劉燁 Akamai北亞區(qū)技術(shù)總監(jiān)
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁告訴記者,在物流和電商企業(yè)中����,API主要分為四類�。
1、外部API:它是與最終使用者交互的API�,像用戶在手機APP上進行電商交易的登錄、下單�,以及在物流網(wǎng)站查詢包裹信息等操作,都通過外部API完成����。這類API暴露在互聯(lián)網(wǎng)上,與用戶直接交互�����,調(diào)用需認證,但用戶身份難以確定�,風險相對較高。
2�����、內(nèi)部API:用于企業(yè)內(nèi)部多個應用之間的交互��,如應用不同模塊的數(shù)據(jù)交換或業(yè)務(wù)單元間的服務(wù)調(diào)用�。因其在企業(yè)內(nèi)部環(huán)境中被嚴格管控,外部攻擊者難以直接訪問���,所以風險相對較低��。
3�、第三方合作伙伴API:是企業(yè)向合作伙伴開放的API��,例如電商與物流公司合作時創(chuàng)建訂單����、查詢訂單狀態(tài)的API調(diào)用,屬于B2B場景��。企業(yè)雖無法完全控制合作伙伴行為,但可部分控制API開放范圍���,風險介于外部API和內(nèi)部API之間�。
4��、調(diào)用第三方API:企業(yè)使用第三方服務(wù)時的API調(diào)用���,如物流公司調(diào)用第三方支付平臺API�。其安全性主要取決于第三方服務(wù)提供商��,企業(yè)可監(jiān)控調(diào)用過程�����,但真正的API安全由第三方負責 �。
API安全在物流行業(yè)的關(guān)鍵作用與現(xiàn)存問題
劉燁表示����,API安全在物流行業(yè)至關(guān)重要。它能幫助企業(yè)清晰了解自身API資產(chǎn)�,防止API被濫用,避免未經(jīng)認證或授權(quán)的訪問���,同時針對應用程序漏洞防止敏感信息泄露�����。在數(shù)據(jù)保護方面��,API安全作用突出���,許多數(shù)據(jù)泄露問題源于API的不當使用��、開發(fā)設(shè)計缺陷和測試不足�����,做好API安全工作可有效避免這些情況��。
然而����,企業(yè)在管理API方面存在諸多局限性�。API庫存不全,企業(yè)可能不清楚自身開放的API數(shù)量�����、調(diào)用方式,還可能存在“影子API”�����,在高負載場景下易引發(fā)安全問題�����;可觀察性有限�,難以掌握API訪問權(quán)限、認證方式和實時調(diào)用行為�����,無法有效控制訪問���;缺乏運行時控制�,難以檢測API調(diào)用中的異常頻率和模式����;測試不足����,API安全測試常被忽視或在開發(fā)后期才進行,且多關(guān)注功能性而非安全性。
API濫用情況也屢見不鮮�。如Token過期濫用,攻擊者利用認證Token過期仍可訪問的漏洞反復發(fā)起請求����;惡意用戶改ID獲取數(shù)據(jù),像游戲公司中惡意用戶篡改玩家ID獲取他人數(shù)據(jù)���;DDoS攻擊�����,通過大量API請求快速消耗服務(wù)器資源���。
Akamai與Noname的創(chuàng)新解決方案
為應對這些問題,Akamai收購Noname公司����,推出了全面的API安全解決方案。該方案涵蓋四個關(guān)鍵部分:
1�����、API發(fā)現(xiàn):能幫助企業(yè)精準盤點API“庫存”����。許多企業(yè)對自身API數(shù)量預估不足��,開發(fā)過程中產(chǎn)生的未記錄API易被外部訪問�,Akamai的API發(fā)現(xiàn)工具可有效解決這一問題����。
2、安全態(tài)勢管理:致力于解決開發(fā)過程失誤導致的數(shù)據(jù)泄露問題��,監(jiān)控API返回數(shù)據(jù)��,避免PII等敏感數(shù)據(jù)泄露�。
3、測試:集成的測試模塊可依據(jù)API文檔自動生成測試用例��,模擬終端用戶訪問行為進行滲透測試��,高效發(fā)現(xiàn)API漏洞����。
4、運行保護:利用機器學習學習API正常行為模式形成基線��,實時識別異常行為并發(fā)出告警�,保障API運行安全。
此外����,Akamai還提供了兩個新的解決方案。API安全解決方案專注于API邏輯安全防護��,應對API潛在風險��;零信任微分段解決方案在數(shù)據(jù)中心因API或應用漏洞被攻破時�����,可隔離內(nèi)部網(wǎng)絡(luò)���,防止惡意軟件傳播����。
劉燁說�����,Akamai的API安全解決方案雖并非專為物流行業(yè)定制����,但充分考慮了物流行業(yè)API的特點�����。其圍繞API資產(chǎn)盤點��、安全態(tài)勢管理����、運行時安全管理和安全測試等方面的設(shè)計���,能有效應對物流行業(yè)上下游交互頻繁����、API調(diào)用類型多樣的安全挑戰(zhàn)���。
平衡安全與效率的策略與實踐
在保障物流行業(yè)API安全時���,平衡安全需求和業(yè)務(wù)效率是企業(yè)面臨的重要課題。安全是業(yè)務(wù)順暢運行的前提����,一次安全漏洞可能導致企業(yè)名譽受損、用戶信息泄露和合規(guī)問題,影響長期發(fā)展�����。企業(yè)應在不改變現(xiàn)有業(yè)務(wù)流程的情況下���,借助安全工具、產(chǎn)品和團隊制定貼合業(yè)務(wù)需求的安全策略����。
Akamai建議,企業(yè)的業(yè)務(wù)�����、安全和IT運維負責人應達成共識�����,共同努力����。在管理API方面,企業(yè)可遵循一些最佳實踐:進行API盤點���,全面了解自身API�;建立完善的身份驗證和授權(quán)機制;實施速率限制和訪問控制���,防止資源濫用����;加強監(jiān)控并建立基線�����,及時發(fā)現(xiàn)異常���;定期開展安全審計和滲透測試�。
針對AI生成代碼帶來的新型攻擊方式���,企業(yè)可采取“AI+人”結(jié)合的模式���。Akamai在WAF和Bot識別等安全解決方案中融入AI技術(shù),專業(yè)安全服務(wù)團隊提供咨詢和決策�。同時,Akamai建議企業(yè)選擇安全工具時應注重其AI能力��,如能否通過機器學習建立基線識別攻擊。
物流企業(yè)采用API方式接入大模型技術(shù)時�����,除傳統(tǒng)API安全問題外��,還面臨如“內(nèi)容投毒”等新的安全隱患���。企業(yè)需明確大模型使用規(guī)范,過濾返回內(nèi)容��。
未來安全領(lǐng)域發(fā)展趨勢
劉燁表示���,結(jié)合物流和電商行業(yè)API條目多��、類型復雜的特點�����,未來安全領(lǐng)域有五個重要發(fā)展方向�����。一是強化AI與機器學習在安全防護中的核心作用���,動態(tài)識別和應對復雜威脅�;二是注重動態(tài)安全防護�����,關(guān)注運行時基線變化�����,實現(xiàn)實時保護�����;三是保障供應鏈全鏈路安全��,覆蓋各類API接口�,考慮上下游交互安全;四是推行安全測試左移��,將測試集成到開發(fā)模塊����;五是重視合規(guī)性要求,確保符合行業(yè)和法律規(guī)定�����,應對用戶信息泄露等合規(guī)挑戰(zhàn)。
在電商與物流行業(yè)快速發(fā)展的當下���,API安全是保障行業(yè)穩(wěn)定運行的關(guān)鍵因素�����。Akamai的見解和解決方案為企業(yè)應對API安全挑戰(zhàn)提供了有力支持���,企業(yè)應積極采取措施,平衡安全與效率����,順應安全領(lǐng)域發(fā)展趨勢�,確保業(yè)務(wù)的可持續(xù)發(fā)展。
![]()
算力豹主編
