HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

An ninh API trong ngành bán lẻ & thương mại điện tử: Thách thức và giải pháp

20/06/2025
Trong kỷ nguyên số hóa bùng nổ, các API đang là động lực chính của ngành bán lẻ và thương mại điện tử. Tuy nhiên, chúng cũng trở thành mục tiêu hàng đầu của các cuộc tấn công mạng, gây ra những thiệt hại đáng kể về tài chính và con người. Báo cáo "Nghiên cứu Tác động Bảo mật API 2024" của Akamai đã đưa ra bức tranh toàn cảnh về tình hình này.

Mối đe dọa API đang leo thang

Các API, dù là xương sống cho các sáng kiến kỹ thuật số, đang bị tấn công liên tục. Kẻ gian lận sử dụng các phương pháp ngày càng tinh vi để truy cập dữ liệu trong các API không được bảo vệ, nhằm đánh cắp dữ liệu thẻ tín dụng, rút tiền từ các chương trình khách hàng thân thiết hoặc khởi động các cuộc tấn công nhồi nhét thông tin đăng nhập.

Theo khảo sát của Akamai với hơn 1.200 chuyên gia IT và bảo mật, 68% các công ty bán lẻ và thương mại điện tử đã trải qua các sự cố bảo mật API trong 12 tháng qua. Hậu quả không chỉ dừng lại ở tài chính mà còn ảnh hưởng đến yếu tố con người. Chi phí trung bình để giải quyết một sự cố API trong ngành này lên tới 526.531 đô la Mỹ. Ngoài ra, căng thẳng gia tăng cho đội ngũ và uy tín bị tổn hại với ban lãnh đạo cấp cao cũng là những tác động đáng kể.

Tấn công gia tăng, khả năng hiển thị giảm

Mặc dù 68% doanh nghiệp trong ngành báo cáo sự cố API, con số này vẫn thấp hơn mức trung bình 84% trên tất cả các ngành được khảo sát. Điều này có thể cho thấy các đội ngũ bảo mật của ngành bán lẻ và thương mại điện tử đã nhận thức được tầm quan trọng của bảo vệ API và đang nỗ lực giảm thiểu sự cố. Tuy nhiên, một phát hiện đáng lo ngại là các đội ngũ này có thể không nhìn thấy mọi trường hợp lạm dụng API.

Việc phân biệt hoạt động API hợp lệ và độc hại vẫn là một thách thức lớn. Dù 67% doanh nghiệp bán lẻ và thương mại điện tử có kho kiểm kê API đầy đủ, nhưng chỉ 29% trong số đó biết API nào trả về dữ liệu nhạy cảm (như thông tin nhận dạng cá nhân - PII hoặc chi tiết thẻ tín dụng).

Hãy tưởng tượng một API được triển khai mà không có sự giám sát từ đội ngũ IT trung tâm. API đó có thể đã:

  • Được xây dựng mà không có kiểm soát ủy quyền phù hợp và chưa được kiểm tra cấu hình sai đầy đủ.
  • Được thay thế bằng phiên bản mới nhưng không bị hủy kích hoạt, vẫn còn tiếp xúc với internet.
  • Vượt qua các công cụ truyền thống không thể phát hiện API không được quản lý.
  • Bị kẻ gian lận khai thác để truy cập tài khoản khách hàng thân thiết và đổi tiền mặt.

Đây không chỉ là lý thuyết. Theo LexisNexis® Risk Solutions’ 2023 True Cost of Fraud™ Study, 50% tổn thất gian lận có thể bắt nguồn từ việc lạm dụng API để mở tài khoản mới hàng loạt.

Các nguyên nhân hàng đầu gây ra sự cố API được các nhóm bảo mật bán lẻ nêu ra

Tác động của sự cố API 

Theo Hướng dẫn Thị trường Gartner® về Bảo vệ API tháng 5 năm 2024, "Dữ liệu hiện tại cho thấy rằng mỗi vụ vi phạm API trung bình dẫn đến việc rò rỉ dữ liệu nhiều hơn ít nhất 10 lần so với một vụ vi phạm bảo mật thông thường." Điều này giải thích tại sao quy định PCI DSS v4.0 đã bổ sung các yêu cầu về bảo mật API. Các công ty và cơ quan quản lý cần biết loại dữ liệu nào đang di chuyển không chỉ qua API của chính họ mà còn qua API của các đối tác và nhà cung cấp, thêm một thách thức trong việc quản lý rủi ro bên thứ ba.

Mất lòng tin của các cơ quan quản lý có thể dẫn đến tăng cường giám sát, thêm công việc cho các đội ngũ quá tải và các khoản tiền phạt tốn kém. Đã có 3 quốc gia được khảo sát chia sẻ tác động tài chính ước tính của các sự cố bảo mật API mà họ đã trải qua trong 12 tháng qua, và dưới đây là kết quả: 

thiệt hại tài chính của những sự cố bảo mật API

Mặc dù tác động tài chính là đáng kể, nhưng điều mà những người tham gia nghiên cứu nhấn mạnh là "thiệt hại về mặt con người": căng thẳng và áp lực lên các đội ngũ.

5 tác động hàng đầu của sự cố bảo mật API đối với các công ty bán lẻ và TMĐT

Giảm rủi ro bằng bảo mật API chủ động

Các cuộc tấn công API nhằm vào các công ty bán lẻ và thương mại điện tử đang gia tăng về phạm vi, quy mô và mức độ tinh vi. Điều này bao gồm cả các cuộc tấn công bot do GenAI thúc đẩy, chúng nhanh chóng thích ứng để vượt qua các công cụ bảo mật API truyền thống.

Để bảo vệ doanh thu và giảm gánh nặng cho đội ngũ bảo mật, đồng thời bảo toàn niềm tin của ban giám đốc và khách hàng, các tổ chức cần hành động ngay lập tức để bảo mật tốt hơn API của mình và dữ liệu chúng trao đổi. Các bước này bao gồm việc xây dựng kiến thức của đội ngũ về các mối đe dọa API nâng cao và các khả năng phòng thủ cần thiết.

Nguồn: 2024 API Security Impact Study: Retail and Ecommerce Industry  

Về Akamai

Với tư cách là nhà cung cấp hàng đầu về an ninh mạng và điện toán đám mây, Akamai đưa ra các giải pháp tiên tiến để giải quyết trực tiếp những rủi ro được nêu trong báo cáo này. Các giải pháp của Akamai được thiết kế để bảo vệ toàn diện các API của bạn, từ việc tự động khám phá và quản lý API bóng ma đến bảo vệ chống lại các cuộc tấn công tinh vi do GenAI điều khiển, đảm bảo dữ liệu nhạy cảm được bảo vệ và doanh nghiệp của bạn hoạt động an toàn trong bối cảnh mối đe dọa không ngừng phát triển.

VietSunshine là nhà phân phối của Akamai tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.
Akamai
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm