在每年年底至年初的购物季,电商与物流行业总是格外繁忙。美国购物季线上成交额数据显示,11月至12月总成交额达2410亿美元,其中超50%通过手机完成,而手机端交互大多依赖API,这使得API流量在购物季占比极大。与此同时,全球电商物流市场预计从2023年到2030年以22.3%的年复合增长率增长。在电商和物流行业蓬勃发展的背后,API安全问题却日益凸显。
物流与电商企业API分类
刘烨 Akamai北亚区技术总监
Akamai北亚区技术总监刘烨告诉记者,在物流和电商企业中,API主要分为四类。
1、外部API:它是与最终使用者交互的API,像用户在手机APP上进行电商交易的登录、下单,以及在物流网站查询包裹信息等操作,都通过外部API完成。这类API暴露在互联网上,与用户直接交互,调用需认证,但用户身份难以确定,风险相对较高。
2、内部API:用于企业内部多个应用之间的交互,如应用不同模块的数据交换或业务单元间的服务调用。因其在企业内部环境中被严格管控,外部攻击者难以直接访问,所以风险相对较低。
3、第三方合作伙伴API:是企业向合作伙伴开放的API,例如电商与物流公司合作时创建订单、查询订单状态的API调用,属于B2B场景。企业虽无法完全控制合作伙伴行为,但可部分控制API开放范围,风险介于外部API和内部API之间。
4、调用第三方API:企业使用第三方服务时的API调用,如物流公司调用第三方支付平台API。其安全性主要取决于第三方服务提供商,企业可监控调用过程,但真正的API安全由第三方负责 。
API安全在物流行业的关键作用与现存问题
刘烨表示,API安全在物流行业至关重要。它能帮助企业清晰了解自身API资产,防止API被滥用,避免未经认证或授权的访问,同时针对应用程序漏洞防止敏感信息泄露。在数据保护方面,API安全作用突出,许多数据泄露问题源于API的不当使用、开发设计缺陷和测试不足,做好API安全工作可有效避免这些情况。
然而,企业在管理API方面存在诸多局限性。API库存不全,企业可能不清楚自身开放的API数量、调用方式,还可能存在“影子API”,在高负载场景下易引发安全问题;可观察性有限,难以掌握API访问权限、认证方式和实时调用行为,无法有效控制访问;缺乏运行时控制,难以检测API调用中的异常频率和模式;测试不足,API安全测试常被忽视或在开发后期才进行,且多关注功能性而非安全性。
API滥用情况也屡见不鲜。如Token过期滥用,攻击者利用认证Token过期仍可访问的漏洞反复发起请求;恶意用户改ID获取数据,像游戏公司中恶意用户篡改玩家ID获取他人数据;DDoS攻击,通过大量API请求快速消耗服务器资源。
Akamai与Noname的创新解决方案
为应对这些问题,Akamai收购Noname公司,推出了全面的API安全解决方案。该方案涵盖四个关键部分:
1、API发现:能帮助企业精准盘点API“库存”。许多企业对自身API数量预估不足,开发过程中产生的未记录API易被外部访问,Akamai的API发现工具可有效解决这一问题。
2、安全态势管理:致力于解决开发过程失误导致的数据泄露问题,监控API返回数据,避免PII等敏感数据泄露。
3、测试:集成的测试模块可依据API文档自动生成测试用例,模拟终端用户访问行为进行渗透测试,高效发现API漏洞。
4、运行保护:利用机器学习学习API正常行为模式形成基线,实时识别异常行为并发出告警,保障API运行安全。
此外,Akamai还提供了两个新的解决方案。API安全解决方案专注于API逻辑安全防护,应对API潜在风险;零信任微分段解决方案在数据中心因API或应用漏洞被攻破时,可隔离内部网络,防止恶意软件传播。
刘烨说,Akamai的API安全解决方案虽并非专为物流行业定制,但充分考虑了物流行业API的特点。其围绕API资产盘点、安全态势管理、运行时安全管理和安全测试等方面的设计,能有效应对物流行业上下游交互频繁、API调用类型多样的安全挑战。
平衡安全与效率的策略与实践
在保障物流行业API安全时,平衡安全需求和业务效率是企业面临的重要课题。安全是业务顺畅运行的前提,一次安全漏洞可能导致企业名誉受损、用户信息泄露和合规问题,影响长期发展。企业应在不改变现有业务流程的情况下,借助安全工具、产品和团队制定贴合业务需求的安全策略。
Akamai建议,企业的业务、安全和IT运维负责人应达成共识,共同努力。在管理API方面,企业可遵循一些最佳实践:进行API盘点,全面了解自身API;建立完善的身份验证和授权机制;实施速率限制和访问控制,防止资源滥用;加强监控并建立基线,及时发现异常;定期开展安全审计和渗透测试。
针对AI生成代码带来的新型攻击方式,企业可采取“AI+人”结合的模式。Akamai在WAF和Bot识别等安全解决方案中融入AI技术,专业安全服务团队提供咨询和决策。同时,Akamai建议企业选择安全工具时应注重其AI能力,如能否通过机器学习建立基线识别攻击。
物流企业采用API方式接入大模型技术时,除传统API安全问题外,还面临如“内容投毒”等新的安全隐患。企业需明确大模型使用规范,过滤返回内容。
未来安全领域发展趋势
刘烨表示,结合物流和电商行业API条目多、类型复杂的特点,未来安全领域有五个重要发展方向。一是强化AI与机器学习在安全防护中的核心作用,动态识别和应对复杂威胁;二是注重动态安全防护,关注运行时基线变化,实现实时保护;三是保障供应链全链路安全,覆盖各类API接口,考虑上下游交互安全;四是推行安全测试左移,将测试集成到开发模块;五是重视合规性要求,确保符合行业和法律规定,应对用户信息泄露等合规挑战。
在电商与物流行业快速发展的当下,API安全是保障行业稳定运行的关键因素。Akamai的见解和解决方案为企业应对API安全挑战提供了有力支持,企业应积极采取措施,平衡安全与效率,顺应安全领域发展趋势,确保业务的可持续发展。
