一年一度的618購物大幕又將拉開(kāi),必然會(huì )讓很多消費者得到搶購狂歡后的實(shí)惠。不過(guò),在這令電商們歡愉的氛圍背后,卻是網(wǎng)絡(luò )攻擊者們的伺機而動(dòng)。
電商行業(yè)一直都是惡意攻擊者們青睞的目標,因為這里有線(xiàn)上的交易數據、用戶(hù)賬戶(hù)信息以用資金等密切相關(guān)的敏感數據。一旦潛在的漏洞隱患被加以非法利用,往往成為及攻擊者非法獲取利益的來(lái)源。
API遇安全風(fēng)險
無(wú)論對于電商企業(yè)還是消費者,業(yè)務(wù)系統被攻擊、用戶(hù)數據遭泄露等都會(huì )造成難以估量的損失。電商企業(yè)面臨的是信譽(yù)受損乃至信任度下降,銷(xiāo)售業(yè)績(jì)等核心數據可能有暴露的風(fēng)險,而消費者直面的將可能是個(gè)人信息泄露甚至是資金財產(chǎn)的損失。
所以在電商平臺中,確保交易過(guò)程和數據的安全性是至關(guān)重要的。但在大促時(shí),電商平臺不僅要承受著(zhù)網(wǎng)站、App、小程序、直播軟件等各方網(wǎng)絡(luò )流量的增加,同時(shí)也要大大增加了各個(gè)環(huán)節帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險。
API作為聯(lián)結電商平臺各個(gè)應用之間的“橋梁”,是確保數據傳輸安全和數據處理合規性的最重要通道,同時(shí)也是最容易被惡意攻擊者盯上的目標。
根據Akamai的一項調查,在過(guò)去一年中,亞太和日本 (APJ) 地區所有網(wǎng)絡(luò )攻擊中有15%是針對API的。從全球范圍來(lái)看,亞太及日本地區的API攻擊百分比排名第三,僅次于歐洲、中東和非洲 (EMEA)地區(47.5%)和北美(27.1%)。
全球約86%的企業(yè)利用API來(lái)提升商業(yè)價(jià)值,這表明API的普遍存在和重要性日益增強。雖然有88%的企業(yè)使用超過(guò)2500個(gè)云應用程序,但只有59%的人聲稱(chēng)他們可以發(fā)現所有正在使用的API。在最近遭到破壞的組織中,有74%的組織在過(guò)去兩年中經(jīng)歷了至少3次與API相關(guān)的破壞。
這項調查還表明,商務(wù)行業(yè)尤其是電商領(lǐng)域成為API攻擊的重災區。在過(guò)去一年中,商務(wù)行業(yè)(愛(ài)愛(ài)攻擊占比44.2%)中包括電商行業(yè),是遭受API攻擊最嚴重的行業(yè)。這是因為電商業(yè)務(wù)涉及大量的在線(xiàn)交易和數據交換,API的使用頻率和復雜度都相對較高。同時(shí),商業(yè)服務(wù)行業(yè)如功能型網(wǎng)站和物流公司等也面臨著(zhù)較高的API攻擊風(fēng)險。這些行業(yè)中的API不僅用于內部系統間的通信,還常常需要與外部合作伙伴進(jìn)行數據交換,因此其安全性尤為重要。
近年來(lái)層出不窮的與API相關(guān)的數據泄露事件證明,API風(fēng)險給各行各業(yè)都帶來(lái)了數據安全的巨大挑戰。尤其是電商企業(yè)更需要清晰認識到API安全的風(fēng)險形勢,并盡快尋找應對風(fēng)險的最佳方法。
引入AI技術(shù)防御
電商平臺的API所涉及的業(yè)務(wù)場(chǎng)景非常繁雜,承載API服務(wù)的安全要求和防護措施存在很大的差異性,這導致電商企業(yè)難以用統一的方案落實(shí)安全防護。
由于不同的安全管控階段和API所處的位置不同,對API安全防護的要求也有很大區別,這就要求對各個(gè)API的防護模式要按需隨時(shí)調整,但大多數電商企業(yè)還難以實(shí)現動(dòng)態(tài)而靈活的安全防范體系。
既然傳統的安全手段已無(wú)法對API提供完善的防護,需要引入更新的技術(shù)完善企業(yè)的網(wǎng)絡(luò )安全體系。例如使用AI技術(shù)的智能化防御API惡意攻擊,借助機器學(xué)習算法來(lái)對惡意攻擊進(jìn)行快速識別,并動(dòng)態(tài)地采取相應防御措施,從而提高網(wǎng)絡(luò )整體安全性。
Akamai大中華區產(chǎn)品市場(chǎng)經(jīng)理 劉炅
Akamai大中華區產(chǎn)品市場(chǎng)經(jīng)理劉炅表示,Akamai已在使用AI大模型技術(shù)來(lái)幫助企業(yè)檢測異常、攻擊、撞庫攻擊、帳戶(hù)盜竊和其他挑戰。
在人工智能大模型的驅動(dòng)下,更復雜、更大規模的網(wǎng)絡(luò )攻擊也更有可能發(fā)生。對此,Akamai希望加強其產(chǎn)品的防御性,包括提高產(chǎn)品成熟度、防御系統和產(chǎn)品多樣性,以應對惡意軟件和機器人的惡意攻擊。
Akamai App & API Protector提供自適應安全保護引擎,自動(dòng)推送企業(yè)應用程序和API的更新保護措施。借助Akamai管理的更新和機器學(xué)習驅動(dòng)的自主調整,可以盡可能減少企業(yè)安全運維人員的工作量,從而無(wú)需耗時(shí)的手動(dòng)維護。
API Security ShadowHunt是一項托管威脅搜尋服務(wù),可通過(guò)精通API威脅搜尋的專(zhuān)家分析師來(lái)擴展企業(yè)的安全團隊。API Security ShadowHunt是一種外包解決方案,可幫助企業(yè)降低風(fēng)險,非常適合人手不足的團隊或缺乏API安全專(zhuān)業(yè)知識的團隊。威脅獵手作為企業(yè)安全團隊的延伸,檢測并報告隱藏在A(yíng)PI流量中的最秘密、最模糊的攻擊。
網(wǎng)絡(luò )安全從來(lái)都是一場(chǎng)攻防博弈的持久戰,需要業(yè)界參與者不斷地對防護措施進(jìn)行改進(jìn)與完善,才能夠有效保障企業(yè)和用戶(hù)的權益與數據安全。
可以預見(jiàn)的是,未來(lái)AI技術(shù)在A(yíng)PI安全防御方面會(huì )應用的越來(lái)越廣泛。隨著(zhù)這些AI模型的成熟深入應用,也會(huì )有更多更好的AI算法被不斷發(fā)掘出來(lái),從而提高企業(yè)安全防御系統的準確性和實(shí)時(shí)性。
當然,隨著(zhù)惡意攻擊手段的不斷翻新和變化,AI算法也需要不斷地升級和迭代,如此才能讓以此為基的安全防護措施可以快速適應不同類(lèi)型和形式的未知惡意攻擊。