但在這場數(shù)字化變革的背后,物流企業(yè)正面臨日益嚴(yán)峻的API安全威脅。2023年某快遞巨頭的API漏洞事件導(dǎo)致超過500萬用戶數(shù)據(jù)泄露,直接經(jīng)濟損失超2.3億美元,這為整個物流行業(yè)敲響了安全警鐘。
物流業(yè)API安全四重風(fēng)險
物流業(yè)API每天處理著客戶隱私、商業(yè)機密和運營數(shù)據(jù),這些敏感信息泄露不僅可能讓客戶的隱私泄露,更可能引發(fā)商業(yè)危機及經(jīng)濟損失。
特別是在承運商、代理商、終端客戶多方協(xié)作的場景下,細(xì)粒度訪問控制缺失將導(dǎo)致權(quán)限邊界模糊,攻擊者很可能通過中間人攻擊等手段劫持API訪問,對整個供應(yīng)鏈造成嚴(yán)重危害。
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示:線上成交的商品基本上都需要通過快遞送到用戶手中,所以快遞的數(shù)量和物流的工作量也會隨之大幅增加。客戶端的交互基本上是通過API來完成的,因此在購物季的線上消費過程中,API的流量占比非常大。
劉燁 Akamai北亞區(qū)技術(shù)總監(jiān)
在電商中,登錄、下單、購物車、支付等功能都離不開API,API是構(gòu)建這些應(yīng)用的重要組成部分。不僅是面向消費者(To C)的場景,內(nèi)部系統(tǒng)之間的數(shù)據(jù)交換也離不開API。
因此,無論是程序內(nèi)部模塊之間,還是商家與上下游企業(yè)之間,API的調(diào)用和交互已經(jīng)成為主流。這也意味著,API的攻擊面在不斷擴大。特別是在銷售額巨大的購物季,由于數(shù)據(jù)量激增和用戶交易頻繁,網(wǎng)絡(luò)犯罪活動也會變得更加活躍。
對于API可能面臨的安全風(fēng)險點,劉燁認(rèn)為,傳統(tǒng)方式有很大局限性:
• API庫存不全。企業(yè)在管理API時,可能缺乏對API的全面可視性。如果企業(yè)對于API的“庫存”沒有完整的盤點,那么在高負(fù)載場景下(如購物季),這些“影子API”可能會成為安全隱患,并導(dǎo)致數(shù)據(jù)泄露或濫用。
• 可觀察性有限。企業(yè)在管理API訪問權(quán)限和控制時,可能缺乏足夠的可視性和控制力。如果企業(yè)無法清晰了解這些信息,就很難對API的訪問進(jìn)行有效控制,尤其是在購物季這種流量暴增的情況下,攻擊者可能利用這一點進(jìn)行惡意調(diào)用。
• 缺乏運行時控制。即使在運行時,企業(yè)對API的調(diào)用行為也可能缺乏足夠的檢測和控制能力。一個惡意用戶通過API查詢訂單或庫存信息,他可能偽造不同的用戶ID,不斷查詢其他用戶的訂單、庫存或物流信息。因此,企業(yè)需要在運行時對API調(diào)用進(jìn)行實時監(jiān)控,并基于行為模式識別潛在風(fēng)險,而這在傳統(tǒng)方法中往往很難實現(xiàn)。
• 測試不足。在傳統(tǒng)的開發(fā)流程中,API的安全測試往往被忽視,或者僅在開發(fā)后期才進(jìn)行。例如,在開發(fā)過程中,如果沒有對API的認(rèn)證、權(quán)限管理、異常調(diào)用等進(jìn)行充分測試,那么在應(yīng)用上線后,這些問題可能會被攻擊者利用。因此,企業(yè)需要在開發(fā)階段就將API安全測試左移,及時發(fā)現(xiàn)并修復(fù)潛在問題。
物流API安全防護(hù)體系構(gòu)建
構(gòu)建API安全防護(hù)體系需要從技術(shù)、管理和運營三個維度入手,形成立體化的防護(hù)架構(gòu)。在技術(shù)層面,需要建立包括身份認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)、威脅檢測在內(nèi)的多層次防護(hù)機制。在管理層面,需要制定完善的API安全策略和規(guī)范,建立API全生命周期安全管理流程。在運營層面,需要建立持續(xù)監(jiān)控、快速響應(yīng)、動態(tài)優(yōu)化的安全運營機制。
為了解決API安全問題,Akamai于2024年6月收購了Noname公司。Noname專注于API安全,通過與Akamai的產(chǎn)品結(jié)合,可以幫助用戶更好地應(yīng)對API濫用和風(fēng)險。劉燁表示:無論是在購物季的電商和物流行業(yè),還是在金融、游戲、高科技制造等領(lǐng)域,這套解決方案都可以幫助企業(yè):
• 提高對API的可視性,準(zhǔn)確掌握API的調(diào)用情況。
• 識別和阻止異常調(diào)用行為。
• 實現(xiàn)API安全測試的自動化和左移。
Noname的解決方案能夠覆蓋四種API調(diào)用類型(外部API、內(nèi)部API、第三方合作伙伴API、調(diào)用第三方API),并為每種調(diào)用類型提供針對性的安全防護(hù)。
API安全解決方案的獨特價值在于能夠理解API的上下文和業(yè)務(wù)邏輯,將單一請求放入整體環(huán)境中分析,識別出潛在的復(fù)雜風(fēng)險。例如,當(dāng)一個用戶頻繁更換ID查詢其他用戶的訂單時,單次請求可能看似正常,但結(jié)合全局行為后會發(fā)現(xiàn)異常。這類問題需要通過API安全產(chǎn)品來解決。
劉燁解釋到,Akamai的安全解決方案分為幾個部分:首先,保護(hù)用戶的訪問,例如Zero Trust(零信任)解決方案;其次,保護(hù)應(yīng)用,包括WAF(Web應(yīng)用防火墻)、爬蟲管理,以及不斷更新的內(nèi)容保護(hù)和防止內(nèi)容被爬取的產(chǎn)品;第三,保護(hù)應(yīng)用基礎(chǔ)架構(gòu),比如DNS、網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)中心的安全。
除此之外,劉燁還提供了兩個新的解決方案:
• API安全解決方案:專注于API邏輯安全的防護(hù),幫助客戶應(yīng)對API可能存在的風(fēng)險。
• 零信任微分段解決方案:如果由于應(yīng)用漏洞或API漏洞導(dǎo)致數(shù)據(jù)中心被攻破或植入惡意軟件,“零信任”微分段解決方案可以隔離內(nèi)部網(wǎng)絡(luò),防止惡意軟件在數(shù)據(jù)中心內(nèi)傳播。
通過多年的自主研發(fā)和收購,Akamai不斷完善自身的安全架構(gòu),針對不同的業(yè)務(wù)場景、應(yīng)用和行業(yè),幫助客戶從網(wǎng)絡(luò)、應(yīng)用到業(yè)務(wù)邏輯層面實現(xiàn)更高的安全性和可靠性。這讓客戶能夠更加放心地為用戶提供服務(wù)。
在物流行業(yè)數(shù)字化進(jìn)程中,API安全已從技術(shù)問題升維為企業(yè)戰(zhàn)略議題。未來的智慧物流競爭,本質(zhì)上是安全能力的競爭。只有將API安全融入供應(yīng)鏈每個數(shù)字觸點,才能在數(shù)字化物流版圖重構(gòu)中贏得先機。
