但在這場數字化變革的背后,物流企業正面臨日益嚴峻的API安全威脅。2023年某快遞巨頭的API漏洞事件導致超過500萬用戶數據泄露,直接經濟損失超2.3億美元,這為整個物流行業敲響了安全警鐘。
物流業API安全四重風險
物流業API每天處理著客戶隱私、商業機密和運營數據,這些敏感信息泄露不僅可能讓客戶的隱私泄露,更可能引發商業危機及經濟損失。
特別是在承運商、代理商、終端客戶多方協作的場景下,細粒度訪問控制缺失將導致權限邊界模糊,攻擊者很可能通過中間人攻擊等手段劫持API訪問,對整個供應鏈造成嚴重危害。
Akamai北亞區技術總監劉燁表示:線上成交的商品基本上都需要通過快遞送到用戶手中,所以快遞的數量和物流的工作量也會隨之大幅增加。客戶端的交互基本上是通過API來完成的,因此在購物季的線上消費過程中,API的流量占比非常大。
劉燁 Akamai北亞區技術總監
在電商中,登錄、下單、購物車、支付等功能都離不開API,API是構建這些應用的重要組成部分。不僅是面向消費者(To C)的場景,內部系統之間的數據交換也離不開API。
因此,無論是程序內部模塊之間,還是商家與上下游企業之間,API的調用和交互已經成為主流。這也意味著,API的攻擊面在不斷擴大。特別是在銷售額巨大的購物季,由于數據量激增和用戶交易頻繁,網絡犯罪活動也會變得更加活躍。
對于API可能面臨的安全風險點,劉燁認為,傳統方式有很大局限性:
• API庫存不全。企業在管理API時,可能缺乏對API的全面可視性。如果企業對于API的“庫存”沒有完整的盤點,那么在高負載場景下(如購物季),這些“影子API”可能會成為安全隱患,并導致數據泄露或濫用。
• 可觀察性有限。企業在管理API訪問權限和控制時,可能缺乏足夠的可視性和控制力。如果企業無法清晰了解這些信息,就很難對API的訪問進行有效控制,尤其是在購物季這種流量暴增的情況下,攻擊者可能利用這一點進行惡意調用。
• 缺乏運行時控制。即使在運行時,企業對API的調用行為也可能缺乏足夠的檢測和控制能力。一個惡意用戶通過API查詢訂單或庫存信息,他可能偽造不同的用戶ID,不斷查詢其他用戶的訂單、庫存或物流信息。因此,企業需要在運行時對API調用進行實時監控,并基于行為模式識別潛在風險,而這在傳統方法中往往很難實現。
• 測試不足。在傳統的開發流程中,API的安全測試往往被忽視,或者僅在開發后期才進行。例如,在開發過程中,如果沒有對API的認證、權限管理、異常調用等進行充分測試,那么在應用上線后,這些問題可能會被攻擊者利用。因此,企業需要在開發階段就將API安全測試左移,及時發現并修復潛在問題。
物流API安全防護體系構建
構建API安全防護體系需要從技術、管理和運營三個維度入手,形成立體化的防護架構。在技術層面,需要建立包括身份認證、訪問控制、數據保護、威脅檢測在內的多層次防護機制。在管理層面,需要制定完善的API安全策略和規范,建立API全生命周期安全管理流程。在運營層面,需要建立持續監控、快速響應、動態優化的安全運營機制。
為了解決API安全問題,Akamai于2024年6月收購了Noname公司。Noname專注于API安全,通過與Akamai的產品結合,可以幫助用戶更好地應對API濫用和風險。劉燁表示:無論是在購物季的電商和物流行業,還是在金融、游戲、高科技制造等領域,這套解決方案都可以幫助企業:
• 提高對API的可視性,準確掌握API的調用情況。
• 識別和阻止異常調用行為。
• 實現API安全測試的自動化和左移。
Noname的解決方案能夠覆蓋四種API調用類型(外部API、內部API、第三方合作伙伴API、調用第三方API),并為每種調用類型提供針對性的安全防護。
API安全解決方案的獨特價值在于能夠理解API的上下文和業務邏輯,將單一請求放入整體環境中分析,識別出潛在的復雜風險。例如,當一個用戶頻繁更換ID查詢其他用戶的訂單時,單次請求可能看似正常,但結合全局行為后會發現異常。這類問題需要通過API安全產品來解決。
劉燁解釋到,Akamai的安全解決方案分為幾個部分:首先,保護用戶的訪問,例如Zero Trust(零信任)解決方案;其次,保護應用,包括WAF(Web應用防火墻)、爬蟲管理,以及不斷更新的內容保護和防止內容被爬取的產品;第三,保護應用基礎架構,比如DNS、網絡架構和數據中心的安全。
除此之外,劉燁還提供了兩個新的解決方案:
• API安全解決方案:專注于API邏輯安全的防護,幫助客戶應對API可能存在的風險。
• 零信任微分段解決方案:如果由于應用漏洞或API漏洞導致數據中心被攻破或植入惡意軟件,“零信任”微分段解決方案可以隔離內部網絡,防止惡意軟件在數據中心內傳播。
通過多年的自主研發和收購,Akamai不斷完善自身的安全架構,針對不同的業務場景、應用和行業,幫助客戶從網絡、應用到業務邏輯層面實現更高的安全性和可靠性。這讓客戶能夠更加放心地為用戶提供服務。
在物流行業數字化進程中,API安全已從技術問題升維為企業戰略議題。未來的智慧物流競爭,本質上是安全能力的競爭。只有將API安全融入供應鏈每個數字觸點,才能在數字化物流版圖重構中贏得先機。
