但在这场数字化变革的背后,物流企业正面临日益严峻的API安全威胁。2023年某快递巨头的API漏洞事件导致超过500万用户数据泄露,直接经济损失超2.3亿美元,这为整个物流行业敲响了安全警钟。
物流业API安全四重风险
物流业API每天处理着客户隐私、商业机密和运营数据,这些敏感信息泄露不仅可能让客户的隐私泄露,更可能引发商业危机及经济损失。
特别是在承运商、代理商、终端客户多方协作的场景下,细粒度访问控制缺失将导致权限边界模糊,攻击者很可能通过中间人攻击等手段劫持API访问,对整个供应链造成严重危害。
Akamai北亚区技术总监刘烨表示:线上成交的商品基本上都需要通过快递送到用户手中,所以快递的数量和物流的工作量也会随之大幅增加。客户端的交互基本上是通过API来完成的,因此在购物季的线上消费过程中,API的流量占比非常大。
刘烨 Akamai北亚区技术总监
在电商中,登录、下单、购物车、支付等功能都离不开API,API是构建这些应用的重要组成部分。不仅是面向消费者(To C)的场景,内部系统之间的数据交换也离不开API。
因此,无论是程序内部模块之间,还是商家与上下游企业之间,API的调用和交互已经成为主流。这也意味着,API的攻击面在不断扩大。特别是在销售额巨大的购物季,由于数据量激增和用户交易频繁,网络犯罪活动也会变得更加活跃。
对于API可能面临的安全风险点,刘烨认为,传统方式有很大局限性:
• API库存不全。企业在管理API时,可能缺乏对API的全面可视性。如果企业对于API的“库存”没有完整的盘点,那么在高负载场景下(如购物季),这些“影子API”可能会成为安全隐患,并导致数据泄露或滥用。
• 可观察性有限。企业在管理API访问权限和控制时,可能缺乏足够的可视性和控制力。如果企业无法清晰了解这些信息,就很难对API的访问进行有效控制,尤其是在购物季这种流量暴增的情况下,攻击者可能利用这一点进行恶意调用。
• 缺乏运行时控制。即使在运行时,企业对API的调用行为也可能缺乏足够的检测和控制能力。一个恶意用户通过API查询订单或库存信息,他可能伪造不同的用户ID,不断查询其他用户的订单、库存或物流信息。因此,企业需要在运行时对API调用进行实时监控,并基于行为模式识别潜在风险,而这在传统方法中往往很难实现。
• 测试不足。在传统的开发流程中,API的安全测试往往被忽视,或者仅在开发后期才进行。例如,在开发过程中,如果没有对API的认证、权限管理、异常调用等进行充分测试,那么在应用上线后,这些问题可能会被攻击者利用。因此,企业需要在开发阶段就将API安全测试左移,及时发现并修复潜在问题。
物流API安全防护体系构建
构建API安全防护体系需要从技术、管理和运营三个维度入手,形成立体化的防护架构。在技术层面,需要建立包括身份认证、访问控制、数据保护、威胁检测在内的多层次防护机制。在管理层面,需要制定完善的API安全策略和规范,建立API全生命周期安全管理流程。在运营层面,需要建立持续监控、快速响应、动态优化的安全运营机制。
为了解决API安全问题,Akamai于2024年6月收购了Noname公司。Noname专注于API安全,通过与Akamai的产品结合,可以帮助用户更好地应对API滥用和风险。刘烨表示:无论是在购物季的电商和物流行业,还是在金融、游戏、高科技制造等领域,这套解决方案都可以帮助企业:
• 提高对API的可视性,准确掌握API的调用情况。
• 识别和阻止异常调用行为。
• 实现API安全测试的自动化和左移。
Noname的解决方案能够覆盖四种API调用类型(外部API、内部API、第三方合作伙伴API、调用第三方API),并为每种调用类型提供针对性的安全防护。
API安全解决方案的独特价值在于能够理解API的上下文和业务逻辑,将单一请求放入整体环境中分析,识别出潜在的复杂风险。例如,当一个用户频繁更换ID查询其他用户的订单时,单次请求可能看似正常,但结合全局行为后会发现异常。这类问题需要通过API安全产品来解决。
刘烨解释到,Akamai的安全解决方案分为几个部分:首先,保护用户的访问,例如Zero Trust(零信任)解决方案;其次,保护应用,包括WAF(Web应用防火墙)、爬虫管理,以及不断更新的内容保护和防止内容被爬取的产品;第三,保护应用基础架构,比如DNS、网络架构和数据中心的安全。
除此之外,刘烨还提供了两个新的解决方案:
• API安全解决方案:专注于API逻辑安全的防护,帮助客户应对API可能存在的风险。
• 零信任微分段解决方案:如果由于应用漏洞或API漏洞导致数据中心被攻破或植入恶意软件,“零信任”微分段解决方案可以隔离内部网络,防止恶意软件在数据中心内传播。
通过多年的自主研发和收购,Akamai不断完善自身的安全架构,针对不同的业务场景、应用和行业,帮助客户从网络、应用到业务逻辑层面实现更高的安全性和可靠性。这让客户能够更加放心地为用户提供服务。
在物流行业数字化进程中,API安全已从技术问题升维为企业战略议题。未来的智慧物流竞争,本质上是安全能力的竞争。只有将API安全融入供应链每个数字触点,才能在数字化物流版图重构中赢得先机。
