【环球网科技报道 记者 林迪】随着电商的迅猛发展,物流行业在保障商品流通方面扮演着越来越重要的角色。然而,随着业务的快速增长,物流行业也面临着日益复杂的安全挑战。特别是在购物季期间,电商和物流行业的业务交易量激增,API(应用程序编程接口)成为连接各个业务环节的关键纽带。然而,API的广泛应用也带来了诸多安全隐患,尤其是在数据保护和业务逻辑防护方面。
对此,记者近日采访了Akamai北亚区技术总监刘烨,他详细剖析了物流行业在API安全方面面临的挑战,并提出了相应的解决方案。
刘烨指出,每年年底和年初,全球范围内都会迎来一个重要的购物季。在美国,过去两个月的线上成交额高达2410亿美元,其中超过50%的交易通过手机完成。这一数据表明,移动端交易在电商行业中占据了举足轻重的地位。而手机端的交易,尤其是涉及支付、查询订单状态等功能,大多通过API实现。因此,在购物季期间,API的流量会显著增加,同时也面临着更大的安全风险。
“API不仅是电商和物流行业内部系统之间数据交换的桥梁,也是商家与上下游企业之间协作的关键。” 刘烨补充道:“然而,随着API调用量的增加,网络犯罪活动也变得更加活跃。在过去的12个月中,约有30%-40%的重大数据泄露事件源于API漏洞。这些漏洞可能源于API的滥用、管理不善或风险未被充分识别。”
为了有效应对API安全挑战,刘烨将企业中的API分为四大类型,并详细分析了每种类型的安全风险:
首先,外部API,这类API与最终用户直接交互,如登录、下单、查询订单状态等功能。由于它们暴露在互联网上,且调用者身份难以确认,因此风险相对较高。其次,内部API,指企业内部不同应用或模块之间的数据交换。由于这些调用发生在企业内部环境中,因此风险相对较低。然而,如果内部安全管理不善,仍可能引发安全问题。再次,第三方合作伙伴API,这类API用于企业与其合作伙伴之间的数据交换。虽然企业可以部分控制这些API的开放范围,但合作伙伴的行为仍可能对系统安全构成威胁。最后,调用第三方API,指企业在业务中需要使用第三方服务时调用的外部API。这类API的安全性主要取决于第三方服务提供商的可靠性和安全性。
在他看来,针对这四类API,企业需要采取不同的安全策略和管理措施,以确保API的安全性。“在购物季等高峰期,传统API安全管理方法可能面临诸多局限性。一方面,企业可能缺乏对API的全面可视性,无法准确掌握API的调用情况和潜在风险。另一方面,企业在管理API访问权限和控制时可能缺乏足够控制力,难以有效阻止恶意调用。此外,传统方法在运行时可能缺乏对API调用行为的实时监控和异常检测能力,难以及时发现和阻止潜在的安全威胁。”
值得关注的是,为了克服这些局限性,Akamai收购了专注于API安全的Noname公司,并结合自身产品提供了一套全面的API安全解决方案。
据悉,Akamai的API安全解决方案涵盖了API发现、安全态势管理、测试和运行保护四个关键模块。其中,API发现帮助企业全面盘点API资产,确保对所有API有清晰的认识和管理;安全态势管理实时监控API的安全状态,及时发现潜在威胁,并确保开发过程中不泄露敏感数据;测试通过集成测试模块,自动生成测试用例并模拟用户访问行为,以检测API的安全性;运行保护则是在API上线后,通过机器学习技术学习API的正常行为模式,并实时识别异常行为,及时阻止潜在的安全威胁。
刘烨告诉记者,该解决方案的独特价值在于能够理解API的上下文和业务逻辑,将单一请求放入整体环境中分析,从而识别出潜在的复杂风险。例如,当一个用户频繁更换ID查询其他用户的订单时,单次请求可能看似正常,但结合全局行为分析后会发现异常,这类问题可以通过Akamai的API安全产品得到有效解决。
他进一步指出,尽管Akamai提供了专门的API安全解决方案,但传统安全手段如WAF(Web应用防火墙)和API Gateway仍然不可或缺。WAF负责基础的流量过滤、认证和访问控制,能够防御过快的请求速率和注入类型的攻击。而API Gateway则负责用户认证、授权、API管理和配额分配等功能。这些传统安全手段与Akamai的API安全解决方案相辅相成,共同构建起全面的API安全防护体系。
除此之外,物流行业在API安全方面还面临着诸多挑战,例如,“混合云”和“多云”环境导致的安全策略不一致性、API资产盘点困难、漏洞探测和攻击威胁感知不足等。
针对这些挑战,刘烨称,Akamai提出了以下应对策略:第一,采用独立的安全产品,规避“多云”环境下安全策略不一致的问题,通过专业的第三方安全产品实现统一的策略配置和数据收集。第二,结合管理机制与动态工具,在API资产盘点方面,企业应建立良好的管理机制和文档,并引入第三方工具进行动态扫描和监控。第三,利用AI和机器学习技术,实现漏洞探测和攻击威胁感知的动态监控和实时防护。
最后,刘烨总结道:“随着物流行业的数字化转型和API的广泛应用,API安全将面临更多新的挑战和机遇。未来,AI与机器学习将在API安全防护中发挥核心作用,实现动态识别和应对复杂的安全威胁。同时,动态安全防护、供应链全链路安全、安全测试左移和合规性要求也将成为物流行业API安全的重要发展方向。”
