Akamai劉燁：保障物流行業API安全需要“組合拳”

2025-02-19

【環球網科技報道記者林迪】隨着電商的迅猛發展，物流行業在保障商品流通方面扮演着越來越重要的角色。然而，隨着業務的快速增長，物流行業也面臨着日益複雜的安全挑戰。特別是在購物季期間，電商和物流行業的業務交易量激增，API（應用程序編程接口）成為連接各個業務環節的關鍵紐帶。然而，API的廣泛應用也帶來了諸多安全隱患，尤其是在數據保護和業務邏輯防護方面。

對此，記者近日採訪了Akamai北亞區技術總監劉燁，他詳細剖析了物流行業在API安全方面面臨的挑戰，並提出了相應的解決方案。

劉燁指出，每年年底和年初，全球範圍內都會迎來一個重要的購物季。在美國，過去兩個月的線上成交額高達2410億美元，其中超過50%的交易通過手機完成。這一數據表明，移動端交易在電商行業中佔據了舉足輕重的地位。而手機端的交易，尤其是涉及支付、查詢訂單狀態等功能，大多通過API實現。因此，在購物季期間，API的流量會顯著增加，同時也面臨着更大的安全風險。

“API不僅是電商和物流行業內部系統之間數據交換的橋樑，也是商家與上下游企業之間協作的關鍵。” 劉燁補充道：“然而，隨着API調用量的增加，網絡犯罪活動也變得更加活躍。在過去的12個月中，約有30%-40%的重大數據泄露事件源於API漏洞。這些漏洞可能源於API的濫用、管理不善或風險未被充分識別。”

為了有效應對API安全挑戰，劉燁將企業中的API分為四大類型，並詳細分析了每種類型的安全風險：

首先，外部API，這類API與最終用户直接交互，如登錄、下單、查詢訂單狀態等功能。由於它們暴露在互聯網上，且調用者身份難以確認，因此風險相對較高。其次，內部API，指企業內部不同應用或模塊之間的數據交換。由於這些調用發生在企業內部環境中，因此風險相對較低。然而，如果內部安全管理不善，仍可能引發安全問題。再次，第三方合作伙伴API，這類API用於企業與其合作伙伴之間的數據交換。雖然企業可以部分控制這些API的開放範圍，但合作伙伴的行為仍可能對系統安全構成威脅。最後，調用第三方API，指企業在業務中需要使用第三方服務時調用的外部API。這類API的安全性主要取決於第三方服務提供商的可靠性和安全性。

在他看來，針對這四類API，企業需要採取不同的安全策略和管理措施，以確保API的安全性。“在購物季等高峯期，傳統API安全管理方法可能面臨諸多侷限性。一方面，企業可能缺乏對API的全面可視性，無法準確掌握API的調用情況和潛在風險。另一方面，企業在管理API訪問權限和控制時可能缺乏足夠控制力，難以有效阻止惡意調用。此外，傳統方法在運行時可能缺乏對API調用行為的即時監控和異常檢測能力，難以及時發現和阻止潛在的安全威脅。”

值得關注的是，為了克服這些侷限性，Akamai收購了專注於API安全的Noname公司，並結合自身產品提供了一套全面的API安全解決方案。

據悉，Akamai的API安全解決方案涵蓋了API發現、安全態勢管理、測試和運行保護四個關鍵模塊。其中，API發現幫助企業全面盤點API資產，確保對所有API有清晰的認識和管理；安全態勢管理即時監控API的安全狀態，及時發現潛在威脅，並確保開發過程中不泄露敏感數據；測試通過集成測試模塊，自動生成測試用例並模擬用户訪問行為，以檢測API的安全性；運行保護則是在API上線後，通過機器學習技術學習API的正常行為模式，並即時識別異常行為，及時阻止潛在的安全威脅。

劉燁告訴記者，該解決方案的獨特價值在於能夠理解API的上下文和業務邏輯，將單一請求放入整體環境中分析，從而識別出潛在的複雜風險。例如，當一個用户頻繁更換ID查詢其他用户的訂單時，單次請求可能看似正常，但結合全局行為分析後會發現異常，這類問題可以通過Akamai的API安全產品得到有效解決。

他進一步指出，儘管Akamai提供了專門的API安全解決方案，但傳統安全手段如WAF（Web應用防火牆）和API Gateway仍然不可或缺。WAF負責基礎的流量過濾、認證和訪問控制，能夠防禦過快的請求速率和注入類型的攻擊。而API Gateway則負責用户認證、授權、API管理和配額分配等功能。這些傳統安全手段與Akamai的API安全解決方案相輔相成，共同構建起全面的API安全防護體系。

除此之外，物流行業在API安全方面還面臨着諸多挑戰，例如，“混合雲”和“多雲”環境導致的安全策略不一致性、API資產盤點困難、漏洞探測和攻擊威脅感知不足等。

針對這些挑戰，劉燁稱，Akamai提出了以下應對策略：第一，採用獨立的安全產品，規避“多雲”環境下安全策略不一致的問題，通過專業的第三方安全產品實現統一的策略配置和數據收集。第二，結合管理機制與動態工具，在API資產盤點方面，企業應建立良好的管理機制和文檔，並引入第三方工具進行動態掃描和監控。第三，利用AI和機器學習技術，實現漏洞探測和攻擊威脅感知的動態監控和即時防護。

最後，劉燁總結道：“隨着物流行業的數字化轉型和API的廣泛應用，API安全將面臨更多新的挑戰和機遇。未來，AI與機器學習將在API安全防護中發揮核心作用，實現動態識別和應對複雜的安全威脅。同時，動態安全防護、供應鏈全鏈路安全、安全測試左移和合規性要求也將成為物流行業API安全的重要發展方向。”