在经济全球化时代的今天,企业“出海”已经成为一种必然趋势。根据《埃森哲2022中国企业国际化调研》报告显示,多重因素正在推动中国企业加速出海步伐,95%受访的中国“出海”企业认为自己未来3年海外业务的增长可以超过5%。
随着云计算等技术的飞速发展,金融行业也正在借助新兴的技术加速海外业务的布局,以此来拓展更大的市场和客户资源,增强品牌知名度和国际竞争力,提高盈利能力并降低企业的风险。作为支撑企业数字转型和创新的重要要素,API已经成为金融行业出海的必选项。近年来,随着API的使用率大幅提升,利用API漏洞攻击企业的系统和数据已经成为摆在金融行业面前的最大威胁和主要挑战。
API安全风险必须引起金融科技行业的足够重视
数据安全问题,是所有出海企业面临的最严峻挑战,尤其是对于金融行业而言,无论是开放式银行服务、移动与在线服务、数字信息共享等应用,都会引发数据泄露风险。
近年来,API正在成为出海企业连接系统和数据,企业和客户、合作伙伴的主要桥梁,是当下网络应用流量的重要出入口。然而,由于API安全技术发展跟不上使用步伐,越来越多的攻击者正利用API来实施攻击。
据Gartner预测,到2024年,API滥用和相关数据泄露将几乎翻倍。在《Hype Cycle for Application Security, 2022》(2022年应用安全技术成熟度曲线)报告中,Gartner再次阐明:API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。
IDC同时指出,API安全日渐成为了一个重要的数据安全、应用安全领域。目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API 测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。
在2022年上半年Akamai Web应用程序和API威胁报告指出,2022年上半年全球Web应用程序和API攻击数量显著增加,攻击尝试次数超过90亿次,,比 2021 年上半年增加了 3 倍。
Akamai大中华区企业事业部高级售前技术经理 马俊
Akamai大中华区企业事业部高级售前技术经理马俊表示:从互联网的流量上看,Akamai观察到API流量已成为互联网主要流量形式,超过八成的流量是以API的流量形式承载的。过去一年,API攻击增长超过287%,这意味着互联网的安全形势越来越严峻。
不难发现,基于API的攻击已经成了金融等行业出海面临的最大安全风险。笔者认为,破解风险的关键,除了要强化企业的安全意识之外,还需要借助可靠的产品来解决API开发、测试、应用等过程中出现的安全风险。
基于API整个生命周期构建安全解决方案
在金融科技行业的出海中,由于大量数字支付业务通过API实现,且API所采用的基于应用的接口使得支付行为具有高度的情境关联性,因此其受到的攻击面更大,所需要的安全识别和保护难度更大,这就要求基于API使用的整个生命周期来构建API安全,从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。
除了杜绝外部风险之外,在支付领域中还要时刻关注出现在内部办公网络上并横向传播的勒索软件病毒或在外部服务器的生产网络上传播的病毒等,这些都会给金融科技行业造成重大损失。
为此,Akamai也专门提出了的API安全的四大最佳实践,分别是发现和跟踪所有 API、识别漏洞、利用现有的安全解决方案、设置一揽子 API 安全策略。
与此同时,面向金融科技行业的API安全保护需求,推出了App & API Protector。这款新一代网络应用和API保护(WAAP)解决方案通过建立三层保护,帮助金融机构应对超大规模DDoS攻击等API安全挑战。
据马俊介绍,App & API Protector将网络应用防火墙、爬虫抑制、API安全和DDoS保护等许多业内领先的核心技术整合到一个解决方案中,组织机构可以将它无缝集成到其IT堆栈中。同时, Akamai提供的企业安全解决方案简化了FSI中常见异构系统的管理流程,为任何资源节点和终端设备提供安全和可见性,以便立即发现问题。
除此之外,针对内部网络的安全保护问题,Akamai的企业安全解决方案通过智能分析企业内部网络的交互行为,利用微分段技术实现了企业应用、资源节点、终端设备、应用进程等多维度灵活的安全微隔离,从而及时发现并阻断在内网中隐秘传播的恶意软件、木马与勒索病毒程序,从威胁的源头阻止威胁的传播,满足金融机构在内部信息安全防护上的法规与监管要求。
携手筑实API安全防护基石
面向不同客户的不同需求,Akamai始终站在“以客户为中心”的角度,通过与客户携手合作,筑实API安全防线。
据了解,Akamai 与全球著名的金融软件应用程序及在线市场服务提供商Finastra,在分布式拒绝服务攻击支持、Web 应用程序、API 安全以及边缘 DNS 方面实现了单点联系,以此来更好的为客户提供金融服务,为 Finastra 成为全球领先的 BaaS 解决方案供应商奠定了坚实基础。
依托于在API保护上的关键能力,Akamai也获得了众多的荣誉。据了解,截止至2022年,Akamai已连续六年荣膺 Gartner“云端Web应用程序和API保护魔力象限领导者”嘉誉(Gartner Magic Quadrant for Cloud WAAP)。一份名为“Gartner云端Web应用程序和API保护关键能力”(Gartner Critical Capabilities for Cloud Web Application and API Protection)的伴读报告指出,在 4 个基于云的 WAAP 用例中,Akamai 有 3 个用例斩获最高分:API 安全性和 DevOps、高安全性以及 Web 级业务应用程序。
写在最后:在经济全球化的今天,借助API“出海”已经成为企业数字化创新中的关键一环。面对日益增多的API攻击,金融科技行业只有树立强化的安全意识,并积极与安全企业携手,才能构建坚实的安全防线,开辟出新的业务,在激烈的竞争中保持不败之地。