在数字经济如火如荼的当下,金融科技也在近年来实现了较高的增长水平,根据《2022中国金融科技企业首席洞察报告》,面对经济下行压力和疫情冲击,金融科技行业信心指数总体依然保持高位水平。诚然,在数据资产逐渐成为发展的重要驱动的时代,金融数字化转型已是大势所趋,金融机构需要不断深化数字化转型实践,实现从数字化向数智化的有效延伸,打造核心竞争力,实现高质量发展。
另一方面,从中国人民银行印发的《金融科技发展规划(2022-2025年)》来看,随着“十四五”金融科技发展六项目标确定,标志着中国金融科技“厚积成势” ,正式迈入高质量发展的新阶段。
不过,与金融科技高质量发展共同到来的,也有来自暗处的阴影,首当其冲的便是针对API的安全威胁。这是由于疫情的流行加速了数字银行服务的创新和急速扩展,由云、移动和应用程序编程接口(API)提供支持的数字支付和电子钱包已在亚太地区被大规模采用。金融服务正在逐渐成为亚太地区数字化程度最高的行业之一。因此,在数字支付场景下使用日益增加的API逐渐成为了主要的被攻击对象。
不过令人欣慰的是,近年来政策层面上对数据安全的重视程度也在以肉眼可见的程度上升。本月7日,国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书,白皮书深入总结了中国互联网的发展治理实践,也再一次强调了构建健康网络环境、保障数据安全的必要性。
近年来,我国的网络空间法治体系在不断完善。网络法律体系日益健全,出台了网络安全法、数据安全法、个人信息保护法等法律法规,推动互联网在法治轨道上健康发展。同时,互联网平台运营不断规范。完善促进企业发展和规范运营的制度和机制,加强新技术新应用治理,推动互联网行业自律,促进平台经济公平竞争、有序发展。此外,网络空间安全有效保障也在不断加强。加强网络安全顶层设计,强化关键信息基础设施安全保护,提高数据安全保障能力,加强个人信息保护,打击网络犯罪。
在此背景下,众多金融科技企业已逐渐开始构筑安全屏障来抵御繁杂的网络攻击。最新的调查数据显示,在金融服务领域,有28%的受访者将提高应用程序API的安全性作为首要任务。此外,70%的金融机构已经部署了API安全的相关措施,16%计划在12个月内采用相关措施。
“API是现代移动和Web应用程序的关键部分,为更好的数据集成和个性化的客户体验提供了机会。但就其本质而言,API会暴露应用程序逻辑和敏感数据,例如个人身份信息,并已成为易受攻击的攻击目标。Akamai 观察到,今年上半年,全球网络应用和API攻击显著飙升。2022年以来,相关攻击尝试超过90亿次,相比去年增加3倍之多。”Akamai大中华区企业事业部高级售前技术经理马俊在Akamai数字银行业的API安全报告中表示。
Akamai大中华区企业事业部高级售前技术经理马俊
不但如此,根据Akamai的报告,整个亚太地区的凭证盗窃、帐户接管和API滥用事件正在增加,印度、澳大利亚、新加坡、日本、中国和印度尼西亚是首要目标国家。
事实上,作为用于系统与系统之间进行通信的方式,API如今已经成为推动互联网发展的重要推动力。开发者可以通过API直接调用第三方服务能力,不但省去了从头建立所有能力的麻烦,还能加速新产品和服务的开发过程。
毫无疑问的是,随着亚太地区的金融机构持续加速并采用数字优先战略,API将越来越成为该战略成功的核心。API对于希望采用开放式银行业务的金融科技公司和银行至关重要,在API的加持之下,金融机构能够更加灵活地获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统,这也让API的安全威胁成为了金融科技企业需要直面的一大挑战,根据Gartner预测,基于API的攻击将成为2022年最常见的攻击媒介,导致组织的企业Web应用程序中的数据泄露。
与传统的针对Web应用程序的攻击相比,针对API的撞库攻击需要的工作量更少,所以其攻击速度也要更快。随着攻击面不断扩大,金融机构亟需解决API安全问题,需要通过制定全面的计划来及时发现、测试和保护API,并将API安全纳入其整体应用程序安全策略。
那么,金融科技行业应该如何创建API深度安全防护呢?Akamai也给出了如下几点建议。
首先是定位API并进行盘点跟踪。API在逐渐普遍的同时,也带来更多漏洞。许多企业甚至不清楚自身API应用范围和潜在漏洞。如果不了解这些API,那么防护API安全更是无从谈起。所以对于企业来说,了解自身API及其用途是必不可少的。对此,我们建议企业需要对内外部所有的API进行识别和保护,那些被记录为潜在风险的项目更应得到必要的评估。
其次,在定位API后,需要测试以查探是否存在漏洞。随着业界越来越多地意识到API安全防护应贯穿整个API生命周期,将API置于安全控制的前端和中心。这不仅需要测试工具并加强开发人员培训,也需要与现有的安全团队紧密配合,针对风险承受能力制定相应计划,并尽早修复漏洞。
然后,在开发及发布期间,要使用专业的API安全工具。对金融科技行业的企业而言,在开发和发布期间,需要充分利用现有WAF基础架构、身份管理和数据保护解决方案,以及专门的API安全工具,同时,新的漏洞和攻击源源不断,一次性的检查只会让API暴露在风险中,因此确保API安全是一个持续的事情,而非在开发过程中的一劳永逸。传统的基于签名的网络安全工具,例如入侵防御系统(IPS),基于签名的Web应用程序防火墙(WAF)和传统网络防火墙无法有效保护API。企业应该使用现代Web应用程序和API保护(WAAP)解决方案,该解决方案能够提供强大的API发现、保护和控制功能,以缓解API漏洞并减少攻击面。
最后,企业需要使用“一揽子”策略并协同API开发相关团队。对金融科技企业来说,需要尽量避免为每种API使用单一策略,而是应尽可能使用一套可复用、组合式“一揽子”策略,围绕API 安全建立长期的防御流程。一个好的经验法则是将任何资源的默认访问级别设为空或拒绝。这种零信任方法强制执行最小权限,并使身份验证成为一个不变的要求。同时,API开发中需要协同各种利益相关团队,如开发团队、网络和安全运营团队、身份团队、风险管理师、安全架构师和法律/合规团队等,以确保产品能够遵循所有监管的法律法规。
当然,作为一家战略重心正在逐步转移到安全领域的公司,Akamai也为广大金融科技企业提供了多项产品和服务以保护API安全,其中首屈一指的便是新一代Web应用程序和API保护(WAAP)解决方案App & API Protector。
流量拦截方面,如果API受到多个分布式攻击者的攻击并且他们将小流量聚集成大流量来攻击支付网关或支付服务,App & API Protector会拦截附近的攻击;应用层防火墙方面,App & API Protector可以通过通过“自适应检测”发现更多攻击,同时,通过“自我修正”对快速演变的威胁做出反应,还能将误报/漏报的数量减少到Akamai上一代WAF的五分之一,减少维护和调整策略所需的工作量;爬虫监测方面,App & API Protector内置的爬虫抵御功能能自动检测和抵御有害的爬虫。Akamai有一个包含超过1500个已知爬虫的庞大目录,能主动监测分析和预防攻击。
现如今,在日益频繁和多样化的线上交易中,API正凭借第三方服务的整合能力在身份认证、电子支付等场景中大展身手,不过随着企业对API需求的与日俱增,针对API的各种形式的攻击也愈发频繁,并造成了严重的安全威胁,金融科技企业需要不断重视并提升自己的应对策略和技术能力,以抵抗各种新兴场景下的API攻击,而像Akamai这样的技术服务商,无疑为广大企业提供了重要的推动力。
本文属于原创文章,如若转载,请注明来源:金融科技迈入高质量发展新阶段 企业如何应对API安全威胁?https://safe.zol.com.cn/807/8078645.html
