電子錢(qián)包應(yīng)用程序如何從個(gè)人銀行賬戶中取回資金?在線購(gòu)物時(shí),信用卡如何能夠順利付款?
這背后少不了應(yīng)用程序編程接口(API)的應(yīng)用。它們是現(xiàn)代應(yīng)用程序和網(wǎng)絡(luò)應(yīng)用程序的構(gòu)建塊,并且必須通過(guò)它們才能提供無(wú)縫銜接的愉快購(gòu)物體驗(yàn)。
你可以把它們想象成餐廳的服務(wù)員——來(lái)往于顧客和廚房之間,幫助餐廳更快上菜并提高廚師的工作效率。API一般讓企業(yè)能夠通過(guò)一種更加精簡(jiǎn)的方式與另一家組織機(jī)構(gòu)的服務(wù)進(jìn)行互動(dòng),并且能夠大大改善企業(yè)的自動(dòng)化流程。
最近的一項(xiàng)調(diào)查發(fā)現(xiàn),使用API的金融科技企業(yè)和保險(xiǎn)公司比不使用API的企業(yè)更加能夠通過(guò)市場(chǎng)合作來(lái)加速現(xiàn)代化和效用。API還讓開(kāi)發(fā)人員無(wú)需從頭開(kāi)始創(chuàng)建應(yīng)用程序功能,大大減少了工作時(shí)間。普通金融科技應(yīng)用程序的每小時(shí)成本約為40美元,因此這能夠顯著節(jié)省成本。
然而,隨著使用的增加,風(fēng)險(xiǎn)也隨之增加。金融科技平臺(tái)是網(wǎng)絡(luò)犯罪分子不可抗拒的目標(biāo)。不僅因?yàn)闈撛诘母呃麧?rùn)回報(bào),而且這些平臺(tái)還擁有非常復(fù)雜的API環(huán)境。
隨著國(guó)內(nèi)金融科技產(chǎn)業(yè)持續(xù)受到投資關(guān)注,相信未來(lái)這一領(lǐng)域也將保持高速發(fā)展?!?022中國(guó)金融科技企業(yè)首席洞察報(bào)告》顯示,面對(duì)經(jīng)濟(jì)下行壓力和疫情沖擊,金融科技行業(yè)信心指數(shù)總體依然保持高位水平。中國(guó)人民銀行印發(fā)《金融科技發(fā)展規(guī)劃(2022-2025年)》,確定 “十四五” 金融科技發(fā)展六項(xiàng)目標(biāo)。這份文件的發(fā)布也標(biāo)志著中國(guó)金融科技 “厚積成勢(shì)” ,正式邁入高質(zhì)量發(fā)展的新階段。
一項(xiàng)被低估的威脅
隨著中國(guó)的金融機(jī)構(gòu)繼續(xù)加速并采用數(shù)字優(yōu)先的戰(zhàn)略,API將日益成為該戰(zhàn)略成功的核心。API對(duì)于金融科技企業(yè)和希望采用開(kāi)放銀行業(yè)務(wù)的銀行來(lái)說(shuō)至關(guān)重要。
但API因其本質(zhì)而會(huì)暴露應(yīng)用程序的邏輯和敏感數(shù)據(jù),如個(gè)人身份信息等。它們已成為我們互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中的一個(gè)越來(lái)越脆弱的部分。據(jù)Akamai觀察,2022年上半年,全球網(wǎng)絡(luò)應(yīng)用和API攻擊顯著攀升。今年以來(lái),相關(guān)攻擊嘗試超過(guò),相比去年增加3倍之多。金融服務(wù)行業(yè)是遭遇網(wǎng)絡(luò)應(yīng)用程序和API攻擊最頻繁的前三個(gè)行業(yè)之一。
承載著企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)的API,一旦被攻擊,將對(duì)企業(yè)及其所服務(wù)的客戶造成數(shù)據(jù)濫用、數(shù)據(jù)泄露、損害用戶體驗(yàn)及企業(yè)聲譽(yù)等巨大危害。
因此,眾多金融科技企業(yè)已逐漸開(kāi)始構(gòu)筑安全屏障來(lái)抵御繁雜的網(wǎng)絡(luò)攻擊。最新的調(diào)查數(shù)據(jù)顯示,在金融服務(wù)領(lǐng)域,有的受訪者將提高應(yīng)用程序API的安全性作為首要任務(wù)。此外,70%的金融機(jī)構(gòu)已經(jīng)部署了API安全的相關(guān)措施,16%計(jì)劃在12個(gè)月內(nèi)采用相關(guān)措施。雖然這些前期工作十分有效,但光憑這些還不夠。
安全的數(shù)字體驗(yàn)不能光憑想象
安全的API是任何數(shù)字體驗(yàn)的基礎(chǔ)。每家金融科技企業(yè)應(yīng)確定自身的數(shù)字成熟度并制定相應(yīng)的API保護(hù)計(jì)劃,保證自己在競(jìng)爭(zhēng)激烈的數(shù)字環(huán)境中的安全與規(guī)模。我們建議企業(yè)與安全方案商合作,通過(guò)加強(qiáng)安全措施來(lái)減少此類攻擊。金融科技企業(yè)可以從以下幾個(gè)方面著手,創(chuàng)建API深度安全防護(hù):
1.定位API并進(jìn)行盤(pán)點(diǎn)跟蹤
API在逐漸普遍的同時(shí),也帶來(lái)更多漏洞。許多企業(yè)甚至不清楚自身API應(yīng)用范圍和潛在漏洞。如果不了解這些API,那么防護(hù)API安全更是無(wú)從談起。所以對(duì)于企業(yè)來(lái)說(shuō),了解自身API及其用途是必不可少的。對(duì)此,我們建議企業(yè)需要對(duì)內(nèi)外部所有的API進(jìn)行識(shí)別和保護(hù),那些被記錄為潛在風(fēng)險(xiǎn)的項(xiàng)目更應(yīng)得到必要的評(píng)估。
2.定位API后,測(cè)試以查探是否存在漏洞
如今,業(yè)界越來(lái)越多地意識(shí)到API安全防護(hù)應(yīng)貫穿整個(gè)API生命周期,將API置于安全控制的前端和中心。這不僅需要測(cè)試工具并加強(qiáng)開(kāi)發(fā)人員培訓(xùn),也需要與現(xiàn)有的安全團(tuán)隊(duì)緊密配合,針對(duì)風(fēng)險(xiǎn)承受能力制定相應(yīng)計(jì)劃,并盡早修復(fù)漏洞。
3.開(kāi)發(fā)及發(fā)布期間使用專業(yè)的API安全工具
在開(kāi)發(fā)和發(fā)布期間,充分利用現(xiàn)有WAF基礎(chǔ)架構(gòu)、身份管理和數(shù)據(jù)保護(hù)解決方案,以及專門(mén)的API安全工具,同時(shí),新的漏洞和攻擊源源不斷,一次性的檢查只會(huì)讓API暴露在風(fēng)險(xiǎn)中,因此確保API安全是一個(gè)持續(xù)的事情,而非在開(kāi)發(fā)過(guò)程中的一勞永逸。傳統(tǒng)的基于簽名的網(wǎng)絡(luò)安全工具,例如入侵防御系統(tǒng) (IPS),基于簽名的Web應(yīng)用程序防火墻(WAF)和傳統(tǒng)網(wǎng)絡(luò)防火墻無(wú)法有效保護(hù)API。我們推薦企業(yè)使用現(xiàn)代Web應(yīng)用程序和API保護(hù)(WAAP)解決方案,該解決方案能夠提供強(qiáng)大的API發(fā)現(xiàn)、保護(hù)和控制功能,以緩解API漏洞并減少攻擊面。
4.使用“一攬子”策略并協(xié)同API開(kāi)發(fā)相關(guān)團(tuán)隊(duì)
企業(yè)應(yīng)盡量避免為每種API使用單一策略,而是應(yīng)盡可能使用一套可復(fù)用、組合式“一攬子”策略,圍繞 API 安全建立長(zhǎng)期的防御流程。這里可以借鑒的經(jīng)驗(yàn)是將所有資源的默認(rèn)訪問(wèn)級(jí)別設(shè)置為null或拒絕。這種零信任方法會(huì)強(qiáng)制執(zhí)行最小特權(quán),并使身份驗(yàn)證成為必需的要求。同時(shí),API開(kāi)發(fā)中需要協(xié)同各種利益相關(guān)團(tuán)隊(duì),如開(kāi)發(fā)團(tuán)隊(duì)、網(wǎng)絡(luò)和安全運(yùn)營(yíng)團(tuán)隊(duì)、身份團(tuán)隊(duì)、風(fēng)險(xiǎn)管理師、安全架構(gòu)師和法律/合規(guī)團(tuán)隊(duì)等,以確保產(chǎn)品能夠遵循所有監(jiān)管的法律法規(guī)。
中國(guó)的移動(dòng)支付技術(shù)在全球處于領(lǐng)先地位。近年來(lái),中國(guó)的移動(dòng)支付頻率激增,這無(wú)疑增加了企業(yè)對(duì)于API安全風(fēng)險(xiǎn)的顧慮。中國(guó)人民銀行發(fā)布的金融行業(yè)標(biāo)準(zhǔn)《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》從技術(shù)和管理兩方面規(guī)范了個(gè)人金融信息保護(hù)措施和金融API安全措施。該規(guī)范指出,API的安全應(yīng)基于API從創(chuàng)建、使用到退役、停用的整個(gè)生命周期。中國(guó)企業(yè)需要不斷升級(jí)應(yīng)對(duì)策略和技術(shù)能力來(lái)抵御各種場(chǎng)景下的API攻擊。面對(duì)無(wú)處不在的API威脅,Akamai將長(zhǎng)期攜手多方伙伴,提前建立風(fēng)險(xiǎn)威脅洞見(jiàn)機(jī)制,以智能化監(jiān)控與端到端全域防護(hù)技術(shù),及時(shí)保護(hù)涉及API場(chǎng)景敏感數(shù)據(jù),助力金融科技企業(yè)更加便捷、高效地建立深度防護(hù)。
( Akamai大中華區(qū)企業(yè)事業(yè)部高級(jí)售前技術(shù)經(jīng)理 馬俊 )
關(guān)于Akamai
Akamai 為在線生活提供支持和保護(hù)。全球領(lǐng)先的公司選擇 Akamai 來(lái)構(gòu)建、交付和保護(hù)他們的數(shù)字體驗(yàn)——為數(shù)十億人每天的生活、工作和娛樂(lè)提供幫助。 借助全球廣泛分布的覆蓋從云到邊緣的計(jì)算平臺(tái),我們幫助客戶輕松開(kāi)發(fā)和運(yùn)行應(yīng)用程序,同時(shí)讓體驗(yàn)更貼近用戶,讓威脅距離用戶更遠(yuǎn)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )