在經(jīng)濟(jì)全球化時(shí)代的今天�����,企業(yè)“出?!币呀?jīng)成為一種必然趨勢(shì)。根據(jù)《埃森哲2022中國(guó)企業(yè)國(guó)際化調(diào)研》報(bào)告顯示�����,多重因素正在推動(dòng)中國(guó)企業(yè)加速出海步伐���,95%受訪的中國(guó)“出?���!逼髽I(yè)認(rèn)為自己未來(lái)3年海外業(yè)務(wù)的增長(zhǎng)可以超過(guò)5%�����。
隨著云計(jì)算等技術(shù)的飛速發(fā)展���,金融行業(yè)也正在借助新興的技術(shù)加速海外業(yè)務(wù)的布局,以此來(lái)拓展更大的市場(chǎng)和客戶資源�����,增強(qiáng)品牌知名度和國(guó)際競(jìng)爭(zhēng)力,提高盈利能力并降低企業(yè)的風(fēng)險(xiǎn)���。作為支撐企業(yè)數(shù)字轉(zhuǎn)型和創(chuàng)新的重要要素����,API已經(jīng)成為金融行業(yè)出海的必選項(xiàng)���。近年來(lái)���,隨著API的使用率大幅提升,利用API漏洞攻擊企業(yè)的系統(tǒng)和數(shù)據(jù)已經(jīng)成為擺在金融行業(yè)面前的最大威脅和主要挑戰(zhàn)��。
(資料圖)
API安全風(fēng)險(xiǎn)必須引起金融科技行業(yè)的足夠重視
數(shù)據(jù)安全問(wèn)題���,是所有出海企業(yè)面臨的最嚴(yán)峻挑戰(zhàn)��,尤其是對(duì)于金融行業(yè)而言�����,無(wú)論是開(kāi)放式銀行服務(wù)�、移動(dòng)與在線服務(wù)、數(shù)字信息共享等應(yīng)用����,都會(huì)引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)。
近年來(lái)����,API正在成為出海企業(yè)連接系統(tǒng)和數(shù)據(jù),企業(yè)和客戶��、合作伙伴的主要橋梁���,是當(dāng)下網(wǎng)絡(luò)應(yīng)用流量的重要出入口��。然而��,由于API安全技術(shù)發(fā)展跟不上使用步伐��,越來(lái)越多的攻擊者正利用API來(lái)實(shí)施攻擊�。
據(jù)Gartner預(yù)測(cè)��,到2024年�����,API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍���。在《Hype Cycle for Application Security, 2022》(2022年應(yīng)用安全技術(shù)成熟度曲線)報(bào)告中�����,Gartner再次闡明:API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施已逐漸成為攻擊者的主要攻擊目標(biāo)��。
IDC同時(shí)指出����,API安全日漸成為了一個(gè)重要的數(shù)據(jù)安全����、應(yīng)用安全領(lǐng)域。目前���,傳統(tǒng)在Web應(yīng)用安全網(wǎng)關(guān)等產(chǎn)品中的API防護(hù)功能已經(jīng)不足以防護(hù)日益復(fù)雜的API攻擊�����,API安全應(yīng)站在全生命周期管理的角度�����,從API安全開(kāi)發(fā)和部署(API 測(cè)試等)開(kāi)始����,配合加密、身份認(rèn)證�����、權(quán)限管控����、API安全測(cè)試、檢測(cè)����、監(jiān)測(cè)、威脅防護(hù)���、威脅處理等能力來(lái)進(jìn)行管理和控制�。
在2022年上半年Akamai Web應(yīng)用程序和API威脅報(bào)告指出�,2022年上半年全球Web應(yīng)用程序和API攻擊數(shù)量顯著增加,攻擊嘗試次數(shù)超過(guò)90億次�,,比 2021 年上半年增加了 3 倍��。
Akamai大中華區(qū)企業(yè)事業(yè)部高級(jí)售前技術(shù)經(jīng)理 馬俊
Akamai大中華區(qū)企業(yè)事業(yè)部高級(jí)售前技術(shù)經(jīng)理馬俊表示:從互聯(lián)網(wǎng)的流量上看���,Akamai觀察到API流量已成為互聯(lián)網(wǎng)主要流量形式��,超過(guò)八成的流量是以API的流量形式承載的��。過(guò)去一年�����,API攻擊增長(zhǎng)超過(guò)287%�,這意味著互聯(lián)網(wǎng)的安全形勢(shì)越來(lái)越嚴(yán)峻�����。
不難發(fā)現(xiàn)����,基于API的攻擊已經(jīng)成了金融等行業(yè)出海面臨的最大安全風(fēng)險(xiǎn)。筆者認(rèn)為�����,破解風(fēng)險(xiǎn)的關(guān)鍵�����,除了要強(qiáng)化企業(yè)的安全意識(shí)之外,還需要借助可靠的產(chǎn)品來(lái)解決API開(kāi)發(fā)��、測(cè)試���、應(yīng)用等過(guò)程中出現(xiàn)的安全風(fēng)險(xiǎn)���。
基于API整個(gè)生命周期構(gòu)建安全解決方案
在金融科技行業(yè)的出海中,由于大量數(shù)字支付業(yè)務(wù)通過(guò)API實(shí)現(xiàn)�����,且API所采用的基于應(yīng)用的接口使得支付行為具有高度的情境關(guān)聯(lián)性���,因此其受到的攻擊面更大���,所需要的安全識(shí)別和保護(hù)難度更大,這就要求基于API使用的整個(gè)生命周期來(lái)構(gòu)建API安全��,從創(chuàng)建�����、鏈接到停用和退役都需要對(duì)敏感數(shù)據(jù)進(jìn)行交互監(jiān)測(cè)和風(fēng)險(xiǎn)識(shí)別。
除了杜絕外部風(fēng)險(xiǎn)之外����,在支付領(lǐng)域中還要時(shí)刻關(guān)注出現(xiàn)在內(nèi)部辦公網(wǎng)絡(luò)上并橫向傳播的勒索軟件病毒或在外部服務(wù)器的生產(chǎn)網(wǎng)絡(luò)上傳播的病毒等�����,這些都會(huì)給金融科技行業(yè)造成重大損失��。
為此����,Akamai也專門提出了的API安全的四大最佳實(shí)踐,分別是發(fā)現(xiàn)和跟蹤所有 API���、識(shí)別漏洞���、利用現(xiàn)有的安全解決方案、設(shè)置一攬子 API 安全策略���。
與此同時(shí)����,面向金融科技行業(yè)的API安全保護(hù)需求,推出了App & API Protector�。這款新一代網(wǎng)絡(luò)應(yīng)用和API保護(hù)(WAAP)解決方案通過(guò)建立三層保護(hù),幫助金融機(jī)構(gòu)應(yīng)對(duì)超大規(guī)模DDoS攻擊等API安全挑戰(zhàn)���。
據(jù)馬俊介紹���,App & API Protector將網(wǎng)絡(luò)應(yīng)用防火墻、爬蟲(chóng)抑制����、API安全和DDoS保護(hù)等許多業(yè)內(nèi)領(lǐng)先的核心技術(shù)整合到一個(gè)解決方案中,組織機(jī)構(gòu)可以將它無(wú)縫集成到其IT堆棧中�。同時(shí), Akamai提供的企業(yè)安全解決方案簡(jiǎn)化了FSI中常見(jiàn)異構(gòu)系統(tǒng)的管理流程���,為任何資源節(jié)點(diǎn)和終端設(shè)備提供安全和可見(jiàn)性��,以便立即發(fā)現(xiàn)問(wèn)題�����。
除此之外�����,針對(duì)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)問(wèn)題�����,Akamai的企業(yè)安全解決方案通過(guò)智能分析企業(yè)內(nèi)部網(wǎng)絡(luò)的交互行為���,利用微分段技術(shù)實(shí)現(xiàn)了企業(yè)應(yīng)用�����、資源節(jié)點(diǎn)、終端設(shè)備��、應(yīng)用進(jìn)程等多維度靈活的安全微隔離���,從而及時(shí)發(fā)現(xiàn)并阻斷在內(nèi)網(wǎng)中隱秘傳播的惡意軟件��、木馬與勒索病毒程序��,從威脅的源頭阻止威脅的傳播���,滿足金融機(jī)構(gòu)在內(nèi)部信息安全防護(hù)上的法規(guī)與監(jiān)管要求。
攜手筑實(shí)API安全防護(hù)基石
面向不同客戶的不同需求�,Akamai始終站在“以客戶為中心”的角度����,通過(guò)與客戶攜手合作���,筑實(shí)API安全防線��。
據(jù)了解��,Akamai 與全球著名的金融軟件應(yīng)用程序及在線市場(chǎng)服務(wù)提供商Finastra��,在分布式拒絕服務(wù)攻擊支持�����、Web 應(yīng)用程序��、API 安全以及邊緣 DNS 方面實(shí)現(xiàn)了單點(diǎn)聯(lián)系�����,以此來(lái)更好的為客戶提供金融服務(wù)����,為 Finastra 成為全球領(lǐng)先的 BaaS 解決方案供應(yīng)商奠定了堅(jiān)實(shí)基礎(chǔ)。
依托于在API保護(hù)上的關(guān)鍵能力����,Akamai也獲得了眾多的榮譽(yù)。據(jù)了解����,截止至2022年,Akamai已連續(xù)六年榮膺 Gartner“云端Web應(yīng)用程序和API保護(hù)魔力象限領(lǐng)導(dǎo)者”嘉譽(yù)(Gartner Magic Quadrant for Cloud WAAP)�����。一份名為“Gartner云端Web應(yīng)用程序和API保護(hù)關(guān)鍵能力”(Gartner Critical Capabilities for Cloud Web Application and API Protection)的伴讀報(bào)告指出��,在 4 個(gè)基于云的 WAAP 用例中����,Akamai 有 3 個(gè)用例斬獲最高分:API 安全性和 DevOps����、高安全性以及 Web 級(jí)業(yè)務(wù)應(yīng)用程序。
寫在最后:在經(jīng)濟(jì)全球化的今天�����,借助API“出海”已經(jīng)成為企業(yè)數(shù)字化創(chuàng)新中的關(guān)鍵一環(huán)��。面對(duì)日益增多的API攻擊�����,金融科技行業(yè)只有樹(shù)立強(qiáng)化的安全意識(shí)����,并積極與安全企業(yè)攜手,才能構(gòu)建堅(jiān)實(shí)的安全防線�,開(kāi)辟出新的業(yè)務(wù),在激烈的競(jìng)爭(zhēng)中保持不敗之地�����。
