Akamai:金融科技平臺如何在日益復(fù)雜的API環(huán)境中應(yīng)對安全挑戰(zhàn)?

  • 人閱讀
  • 2022-12-26 13:33:58

  • 來源:中華網(wǎng)

  • 相關(guān)關(guān)鍵詞

電子錢包應(yīng)用程序如何從個人銀行賬戶中取回資金?在線購物時,信用卡如何能夠順利付款?

這背后少不了應(yīng)用程序編程接口(API)的應(yīng)用。它們是現(xiàn)代應(yīng)用程序和網(wǎng)絡(luò)應(yīng)用程序的構(gòu)建塊,并且必須通過它們才能提供無縫銜接的愉快購物體驗。

你可以把它們想象成餐廳的服務(wù)員——來往于顧客和廚房之間,幫助餐廳更快上菜并提高廚師的工作效率。API一般讓企業(yè)能夠通過一種更加精簡的方式與另一家組織機構(gòu)的服務(wù)進行互動,并且能夠大大改善企業(yè)的自動化流程。

最近的一項調(diào)查發(fā)現(xiàn),使用API的金融科技企業(yè)和保險公司比不使用API的企業(yè)更加能夠通過市場合作來加速現(xiàn)代化和效用。API還讓開發(fā)人員無需從頭開始創(chuàng)建應(yīng)用程序功能,大大減少了工作時間。普通金融科技應(yīng)用程序的每小時成本約為40美元,因此這能夠顯著節(jié)省成本。

然而,隨著使用的增加,風(fēng)險也隨之增加。金融科技平臺是網(wǎng)絡(luò)犯罪分子不可抗拒的目標(biāo)。不僅因為潛在的高利潤回報,而且這些平臺還擁有非常復(fù)雜的API環(huán)境。

隨著國內(nèi)金融科技產(chǎn)業(yè)持續(xù)受到投資關(guān)注,相信未來這一領(lǐng)域也將保持高速發(fā)展?!?022中國金融科技企業(yè)首席洞察報告》顯示,面對經(jīng)濟下行壓力和疫情沖擊,金融科技行業(yè)信心指數(shù)總體依然保持高位水平。中國人民銀行印發(fā)《金融科技發(fā)展規(guī)劃(2022-2025年)》,確定 “十四五” 金融科技發(fā)展六項目標(biāo)。這份文件的發(fā)布也標(biāo)志著中國金融科技 “厚積成勢” ,正式邁入高質(zhì)量發(fā)展的新階段。

一項被低估的威脅

隨著中國的金融機構(gòu)繼續(xù)加速并采用數(shù)字優(yōu)先的戰(zhàn)略,API將日益成為該戰(zhàn)略成功的核心。API對于金融科技企業(yè)和希望采用開放銀行業(yè)務(wù)的銀行來說至關(guān)重要。

但API因其本質(zhì)而會暴露應(yīng)用程序的邏輯和敏感數(shù)據(jù),如個人身份信息等。它們已成為我們互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中的一個越來越脆弱的部分。據(jù)Akamai觀察,2022年上半年,全球網(wǎng)絡(luò)應(yīng)用和API攻擊顯著攀升。今年以來,相關(guān)攻擊嘗試超過,相比去年增加3倍之多。金融服務(wù)行業(yè)是遭遇網(wǎng)絡(luò)應(yīng)用程序和API攻擊最頻繁的前三個行業(yè)之一。

承載著企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)的API,一旦被攻擊,將對企業(yè)及其所服務(wù)的客戶造成數(shù)據(jù)濫用、數(shù)據(jù)泄露、損害用戶體驗及企業(yè)聲譽等巨大危害。

因此,眾多金融科技企業(yè)已逐漸開始構(gòu)筑安全屏障來抵御繁雜的網(wǎng)絡(luò)攻擊。最新的調(diào)查數(shù)據(jù)顯示,在金融服務(wù)領(lǐng)域,有的受訪者將提高應(yīng)用程序API的安全性作為首要任務(wù)。此外,70%的金融機構(gòu)已經(jīng)部署了API安全的相關(guān)措施,16%計劃在12個月內(nèi)采用相關(guān)措施。雖然這些前期工作十分有效,但光憑這些還不夠。

安全的數(shù)字體驗不能光憑想象

安全的API是任何數(shù)字體驗的基礎(chǔ)。每家金融科技企業(yè)應(yīng)確定自身的數(shù)字成熟度并制定相應(yīng)的API保護計劃,保證自己在競爭激烈的數(shù)字環(huán)境中的安全與規(guī)模。我們建議企業(yè)與安全方案商合作,通過加強安全措施來減少此類攻擊。金融科技企業(yè)可以從以下幾個方面著手,創(chuàng)建API深度安全防護:

1.定位API并進行盤點跟蹤

API在逐漸普遍的同時,也帶來更多漏洞。許多企業(yè)甚至不清楚自身API應(yīng)用范圍和潛在漏洞。如果不了解這些API,那么防護API安全更是無從談起。所以對于企業(yè)來說,了解自身API及其用途是必不可少的。對此,我們建議企業(yè)需要對內(nèi)外部所有的API進行識別和保護,那些被記錄為潛在風(fēng)險的項目更應(yīng)得到必要的評估。

2.定位API后,測試以查探是否存在漏洞

如今,業(yè)界越來越多地意識到API安全防護應(yīng)貫穿整個API生命周期,將API置于安全控制的前端和中心。這不僅需要測試工具并加強開發(fā)人員培訓(xùn),也需要與現(xiàn)有的安全團隊緊密配合,針對風(fēng)險承受能力制定相應(yīng)計劃,并盡早修復(fù)漏洞。

3.開發(fā)及發(fā)布期間使用專業(yè)的API安全工具

在開發(fā)和發(fā)布期間,充分利用現(xiàn)有WAF基礎(chǔ)架構(gòu)、身份管理和數(shù)據(jù)保護解決方案,以及專門的API安全工具,同時,新的漏洞和攻擊源源不斷,一次性的檢查只會讓API暴露在風(fēng)險中,因此確保API安全是一個持續(xù)的事情,而非在開發(fā)過程中的一勞永逸。傳統(tǒng)的基于簽名的網(wǎng)絡(luò)安全工具,例如入侵防御系統(tǒng) (IPS),基于簽名的Web應(yīng)用程序防火墻(WAF)和傳統(tǒng)網(wǎng)絡(luò)防火墻無法有效保護API。我們推薦企業(yè)使用現(xiàn)代Web應(yīng)用程序和API保護(WAAP)解決方案,該解決方案能夠提供強大的API發(fā)現(xiàn)、保護和控制功能,以緩解API漏洞并減少攻擊面。

4.使用“一攬子”策略并協(xié)同API開發(fā)相關(guān)團隊

企業(yè)應(yīng)盡量避免為每種API使用單一策略,而是應(yīng)盡可能使用一套可復(fù)用、組合式“一攬子”策略,圍繞 API 安全建立長期的防御流程。這里可以借鑒的經(jīng)驗是將所有資源的默認(rèn)訪問級別設(shè)置為null或拒絕。這種零信任方法會強制執(zhí)行最小特權(quán),并使身份驗證成為必需的要求。同時,API開發(fā)中需要協(xié)同各種利益相關(guān)團隊,如開發(fā)團隊、網(wǎng)絡(luò)和安全運營團隊、身份團隊、風(fēng)險管理師、安全架構(gòu)師和法律/合規(guī)團隊等,以確保產(chǎn)品能夠遵循所有監(jiān)管的法律法規(guī)。

中國的移動支付技術(shù)在全球處于領(lǐng)先地位。近年來,中國的移動支付頻率激增,這無疑增加了企業(yè)對于API安全風(fēng)險的顧慮。中國人民銀行發(fā)布的金融行業(yè)標(biāo)準(zhǔn)《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》從技術(shù)和管理兩方面規(guī)范了個人金融信息保護措施和金融API安全措施。該規(guī)范指出,API的安全應(yīng)基于API從創(chuàng)建、使用到退役、停用的整個生命周期。中國企業(yè)需要不斷升級應(yīng)對策略和技術(shù)能力來抵御各種場景下的API攻擊。面對無處不在的API威脅,Akamai將長期攜手多方伙伴,提前建立風(fēng)險威脅洞見機制,以智能化監(jiān)控與端到端全域防護技術(shù),及時保護涉及API場景敏感數(shù)據(jù),助力金融科技企業(yè)更加便捷、高效地建立深度防護。

( Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊 )

關(guān)于Akamai

Akamai 為在線生活提供支持和保護。全球領(lǐng)先的公司選擇 Akamai 來構(gòu)建、交付和保護他們的數(shù)字體驗——為數(shù)十億人每天的生活、工作和娛樂提供幫助。 借助全球廣泛分布的覆蓋從云到邊緣的計算平臺,我們幫助客戶輕松開發(fā)和運行應(yīng)用程序,同時讓體驗更貼近用戶,讓威脅距離用戶更遠。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )