设为首页 | 收藏本站 | 关于我们 | 广告服务
 
 
当前位置:首页 > 银行卡博览 > 环球资讯
环球资讯
Akamai:App & API Protector解决方案助力金融机构实现API安全
来源:金网在线  作者:马俊  日期:2022/8/10

Akamai大中华区企业事业部高级售前技术经理 马俊

近年来,在消费升级的背景下,在线交易日益频繁和多样化,API的作用也愈发明显:通过整合第三方服务能力,API不仅能使开发者免于从头构建所有能力,而且能加速新产品和服务的开发。API经济模式为金融机构获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统提供了一条快速而灵活的途径,并赋予使用API的金融机构更多的创新动力。基于支付平台开放出来的基础设施、功能与数据,金融机构可以搭建自己的特色产品与服务,从而围绕API开放平台形成完善的支付生态。例如,如果银行向一个电子商务平台开放多个金融服务接口,那么该平台用户就可以直接从该平台在线获得账户查询、支付和消费贷款等银行服务,而不必前往银行。但与此同时,随着API被越来越多地用来提升用户体验,其所面临的安全威胁也日趋多元、复杂。因此,实现API安全对于金融机构至关重要。

一、API面临的安全威胁

近年来,许多金融机构一直在增加对金融创新和开放式银行的投资。作为一种金融服务的开放式连接器,API已经成为这一过程中必不可少的核心能力。实施数字化转型的组织机构也在利用API提供新的客户体验并创造新的收入来源,但这也扩大了恶意威胁主体的攻击面,针对API的安全威胁也成为当前金融机构面临的挑战之一。

根据Gartner的研究,到2022年,原本属于低频攻击类型的API滥用将成为导致企业网络应用数据泄露的最常见攻击载体。在整个2022年上半年,Akamai观察到全球网络应用和API攻击事件大幅增多,迄今为止的攻击尝试超过90亿次,比2021年上半年增加了3倍,这是Akamai有史以来所观察到的最大增幅。除了文件注入攻击之外,SQL注入攻击以及跨站XSS攻击是针对API最主要的攻击手段。其中商业是受影响最大的垂直领域,占近期攻击活动总量的38%。

 

通过深入研究商业垂直领域,Akamai发现零售业在2022年4月取代了酒店和旅游成为受到网络应用和API攻击次数最多的子领域。一般情况下,急于部署新技术和应用的组织机构无法从一开始就建立安全的应用环境。最近的一项研究表明,三分之一的零售商承认在没有正常严格安全保障的情况下推广新技术因此,威胁主体对商业部门虎视眈眈,利用各种攻击载体和方法,以及网络应用中的漏洞,破坏面向互联网的基础设施并窃取客户数据,以达到通过数字资产牟利的目的。勒索软件团伙Conti最近的攻击提醒我们,尤其要注意针对网络应用和API的攻击。Akamai最近的研究显示,该团伙通过对脆弱的应用和系统进行自动攻击尝试来获得对目标网络的初始访问权。

 

二、在边缘实现API安全的Akamai解决方案

如今,API越来越受到世界各地组织机构的青睐,应用接口呈现爆发性增长。与此同时,API也成为了攻击者的主要目标。那么金融机构如何在边缘实现API安全?API所带来的基于应用的接口使得支付行为具有高度的情境关联性,这与早期的人工支付有着本质的区别,因此,其所需要的安全也与网页的行为识别和保护完全不同。2020年2月,人民银行发布了金融行业标准《商业银行应用程序接口安全管理规范》,从技术和管理两方面规范个人金融信息的保护措施和金融API的安全措施。从技术角度讲,API安全应基于API的整个生命周期,这意味着从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。

为了提高API的安全性,Akamai推出了新一代网络应用和API保护(WAAP)解决方案——App & API Protector,App & API Protector将网络应用防火墙、爬虫抑制、API安全和DDoS保护等许多业内领先的核心技术整合到一个解决方案中,通过建立三层保护,帮助金融机构应对超大规模DDoS攻击等API安全挑战,金融机构可以将App & API Protector无缝集成到自身的IT堆栈中。

1.第一层保护

如果API受到多个分布式攻击者的攻击,且攻击者将小流量聚集成大流量来攻击支付网关或支付服务,App & API Protector将会拦截附近的攻击并提供第一层保护。

2.第二层保护

应用层防火墙(WAF)通过以下两种方式提供第二层保护:

1)“自适应检测”

这种方式采用多维威胁评分模型将Akamai的平台与每个网站和API请求的数据/元数据相结合,并根据决策逻辑对数据采取行动,从而准确识别和阻止隐藏的攻击,可使检测到的攻击数量增加三倍。

2)“自我修正”

这是一个自适应安全引擎,不仅能够对快速演变的威胁作出反应,还能将误报/漏报的数量减少到Akamai上一代WAF的五分之一,减少维护和调整策略所需的工作量。

3.第三层保护

第三层保护由内置的爬虫监测和防御措施组成。Akamai的爬虫技术涵盖了超过1500种已知爬虫,使客户能够通过创建和定义爬虫来主动监测和分析攻击,最终实现威胁预防。

值得一提的是,Akamai已被Gartner评为2021年网站应用和API保护魔力象限的领导者。此外,Akamai的解决方案帮助客户识别Akamai边缘网络上的异常行为。例如,如果一个通常在美国西海岸进行交易和支付的终端用户有一天突然出现在东南亚并准备进行动账金融交易,那么Akamai平台就会利用人工智能(AI)/机器学习(ML)技术立即识别这一异常情况并发出警报。不仅如此,Akamai的AI能力还能够为每个客户持续优化保护逻辑和系统。Akamai会根据客户的API流量、页面流量和其他属性来学习、改进和调整政策参数,以适应客户的流量行为和用户特征,最大限度地减少用户行为的“误报和漏报”,优化保护。在Akamai的解决方案中,世界级的专家服务团队也是重要的一个环节。信息安全“猫鼠游戏”的背后是聪明贪婪的黑客同Akamai资深敬业的守护卫士之间的对抗,这支团队每天都在默默无闻地为每一位用户快速、稳定、安全地使用互联网提供技术支撑。

除了外部风险外,支付领域还面临着许多来自组织内部的威胁,如出现在内部办公网络上并横向传播的勒索软件病毒或在外部服务器的生产网络上传播的病毒等,都会给企业造成重大损失。Akamai提供的企业安全解决方案简化了FSI中常见异构系统的管理流程,可提升资源节点和终端设备的安全性和可见性,以便立即发现问题。Akamai的企业安全解决方案通过智能分析企业内部网络的交互行为,利用微分段技术实现了企业应用、资源节点、终端设备、应用进程等多维度灵活的安全微隔离,从而及时发现并阻断在内网中隐秘传播的恶意软件、木马与勒索病毒程序,从源头阻止威胁的传播,满足金融机构在内部信息安全防护上的法规与监管要求。

三、关于保障API安全的建议

许多组织机构都经历过API方面的安全事件,因此知道API的位置和用途至关重要,要识别你的API并像追踪库存一样追踪它们,无论是内部API还是外部API,都需要被识别和保护,或者至少被登记为可能的风险项目并进行评估。

在知道所有API的位置后,需要对它们进行测试并了解其中存在的漏洞。这项工作需要有测试工具,并需要开发人员与安全团队相互配合。此外,需要讨论风险容忍度并制定计划来尽早修复漏洞,避免拖延。这就需要寻找硬编码的密钥、逻辑调用,确认API流量是否会被伪装攻击所入侵;也可以扫描存储库,寻找可被用于破坏API或相关程序的密钥,这一点尤为重要,目前很多攻击都与API密钥泄露有关,因此需要不断强化与提高开发人员的安全意识,定期对密钥进行审核。

在开发和上线期间,需要充分利用现有的WAF基础设施、身份管理和数据保护解决方案,以及专门的API安全工具。此外,必须将API安全作为一项长期的流程,而不是开发过程中的一次性流程。新的漏洞和攻击层出不穷,单一实例检查将会让自身暴露在攻击之中。

API策略方面,需要尽量避免对每个API采取独特的策略,应尽可能使用一套可以重复使用的“一揽子”策略。此外,不要将策略直接写入需要保护的API中,这会违反职责分离机制,增加不必要的复杂性,让维护代码的人员承受更多的开销负担并无法让安全团队看到。根据Akamai的经验,将资源的默认访问级别设置为空或拒绝,可以强制执行最小权限并始终要求身份认证。

 
 
企业简介 | 版权声明 | 免责声明 | 频道介绍 | 安全提示 | 法律顾问 | 网上投稿 | 客服电话 | RSS订阅
Copyright © 2005 Fcc.Com.Cn, All Rights Reserved. ,《中国金融电脑》杂志社版权所有
电话:010-51915111-805 传真:010-51915236,网络出版服务许可证(署)网出证(京)字第337号
京ICP备14024077号-1 京公安网备:11010802025321 技术支持:站多多