電子錢包應用程序如何從個人銀行賬戶中取回資金?在線購物時,信用卡如何能夠順利付款?
這背后少不了應用程序編程接口(API)的應用�����。它們是現代應用程序和網絡應用程序的構建塊,并且必須通過它們才能提供無縫銜接的愉快購物體驗�����。
你可以把它們想象成餐廳的服務員——來往于顧客和廚房之間,幫助餐廳更快上菜并提高廚師的工作效率��。API一般讓企業能夠通過一種更加精簡的方式與另一家組織機構的服務進行互動,并且能夠大大改善企業的自動化流程���。
最近的一項調查發現,使用API的金融科技企業和保險公司比不使用API的企業更加能夠通過市場合作來加速現代化和效用����。API還讓開發人員無需從頭開始創建應用程序功能,大大減少了工作時間��。普通金融科技應用程序的每小時成本約為40美元,因此這能夠顯著節省成本�。
然而,隨著使用的增加,風險也隨之增加�。金融科技平臺是網絡犯罪分子不可抗拒的目標�����。不僅因為潛在的高利潤回報,而且這些平臺還擁有非常復雜的API環境����。
隨著國內金融科技產業持續受到投資關注,相信未來這一領域也將保持高速發展�����!2022中國金融科技企業首席洞察報告》顯示,面對經濟下行壓力和疫情沖擊,金融科技行業信心指數總體依然保持高位水平�����。中國人民銀行印發《金融科技發展規劃(2022-2025年)》,確定 “十四五” 金融科技發展六項目標��。這份文件的發布也標志著中國金融科技 “厚積成勢” ,正式邁入高質量發展的新階段�����。
一項被低估的威脅
隨著中國的金融機構繼續加速并采用數字優先的戰略,API將日益成為該戰略成功的核心��。API對于金融科技企業和希望采用開放銀行業務的銀行來說至關重要��。
但API因其本質而會暴露應用程序的邏輯和敏感數據,如個人身份信息等�����。它們已成為我們互聯網基礎設施中的一個越來越脆弱的部分�。據Akamai觀察,2022年上半年,全球網絡應用和API攻擊顯著攀升���。今年以來,相關攻擊嘗試超過,相比去年增加3倍之多���。金融服務行業是遭遇網絡應用程序和API攻擊最頻繁的前三個行業之一��。
承載著企業核心業務邏輯和敏感數據的API,一旦被攻擊,將對企業及其所服務的客戶造成數據濫用��、數據泄露����、損害用戶體驗及企業聲譽等巨大危害���。
因此,眾多金融科技企業已逐漸開始構筑安全屏障來抵御繁雜的網絡攻擊�����。最新的調查數據顯示,在金融服務領域,有的受訪者將提高應用程序API的安全性作為首要任務�。此外,70%的金融機構已經部署了API安全的相關措施,16%計劃在12個月內采用相關措施�����。雖然這些前期工作十分有效,但光憑這些還不夠���。
安全的數字體驗不能光憑想象
安全的API是任何數字體驗的基礎�。每家金融科技企業應確定自身的數字成熟度并制定相應的API保護計劃,保證自己在競爭激烈的數字環境中的安全與規模�����。我們建議企業與安全方案商合作,通過加強安全措施來減少此類攻擊�。金融科技企業可以從以下幾個方面著手,創建API深度安全防護:
1. 定位API并進行盤點跟蹤
API在逐漸普遍的同時,也帶來更多漏洞�。許多企業甚至不清楚自身API應用范圍和潛在漏洞�����。如果不了解這些API,那么防護API安全更是無從談起�。所以對于企業來說,了解自身API及其用途是必不可少的�����。對此,我們建議企業需要對內外部所有的API進行識別和保護,那些被記錄為潛在風險的項目更應得到必要的評估�。
2. 定位API后,測試以查探是否存在漏洞
如今,業界越來越多地意識到API安全防護應貫穿整個API生命周期,將API置于安全控制的前端和中心��。這不僅需要測試工具并加強開發人員培訓,也需要與現有的安全團隊緊密配合,針對風險承受能力制定相應計劃,并盡早修復漏洞���。
3. 開發及發布期間使用專業的API安全工具
在開發和發布期間,充分利用現有WAF基礎架構�����、身份管理和數據保護解決方案,以及專門的API安全工具,同時,新的漏洞和攻擊源源不斷,一次性的檢查只會讓API暴露在風險中,因此確保API安全是一個持續的事情,而非在開發過程中的一勞永逸�����。傳統的基于簽名的網絡安全工具,例如入侵防御系統 (IPS),基于簽名的Web應用程序防火墻(WAF)和傳統網絡防火墻無法有效保護API����。我們推薦企業使用現代Web應用程序和API保護(WAAP)解決方案,該解決方案能夠提供強大的API發現���、保護和控制功能,以緩解API漏洞并減少攻擊面���。
4. 使用“一攬子”策略并協同API開發相關團隊
企業應盡量避免為每種API使用單一策略,而是應盡可能使用一套可復用��、組合式“一攬子”策略,圍繞 API 安全建立長期的防御流程�����。這里可以借鑒的經驗是將所有資源的默認訪問級別設置為null或拒絕��。這種零信任方法會強制執行最小特權,并使身份驗證成為必需的要求���。同時,API開發中需要協同各種利益相關團隊,如開發團隊��、網絡和安全運營團隊�����、身份團隊�����、風險管理師���、安全架構師和法律/合規團隊等,以確保產品能夠遵循所有監管的法律法規��。
中國的移動支付技術在全球處于領先地位���。近年來,中國的移動支付頻率激增,這無疑增加了企業對于API安全風險的顧慮��。中國人民銀行發布的金融行業標準《商業銀行應用程序接口安全管理規范》從技術和管理兩方面規范了個人金融信息保護措施和金融API安全措施��。該規范指出,API的安全應基于API從創建���、使用到退役���、停用的整個生命周期���。中國企業需要不斷升級應對策略和技術能力來抵御各種場景下的API攻擊���。面對無處不在的API威脅,Akamai將長期攜手多方伙伴,提前建立風險威脅洞見機制,以智能化監控與端到端全域防護技術,及時保護涉及API場景敏感數據,助力金融科技企業更加便捷��、高效地建立深度防護���。
( Akamai大中華區企業事業部高級售前技術經理 馬俊 )
關于Akamai
Akamai 為在線生活提供支持和保護����。全球領先的公司選擇 Akamai 來構建���、交付和保護他們的數字體驗——為數十億人每天的生活�����、工作和娛樂提供幫助���。 借助全球廣泛分布的覆蓋從云到邊緣的計算平臺,我們幫助客戶輕松開發和運行應用程序,同時讓體驗更貼近用戶,讓威脅距離用戶更遠����。
京公網安備 11010502041587號