618再引電商API安全 AI技術(shù)能否大用

一年一度的618購物大幕又將拉開,必然會讓很多消費者得到搶購狂歡后的實惠。不過,在這令電商們歡愉的氛圍背后,卻是網(wǎng)絡(luò)攻擊者們的伺機而動。

電商行業(yè)一直都是惡意攻擊者們青睞的目標,因為這里有線上的交易數(shù)據(jù)、用戶賬戶信息以用資金等密切相關(guān)的敏感數(shù)據(jù)。一旦潛在的漏洞隱患被加以非法利用,往往成為及攻擊者非法獲取利益的來源。

API遇安全風險

無論對于電商企業(yè)還是消費者,業(yè)務(wù)系統(tǒng)被攻擊、用戶數(shù)據(jù)遭泄露等都會造成難以估量的損失。電商企業(yè)面臨的是信譽受損乃至信任度下降,銷售業(yè)績等核心數(shù)據(jù)可能有暴露的風險,而消費者直面的將可能是個人信息泄露甚至是資金財產(chǎn)的損失。

所以在電商平臺中,確保交易過程和數(shù)據(jù)的安全性是至關(guān)重要的。但在大促時,電商平臺不僅要承受著網(wǎng)站、App、小程序、直播軟件等各方網(wǎng)絡(luò)流量的增加,同時也要大大增加了各個環(huán)節(jié)帶來的網(wǎng)絡(luò)安全風險。

API作為聯(lián)結(jié)電商平臺各個應(yīng)用之間的“橋梁”,是確保數(shù)據(jù)傳輸安全和數(shù)據(jù)處理合規(guī)性的最重要通道,同時也是最容易被惡意攻擊者盯上的目標。

根據(jù)Akamai的一項調(diào)查,在過去一年中,亞太和日本 (APJ) 地區(qū)所有網(wǎng)絡(luò)攻擊中有15%是針對API的。從全球范圍來看,亞太及日本地區(qū)的API攻擊百分比排名第三,僅次于歐洲、中東和非洲 (EMEA)地區(qū)(47.5%)和北美(27.1%)。

全球約86%的企業(yè)利用API來提升商業(yè)價值,這表明API的普遍存在和重要性日益增強。雖然有88%的企業(yè)使用超過2500個云應(yīng)用程序,但只有59%的人聲稱他們可以發(fā)現(xiàn)所有正在使用的API。在最近遭到破壞的組織中,有74%的組織在過去兩年中經(jīng)歷了至少3次與API相關(guān)的破壞。

這項調(diào)查還表明,商務(wù)行業(yè)尤其是電商領(lǐng)域成為API攻擊的重災區(qū)。在過去一年中,商務(wù)行業(yè)(愛愛攻擊占比44.2%)中包括電商行業(yè),是遭受API攻擊最嚴重的行業(yè)。這是因為電商業(yè)務(wù)涉及大量的在線交易和數(shù)據(jù)交換,API的使用頻率和復雜度都相對較高。同時,商業(yè)服務(wù)行業(yè)如功能型網(wǎng)站和物流公司等也面臨著較高的API攻擊風險。這些行業(yè)中的API不僅用于內(nèi)部系統(tǒng)間的通信,還常常需要與外部合作伙伴進行數(shù)據(jù)交換,因此其安全性尤為重要。

近年來層出不窮的與API相關(guān)的數(shù)據(jù)泄露事件證明,API風險給各行各業(yè)都帶來了數(shù)據(jù)安全的巨大挑戰(zhàn)。尤其是電商企業(yè)更需要清晰認識到API安全的風險形勢,并盡快尋找應(yīng)對風險的最佳方法。

引入AI技術(shù)防御

電商平臺的API所涉及的業(yè)務(wù)場景非常繁雜,承載API服務(wù)的安全要求和防護措施存在很大的差異性,這導致電商企業(yè)難以用統(tǒng)一的方案落實安全防護。

由于不同的安全管控階段和API所處的位置不同,對API安全防護的要求也有很大區(qū)別,這就要求對各個API的防護模式要按需隨時調(diào)整,但大多數(shù)電商企業(yè)還難以實現(xiàn)動態(tài)而靈活的安全防范體系。

既然傳統(tǒng)的安全手段已無法對API提供完善的防護,需要引入更新的技術(shù)完善企業(yè)的網(wǎng)絡(luò)安全體系。例如使用AI技術(shù)的智能化防御API惡意攻擊,借助機器學習算法來對惡意攻擊進行快速識別,并動態(tài)地采取相應(yīng)防御措施,從而提高網(wǎng)絡(luò)整體安全性。

Akamai大中華區(qū)產(chǎn)品市場經(jīng)理 劉炅

Akamai大中華區(qū)產(chǎn)品市場經(jīng)理劉炅表示,Akamai已在使用AI大模型技術(shù)來幫助企業(yè)檢測異常、攻擊、撞庫攻擊、帳戶盜竊和其他挑戰(zhàn)。

人工智能大模型的驅(qū)動下,更復雜、更大規(guī)模的網(wǎng)絡(luò)攻擊也更有可能發(fā)生。對此,Akamai希望加強其產(chǎn)品的防御性,包括提高產(chǎn)品成熟度、防御系統(tǒng)和產(chǎn)品多樣性,以應(yīng)對惡意軟件和機器人的惡意攻擊。

Akamai App & API Protector提供自適應(yīng)安全保護引擎,自動推送企業(yè)應(yīng)用程序和API的更新保護措施。借助Akamai管理的更新和機器學習驅(qū)動的自主調(diào)整,可以盡可能減少企業(yè)安全運維人員的工作量,從而無需耗時的手動維護。

API Security ShadowHunt是一項托管威脅搜尋服務(wù),可通過精通API威脅搜尋的專家分析師來擴展企業(yè)的安全團隊。API Security ShadowHunt是一種外包解決方案,可幫助企業(yè)降低風險,非常適合人手不足的團隊或缺乏API安全專業(yè)知識的團隊。威脅獵手作為企業(yè)安全團隊的延伸,檢測并報告隱藏在API流量中的最秘密、最模糊的攻擊。

網(wǎng)絡(luò)安全從來都是一場攻防博弈的持久戰(zhàn),需要業(yè)界參與者不斷地對防護措施進行改進與完善,才能夠有效保障企業(yè)和用戶的權(quán)益與數(shù)據(jù)安全。

可以預見的是,未來AI技術(shù)在API安全防御方面會應(yīng)用的越來越廣泛。隨著這些AI模型的成熟深入應(yīng)用,也會有更多更好的AI算法被不斷發(fā)掘出來,從而提高企業(yè)安全防御系統(tǒng)的準確性和實時性。

當然,隨著惡意攻擊手段的不斷翻新和變化,AI算法也需要不斷地升級和迭代,如此才能讓以此為基的安全防護措施可以快速適應(yīng)不同類型和形式的未知惡意攻擊。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )