一年一度的618購物大幕又將拉開,必然會讓很多消費(fèi)者得到搶購狂歡后的實(shí)惠。不過,在這令電商們歡愉的氛圍背后,卻是網(wǎng)絡(luò)攻擊者們的伺機(jī)而動。
電商行業(yè)一直都是惡意攻擊者們青睞的目標(biāo),因為這里有線上的交易數(shù)據(jù)、用戶賬戶信息以用資金等密切相關(guān)的敏感數(shù)據(jù)。一旦潛在的漏洞隱患被加以非法利用,往往成為及攻擊者非法獲取利益的來源。
API遇安全風(fēng)險
無論對于電商企業(yè)還是消費(fèi)者,業(yè)務(wù)系統(tǒng)被攻擊、用戶數(shù)據(jù)遭泄露等都會造成難以估量的損失。電商企業(yè)面臨的是信譽(yù)受損乃至信任度下降,銷售業(yè)績等核心數(shù)據(jù)可能有暴露的風(fēng)險,而消費(fèi)者直面的將可能是個人信息泄露甚至是資金財產(chǎn)的損失。
所以在電商平臺中,確保交易過程和數(shù)據(jù)的安全性是至關(guān)重要的。但在大促時,電商平臺不僅要承受著網(wǎng)站、App、小程序、直播軟件等各方網(wǎng)絡(luò)流量的增加,同時也要大大增加了各個環(huán)節(jié)帶來的網(wǎng)絡(luò)安全風(fēng)險。
API作為聯(lián)結(jié)電商平臺各個應(yīng)用之間的“橋梁”,是確保數(shù)據(jù)傳輸安全和數(shù)據(jù)處理合規(guī)性的最重要通道,同時也是最容易被惡意攻擊者盯上的目標(biāo)。
根據(jù)Akamai的一項調(diào)查,在過去一年中,亞太和日本 (APJ) 地區(qū)所有網(wǎng)絡(luò)攻擊中有15%是針對API的。從全球范圍來看,亞太及日本地區(qū)的API攻擊百分比排名第三,僅次于歐洲、中東和非洲 (EMEA)地區(qū)(47.5%)和北美(27.1%)。
全球約86%的企業(yè)利用API來提升商業(yè)價值,這表明API的普遍存在和重要性日益增強(qiáng)。雖然有88%的企業(yè)使用超過2500個云應(yīng)用程序,但只有59%的人聲稱他們可以發(fā)現(xiàn)所有正在使用的API。在最近遭到破壞的組織中,有74%的組織在過去兩年中經(jīng)歷了至少3次與API相關(guān)的破壞。
這項調(diào)查還表明,商務(wù)行業(yè)尤其是電商領(lǐng)域成為API攻擊的重災(zāi)區(qū)。在過去一年中,商務(wù)行業(yè)(愛愛攻擊占比44.2%)中包括電商行業(yè),是遭受API攻擊最嚴(yán)重的行業(yè)。這是因為電商業(yè)務(wù)涉及大量的在線交易和數(shù)據(jù)交換,API的使用頻率和復(fù)雜度都相對較高。同時,商業(yè)服務(wù)行業(yè)如功能型網(wǎng)站和物流公司等也面臨著較高的API攻擊風(fēng)險。這些行業(yè)中的API不僅用于內(nèi)部系統(tǒng)間的通信,還常常需要與外部合作伙伴進(jìn)行數(shù)據(jù)交換,因此其安全性尤為重要。
近年來層出不窮的與API相關(guān)的數(shù)據(jù)泄露事件證明,API風(fēng)險給各行各業(yè)都帶來了數(shù)據(jù)安全的巨大挑戰(zhàn)。尤其是電商企業(yè)更需要清晰認(rèn)識到API安全的風(fēng)險形勢,并盡快尋找應(yīng)對風(fēng)險的最佳方法。
引入AI技術(shù)防御
電商平臺的API所涉及的業(yè)務(wù)場景非常繁雜,承載API服務(wù)的安全要求和防護(hù)措施存在很大的差異性,這導(dǎo)致電商企業(yè)難以用統(tǒng)一的方案落實(shí)安全防護(hù)。
由于不同的安全管控階段和API所處的位置不同,對API安全防護(hù)的要求也有很大區(qū)別,這就要求對各個API的防護(hù)模式要按需隨時調(diào)整,但大多數(shù)電商企業(yè)還難以實(shí)現(xiàn)動態(tài)而靈活的安全防范體系。
既然傳統(tǒng)的安全手段已無法對API提供完善的防護(hù),需要引入更新的技術(shù)完善企業(yè)的網(wǎng)絡(luò)安全體系。例如使用AI技術(shù)的智能化防御API惡意攻擊,借助機(jī)器學(xué)習(xí)算法來對惡意攻擊進(jìn)行快速識別,并動態(tài)地采取相應(yīng)防御措施,從而提高網(wǎng)絡(luò)整體安全性。
Akamai大中華區(qū)產(chǎn)品市場經(jīng)理 劉炅
Akamai大中華區(qū)產(chǎn)品市場經(jīng)理劉炅表示,Akamai已在使用AI大模型技術(shù)來幫助企業(yè)檢測異常、攻擊、撞庫攻擊、帳戶盜竊和其他挑戰(zhàn)。
在人工智能大模型的驅(qū)動下,更復(fù)雜、更大規(guī)模的網(wǎng)絡(luò)攻擊也更有可能發(fā)生。對此,Akamai希望加強(qiáng)其產(chǎn)品的防御性,包括提高產(chǎn)品成熟度、防御系統(tǒng)和產(chǎn)品多樣性,以應(yīng)對惡意軟件和機(jī)器人的惡意攻擊。
Akamai App & API Protector提供自適應(yīng)安全保護(hù)引擎,自動推送企業(yè)應(yīng)用程序和API的更新保護(hù)措施。借助Akamai管理的更新和機(jī)器學(xué)習(xí)驅(qū)動的自主調(diào)整,可以盡可能減少企業(yè)安全運(yùn)維人員的工作量,從而無需耗時的手動維護(hù)。
API Security ShadowHunt是一項托管威脅搜尋服務(wù),可通過精通API威脅搜尋的專家分析師來擴(kuò)展企業(yè)的安全團(tuán)隊。API Security ShadowHunt是一種外包解決方案,可幫助企業(yè)降低風(fēng)險,非常適合人手不足的團(tuán)隊或缺乏API安全專業(yè)知識的團(tuán)隊。威脅獵手作為企業(yè)安全團(tuán)隊的延伸,檢測并報告隱藏在API流量中的最秘密、最模糊的攻擊。
網(wǎng)絡(luò)安全從來都是一場攻防博弈的持久戰(zhàn),需要業(yè)界參與者不斷地對防護(hù)措施進(jìn)行改進(jìn)與完善,才能夠有效保障企業(yè)和用戶的權(quán)益與數(shù)據(jù)安全。
可以預(yù)見的是,未來AI技術(shù)在API安全防御方面會應(yīng)用的越來越廣泛。隨著這些AI模型的成熟深入應(yīng)用,也會有更多更好的AI算法被不斷發(fā)掘出來,從而提高企業(yè)安全防御系統(tǒng)的準(zhǔn)確性和實(shí)時性。
當(dāng)然,隨著惡意攻擊手段的不斷翻新和變化,AI算法也需要不斷地升級和迭代,如此才能讓以此為基的安全防護(hù)措施可以快速適應(yīng)不同類型和形式的未知惡意攻擊。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )