從業(yè)務(wù)角度進(jìn)行安全分析。而風(fēng)控產(chǎn)品，由于缺乏和安全平臺(tái)的聯(lián)動(dòng)，無(wú)法幫助該企業(yè)識(shí)別惡意行為。

因此，該企業(yè)采用了瑞數(shù)API安全管控平臺(tái)（API BotDefender），以對(duì)API安全進(jìn)行全方位的管理和保護(hù)。部署后，通過(guò)瑞數(shù)API資產(chǎn)管理功能，該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)、臨時(shí)接口未關(guān)閉的API資產(chǎn)；通過(guò)API異常行為管控功能，更發(fā)現(xiàn)了大量異常行為和背后的異常賬號(hào)設(shè)備，并實(shí)施了批量封堵處理。

例如，該企業(yè)采用一種線上下單、店內(nèi)取貨的模式，經(jīng)瑞數(shù)API安全管控平臺(tái)溯源發(fā)現(xiàn)，某用戶(hù)的手機(jī)號(hào)碼在24小時(shí)內(nèi)就連續(xù)下單超過(guò)50次，這顯然不符合正常用戶(hù)的使用邏輯。同時(shí)，瑞數(shù)API BotDefender還發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個(gè)，其中有80個(gè)設(shè)備在1小時(shí)內(nèi)使用了5個(gè)以上的賬號(hào)進(jìn)行下單，總共涉及1540個(gè)手機(jī)號(hào)——這些傳統(tǒng)安全產(chǎn)品無(wú)法識(shí)別的異常行為，都在瑞數(shù)API BotDefender平臺(tái)上清晰地展示出來(lái)，并能夠被實(shí)時(shí)攔截。

此外，除了API資產(chǎn)管理和API異常行為管控功能，瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力，不僅覆蓋OWASP API Security Top10的攻擊防御，并且通過(guò)API業(yè)務(wù)威脅模型，可以快速應(yīng)對(duì)諸如爬蟲(chóng)、撞庫(kù)等一系列API的業(yè)務(wù)安全攻擊，為該企業(yè)的API安全提供了全面防護(hù)。

案例二

某知名保健美容零售連鎖企業(yè)

某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬(wàn)活躍會(huì)員，其龐大的業(yè)務(wù)體量，使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線上業(yè)務(wù)安全，該企業(yè)自2017年起一直采用瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate，對(duì)大量機(jī)器人攻擊行為、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)。

隨著該企業(yè)更多的業(yè)務(wù)交易從線下轉(zhuǎn)移到線上，數(shù)字化營(yíng)銷(xiāo)程度不斷深入，微信小程序成為其開(kāi)展業(yè)務(wù)和營(yíng)銷(xiāo)活動(dòng)的主要線上渠道之一，API接口數(shù)量隨之快速增長(zhǎng)，通過(guò)API接口發(fā)起的攻擊也越來(lái)越多。攻擊者試圖通過(guò)API越權(quán)訪問(wèn)會(huì)員信息，批量獲取用戶(hù)隱私信息，這讓該企業(yè)意識(shí)到應(yīng)迅速加強(qiáng)API防護(hù)。

2020年，該企業(yè)在原有的瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上，擴(kuò)展了API BotDefender模塊，補(bǔ)充API防護(hù)能力，在以下四方面獲得了立竿見(jiàn)影的效果：

數(shù)字化浪潮中，快消企業(yè)必須面對(duì)愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，與黑產(chǎn)進(jìn)行持續(xù)升級(jí)的對(duì)抗。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案，基于瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù)，能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測(cè)、管控能力，有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全。