在經(jīng)濟(jì)全球化時代的今天��,企業(yè)“出?�!币呀?jīng)成為一種必然趨勢��。根據(jù)《埃森哲2022中國企業(yè)國際化調(diào)研》報告顯示�,多重因素正在推動中國企業(yè)加速出海步伐���,95%受訪的中國“出?����!逼髽I(yè)認(rèn)為自己未來3年海外業(yè)務(wù)的增長可以超過5%���。
隨著云計算等技術(shù)的飛速發(fā)展,金融行業(yè)也正在借助新興的技術(shù)加速海外業(yè)務(wù)的布局����,以此來拓展更大的市場和客戶資源,增強(qiáng)品牌知名度和國際競爭力�����,提高盈利能力并降低企業(yè)的風(fēng)險�����。作為支撐企業(yè)數(shù)字轉(zhuǎn)型和創(chuàng)新的重要要素,API已經(jīng)成為金融行業(yè)出海的必選項�����。近年來�,隨著API的使用率大幅提升,利用API漏洞攻擊企業(yè)的系統(tǒng)和數(shù)據(jù)已經(jīng)成為擺在金融行業(yè)面前的最大威脅和主要挑戰(zhàn)�。
(資料圖)
API安全風(fēng)險必須引起金融科技行業(yè)的足夠重視
數(shù)據(jù)安全問題,是所有出海企業(yè)面臨的最嚴(yán)峻挑戰(zhàn)��,尤其是對于金融行業(yè)而言���,無論是開放式銀行服務(wù)����、移動與在線服務(wù)��、數(shù)字信息共享等應(yīng)用�����,都會引發(fā)數(shù)據(jù)泄露風(fēng)險。
近年來�,API正在成為出海企業(yè)連接系統(tǒng)和數(shù)據(jù),企業(yè)和客戶�、合作伙伴的主要橋梁,是當(dāng)下網(wǎng)絡(luò)應(yīng)用流量的重要出入口�。然而,由于API安全技術(shù)發(fā)展跟不上使用步伐�,越來越多的攻擊者正利用API來實施攻擊。
據(jù)Gartner預(yù)測�,到2024年��,API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍���。在《Hype Cycle for Application Security, 2022》(2022年應(yīng)用安全技術(shù)成熟度曲線)報告中�����,Gartner再次闡明:API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施已逐漸成為攻擊者的主要攻擊目標(biāo)��。
IDC同時指出����,API安全日漸成為了一個重要的數(shù)據(jù)安全��、應(yīng)用安全領(lǐng)域。目前����,傳統(tǒng)在Web應(yīng)用安全網(wǎng)關(guān)等產(chǎn)品中的API防護(hù)功能已經(jīng)不足以防護(hù)日益復(fù)雜的API攻擊,API安全應(yīng)站在全生命周期管理的角度���,從API安全開發(fā)和部署(API 測試等)開始�,配合加密��、身份認(rèn)證����、權(quán)限管控、API安全測試����、檢測、監(jiān)測�、威脅防護(hù)、威脅處理等能力來進(jìn)行管理和控制���。
在2022年上半年Akamai Web應(yīng)用程序和API威脅報告指出���,2022年上半年全球Web應(yīng)用程序和API攻擊數(shù)量顯著增加,攻擊嘗試次數(shù)超過90億次,�,比 2021 年上半年增加了 3 倍。
Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊
Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊表示:從互聯(lián)網(wǎng)的流量上看�����,Akamai觀察到API流量已成為互聯(lián)網(wǎng)主要流量形式���,超過八成的流量是以API的流量形式承載的����。過去一年���,API攻擊增長超過287%,這意味著互聯(lián)網(wǎng)的安全形勢越來越嚴(yán)峻�����。
不難發(fā)現(xiàn)�,基于API的攻擊已經(jīng)成了金融等行業(yè)出海面臨的最大安全風(fēng)險。筆者認(rèn)為��,破解風(fēng)險的關(guān)鍵�����,除了要強(qiáng)化企業(yè)的安全意識之外,還需要借助可靠的產(chǎn)品來解決API開發(fā)�����、測試���、應(yīng)用等過程中出現(xiàn)的安全風(fēng)險��。
基于API整個生命周期構(gòu)建安全解決方案
在金融科技行業(yè)的出海中�,由于大量數(shù)字支付業(yè)務(wù)通過API實現(xiàn)���,且API所采用的基于應(yīng)用的接口使得支付行為具有高度的情境關(guān)聯(lián)性�����,因此其受到的攻擊面更大�����,所需要的安全識別和保護(hù)難度更大��,這就要求基于API使用的整個生命周期來構(gòu)建API安全����,從創(chuàng)建、鏈接到停用和退役都需要對敏感數(shù)據(jù)進(jìn)行交互監(jiān)測和風(fēng)險識別��。
除了杜絕外部風(fēng)險之外��,在支付領(lǐng)域中還要時刻關(guān)注出現(xiàn)在內(nèi)部辦公網(wǎng)絡(luò)上并橫向傳播的勒索軟件病毒或在外部服務(wù)器的生產(chǎn)網(wǎng)絡(luò)上傳播的病毒等��,這些都會給金融科技行業(yè)造成重大損失���。
為此����,Akamai也專門提出了的API安全的四大最佳實踐�����,分別是發(fā)現(xiàn)和跟蹤所有 API�、識別漏洞�����、利用現(xiàn)有的安全解決方案����、設(shè)置一攬子 API 安全策略�����。
與此同時���,面向金融科技行業(yè)的API安全保護(hù)需求,推出了App & API Protector�。這款新一代網(wǎng)絡(luò)應(yīng)用和API保護(hù)(WAAP)解決方案通過建立三層保護(hù),幫助金融機(jī)構(gòu)應(yīng)對超大規(guī)模DDoS攻擊等API安全挑戰(zhàn)����。
據(jù)馬俊介紹,App & API Protector將網(wǎng)絡(luò)應(yīng)用防火墻����、爬蟲抑制、API安全和DDoS保護(hù)等許多業(yè)內(nèi)領(lǐng)先的核心技術(shù)整合到一個解決方案中���,組織機(jī)構(gòu)可以將它無縫集成到其IT堆棧中���。同時, Akamai提供的企業(yè)安全解決方案簡化了FSI中常見異構(gòu)系統(tǒng)的管理流程�����,為任何資源節(jié)點和終端設(shè)備提供安全和可見性,以便立即發(fā)現(xiàn)問題�����。
除此之外�,針對內(nèi)部網(wǎng)絡(luò)的安全保護(hù)問題,Akamai的企業(yè)安全解決方案通過智能分析企業(yè)內(nèi)部網(wǎng)絡(luò)的交互行為����,利用微分段技術(shù)實現(xiàn)了企業(yè)應(yīng)用、資源節(jié)點���、終端設(shè)備����、應(yīng)用進(jìn)程等多維度靈活的安全微隔離�,從而及時發(fā)現(xiàn)并阻斷在內(nèi)網(wǎng)中隱秘傳播的惡意軟件、木馬與勒索病毒程序�����,從威脅的源頭阻止威脅的傳播���,滿足金融機(jī)構(gòu)在內(nèi)部信息安全防護(hù)上的法規(guī)與監(jiān)管要求���。
攜手筑實API安全防護(hù)基石
面向不同客戶的不同需求,Akamai始終站在“以客戶為中心”的角度���,通過與客戶攜手合作���,筑實API安全防線。
據(jù)了解����,Akamai 與全球著名的金融軟件應(yīng)用程序及在線市場服務(wù)提供商Finastra,在分布式拒絕服務(wù)攻擊支持����、Web 應(yīng)用程序、API 安全以及邊緣 DNS 方面實現(xiàn)了單點聯(lián)系�����,以此來更好的為客戶提供金融服務(wù)����,為 Finastra 成為全球領(lǐng)先的 BaaS 解決方案供應(yīng)商奠定了堅實基礎(chǔ)����。
依托于在API保護(hù)上的關(guān)鍵能力�����,Akamai也獲得了眾多的榮譽(yù)�����。據(jù)了解���,截止至2022年�,Akamai已連續(xù)六年榮膺 Gartner“云端Web應(yīng)用程序和API保護(hù)魔力象限領(lǐng)導(dǎo)者”嘉譽(yù)(Gartner Magic Quadrant for Cloud WAAP)��。一份名為“Gartner云端Web應(yīng)用程序和API保護(hù)關(guān)鍵能力”(Gartner Critical Capabilities for Cloud Web Application and API Protection)的伴讀報告指出�����,在 4 個基于云的 WAAP 用例中�,Akamai 有 3 個用例斬獲最高分:API 安全性和 DevOps、高安全性以及 Web 級業(yè)務(wù)應(yīng)用程序�。
寫在最后:在經(jīng)濟(jì)全球化的今天,借助API“出海”已經(jīng)成為企業(yè)數(shù)字化創(chuàng)新中的關(guān)鍵一環(huán)���。面對日益增多的API攻擊,金融科技行業(yè)只有樹立強(qiáng)化的安全意識�����,并積極與安全企業(yè)攜手���,才能構(gòu)建堅實的安全防線����,開辟出新的業(yè)務(wù)�����,在激烈的競爭中保持不敗之地����。
