【赛迪网讯】互联网技术的发展,安全可靠和高效连接是技术发展的两个端点,企业选择产品往往在两个端点之间选择一个平衡点。API接口在企业数字化转型中是不可或缺的基础要素,为转型过程中的信息流通以及各种程序、应用和系统之间的连接提供了重要支持,因为API在企业数字化系统的应用架构中变得更加普遍。近年来,API越来越多地成为了黑客攻击的突破口。
API越来越成为网络攻击的突破口
Akamai大中华区企业事业部高级售前技术经理 马俊
Akamai大中华区企业事业部高级售前技术经理马俊表示:“从互联网的流量上看,API流量已成为互联网主要流量形式,占到互联网流量的八成。过去一年,API攻击增长超过287%,这意味着互联网的安全形势越来越严峻。”
在Gartner发布的《如何建立有效的API安全策略》报告中也曾经预测,API 滥用将从原本频率较低的攻击类型变为导致企业 Web 应用程序数据泄露的最常见攻击媒介。到2024年,API滥用和相关数据泄露几乎将再次翻倍。同时,在《2022年应用安全技术成熟度曲线》报告中,Gartner也再次重申,API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。
Akamai一直关注API的安全和防护,以为客户提供云平台以及领先的交付和安全解决方案为自身的使命。在2023年年初发布的安全组产品路线图中,就已向外界公布,在2023年,Akamai将会推出新的解决方案Malware Protection,它通过扫描上传的文件Web 应用程序或 API,从源头上避免带宽上的恶意软件。
数字支付让金融科技企业更关注API安全防护
随着API在数字支付中的使用日益增加,这大大增加了金融数据泄露的风险,需要处理大量敏感数据的金融科技行业相比其他行业更加关注API的安全防护。在越来越多金融科技企业“走出去”,面向全球化的大趋势下,金融科技企业亟需有全球服务经验的API安全保护解决方案。
Finastra是全球著名的金融软件应用程序及在线市场服务提供商。自2017年以来,Finastra旗下的开放式创新平台FusionFabric.cloud 推动了银行即服务(BaaS)和嵌入式金融产品,获得了市场的广泛认可。为了提高API的安全性,Akamai与Finastra合作,推出了App & API Protector。这款新一代网络应用和API保护(WAAP)解决方案通过建立三层保护,帮助金融机构应对超大规模DDoS攻击等API安全挑战。
Akamai App & API Protector在单一解决方案中汇集多种安全技术,包括 Web 应用程序防火墙、爬虫程序抵御、API 安全和 DDoS 防护。App & API Protector 是备受认可的卓越攻击检测解决方案,其能力超越传统防火墙,可快速发现并抵御威胁,保护整个数字资产免受多维度攻击的侵扰。该平台实施和使用更轻松,能够提供全方位监测能力,并可通过 Akamai自适应安全引擎自动实施定制化的新保护机制。
马俊表示:“App & API Protector将网络应用防火墙、爬虫抑制、API安全和DDoS保护等许多业内领先的核心技术整合到一个解决方案中,组织机构可以将它无缝集成到其IT堆栈中。”
当前,由于API安全发展速度与API使用增速不平衡发展,企业对API进行及时有效的防护就显得尤为必要。Akamai也就拥有大量数字支付业务的金融企业如何保障API安全方面提出了自己的建议。
Akamai对金融企业API防护的建议
对于企业来说,由于API增速很快,很多企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解。因此,企业应该对API资产进行梳理,从不可知到全面可见,清理影子API。不仅要对企业内部的API进行梳理,还要梳理企业使用的外部API。也需要被识别和保护,或者至少被登记为可能的风险项目并进行评估。
梳理API之后,还需要对API资产进行分类。需要测试工具和足够有经验的开发人员与安全团队配合,寻找硬编码的密钥、逻辑调用,确认API流量是否会被伪装攻击所入侵。还要扫描储存库,寻找可被用于破坏API或相关程序的密钥。目前很多针对API的攻击都与API密钥泄漏有关,因此需要不断强化与提高研发人员的安全意识,定期对密钥进行审核。
另外,在开发和上线期间,企业要充分利用现有的WAF基础设施与任何身份管理和数据保护解决方案以及任何专门的API安全工具。还要具备全流程意识,必须将API安全作为一项长期的流程,而不是开发过程中的一次性流程。新的漏洞和攻击层出不穷,单一实例检查将会让企业暴露在攻击之中。
最后,在API策略上,企业应该尽量避免对每个API采取独特的策略,应该尽可能使用一套可以“一招鲜,吃遍天”的策略。此外,不要将策略直接写入需要保护的API中。这些做法都会违反职责分离机制、增加不必要的复杂性、让维护代码的人员承受更多的开销负担并阻止安全团队看到。根据我们的经验,你企业应该将任何资源的默认访问级别设置为空或拒绝,这样可以强制执行最小权限并始终要求身份认证。
无论是数字化转型还是网络安全保护,金融行业一般都走在全社会各行业的前面。在当今世界联系日益紧密的大背景下,金融科技企业将同Akamai在内的头部数字化服务商建立深度合作,筑牢安全底座,以更快的更新、更低成本及更高的可靠提供便捷的金融服务。