數(shù)字化趨勢下，快消企業(yè)幾乎把大部分業(yè)務(wù)包括核心業(yè)務(wù)都搬到了線上，并越來越依賴API整合大量系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互。但同時，通過API獲取數(shù)據(jù)的攻擊也越來越受到黑客的歡迎，傳統(tǒng)安全產(chǎn)品在應(yīng)對新型API攻擊時也逐漸力不從心。

為了解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn)，彌補(bǔ)傳統(tǒng)安全產(chǎn)品的不足，瑞數(shù)信息推出瑞數(shù)API安全管控平臺（API BotDefender），從API的資產(chǎn)管理、敏感數(shù)據(jù)管控、訪問行為管控、API風(fēng)險(xiǎn)識別與管控等維度，體系化保障API安全。

目前，瑞數(shù)API安全管控平臺（API BotDefender）已成功應(yīng)用在多個快消企業(yè)中，其中不乏行業(yè)頭部企業(yè)。以下為兩個典型的快消企業(yè)API安全治理實(shí)踐案例。

案例一

某知名餐飲零售連鎖企業(yè)

某知名餐飲零售連鎖企業(yè)，擁有過億的全球用戶，其線上應(yīng)用日活已超3000萬。該企業(yè)基于行業(yè)領(lǐng)先的IT建設(shè)，采用了主流的動靜分離架構(gòu)，核心業(yè)務(wù)都在API接口上，同時為了保證業(yè)務(wù)安全，很早就部署了傳統(tǒng)API網(wǎng)關(guān)、WAF、風(fēng)控等安全產(chǎn)品。

然而，該企業(yè)已有的API網(wǎng)關(guān)更多是在鑒權(quán)層面起到作用，缺少API安全層面的發(fā)現(xiàn)和管控。部署的傳統(tǒng)WAF基于規(guī)則庫，則對于該企業(yè)來說是個黑盒子，只能看到攔截效果，無法透視業(yè)務(wù)威脅，也無法從業(yè)務(wù)角度進(jìn)行安全分析。而風(fēng)控產(chǎn)品，由于缺乏和安全平臺的聯(lián)動，無法幫助該企業(yè)識別惡意行為。

因此，該企業(yè)采用了瑞數(shù)API安全管控平臺（API BotDefender），以對API安全進(jìn)行全方位的管理和保護(hù)。部署后，通過瑞數(shù)API資產(chǎn)管理功能，該企業(yè)很快發(fā)現(xiàn)了一批未被清點(diǎn)、臨時接口未關(guān)閉的API資產(chǎn)；通過API異常行為管控功能，更發(fā)現(xiàn)了大量異常行為和背后的異常賬號設(shè)備，并實(shí)施了批量封堵處理。

例如，該企業(yè)采用一種線上下單、店內(nèi)取貨的模式，經(jīng)瑞數(shù)API安全管控平臺溯源發(fā)現(xiàn)，某用戶的手機(jī)號碼在24小時內(nèi)就連續(xù)下單超過50次，這顯然不符合正常用戶的使用邏輯。同時，瑞數(shù)API BotDefender還發(fā)現(xiàn)涉及這種異常行為的設(shè)備高達(dá)230個，其中有80個設(shè)備在1小時內(nèi)使用了5個以上的賬號進(jìn)行下單，總共涉及1540個手機(jī)號——這些傳統(tǒng)安全產(chǎn)品無法識別的異常行為，都在瑞數(shù)API BotDefender平臺上清晰地展示出來，并能夠被實(shí)時攔截。

此外，除了API資產(chǎn)管理和API異常行為管控功能，瑞數(shù)API BotDefender還為該企業(yè)提供了全生命周期的API安全能力，不僅覆蓋OWASP API Security Top10的攻擊防御，并且通過API業(yè)務(wù)威脅模型，可以快速應(yīng)對諸如爬蟲、撞庫等一系列API的業(yè)務(wù)安全攻擊，為該企業(yè)的API安全提供了全面防護(hù)。

案例二

某知名保健美容零售連鎖企業(yè)

某知名健康美容零售連鎖企業(yè)在全球擁有數(shù)千萬活躍會員，其龐大的業(yè)務(wù)體量，使得該企業(yè)一直將信息安全作為其IT建設(shè)中的重中之重。為了保護(hù)線上業(yè)務(wù)安全，該企業(yè)自2017年起一直采用瑞數(shù)動態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate，對大量機(jī)器人攻擊行為、薅羊毛、安全攻擊等行為進(jìn)行了有效防護(hù)。

隨著該企業(yè)更多的業(yè)務(wù)交易從線下轉(zhuǎn)移到線上，數(shù)字化營銷程度不斷深入，微信小程序成為其開展業(yè)務(wù)和營銷活動的主要線上渠道之一，API接口數(shù)量隨之快速增長，通過API接口發(fā)起的攻擊也越來越多。攻擊者試圖通過API越權(quán)訪問會員信息，批量獲取用戶隱私信息，這讓該企業(yè)意識到應(yīng)迅速加強(qiáng)API防護(hù)。

2020年，該企業(yè)在原有的瑞數(shù)動態(tài)應(yīng)用保護(hù)系統(tǒng)基礎(chǔ)上，擴(kuò)展了API BotDefender模塊，補(bǔ)充API防護(hù)能力，在以下四方面獲得了立竿見影的效果：

數(shù)字化浪潮中，快消企業(yè)必須面對愈加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，與黑產(chǎn)進(jìn)行持續(xù)升級的對抗。瑞數(shù)API BotDefender作為API防護(hù)的創(chuàng)新方案，基于瑞數(shù)獨(dú)有的“動態(tài)安全+AI”核心技術(shù)，能夠?yàn)榭煜髽I(yè)建立完整的API資產(chǎn)感知、發(fā)現(xiàn)、監(jiān)測、管控能力，有效保護(hù)企業(yè)的業(yè)務(wù)安全和數(shù)據(jù)安全。