在經濟全球化時代的今天,企業“出海”已經成為一種必然趨勢。根據《埃森哲2022中國企業國際化調研》報告顯示,多重因素正在推動中國企業加速出海步伐,95%受訪的中國“出海”企業認為自己未來3年海外業務的增長可以超過5%。
隨著云計算等技術的飛速發展,金融行業也正在借助新興的技術加速海外業務的布局,以此來拓展更大的市場和客戶資源,增強品牌知名度和國際競爭力,提高盈利能力并降低企業的風險。作為支撐企業數字轉型和創新的重要要素,API已經成為金融行業出海的必選項。近年來,隨著API的使用率大幅提升,利用API漏洞攻擊企業的系統和數據已經成為擺在金融行業面前的最大威脅和主要挑戰。
(資料圖)
API安全風險必須引起金融科技行業的足夠重視
數據安全問題,是所有出海企業面臨的最嚴峻挑戰,尤其是對于金融行業而言,無論是開放式銀行服務、移動與在線服務、數字信息共享等應用,都會引發數據泄露風險。
近年來,API正在成為出海企業連接系統和數據,企業和客戶、合作伙伴的主要橋梁,是當下網絡應用流量的重要出入口。然而,由于API安全技術發展跟不上使用步伐,越來越多的攻擊者正利用API來實施攻擊。
據Gartner預測,到2024年,API濫用和相關數據泄露將幾乎翻倍。在《Hype Cycle for Application Security, 2022》(2022年應用安全技術成熟度曲線)報告中,Gartner再次闡明:API作為企業數字化轉型的重要基礎設施已逐漸成為攻擊者的主要攻擊目標。
IDC同時指出,API安全日漸成為了一個重要的數據安全、應用安全領域。目前,傳統在Web應用安全網關等產品中的API防護功能已經不足以防護日益復雜的API攻擊,API安全應站在全生命周期管理的角度,從API安全開發和部署(API 測試等)開始,配合加密、身份認證、權限管控、API安全測試、檢測、監測、威脅防護、威脅處理等能力來進行管理和控制。
在2022年上半年Akamai Web應用程序和API威脅報告指出,2022年上半年全球Web應用程序和API攻擊數量顯著增加,攻擊嘗試次數超過90億次,,比 2021 年上半年增加了 3 倍。
Akamai大中華區企業事業部高級售前技術經理 馬俊
Akamai大中華區企業事業部高級售前技術經理馬俊表示:從互聯網的流量上看,Akamai觀察到API流量已成為互聯網主要流量形式,超過八成的流量是以API的流量形式承載的。過去一年,API攻擊增長超過287%,這意味著互聯網的安全形勢越來越嚴峻。
不難發現,基于API的攻擊已經成了金融等行業出海面臨的最大安全風險。筆者認為,破解風險的關鍵,除了要強化企業的安全意識之外,還需要借助可靠的產品來解決API開發、測試、應用等過程中出現的安全風險。
基于API整個生命周期構建安全解決方案
在金融科技行業的出海中,由于大量數字支付業務通過API實現,且API所采用的基于應用的接口使得支付行為具有高度的情境關聯性,因此其受到的攻擊面更大,所需要的安全識別和保護難度更大,這就要求基于API使用的整個生命周期來構建API安全,從創建、鏈接到停用和退役都需要對敏感數據進行交互監測和風險識別。
除了杜絕外部風險之外,在支付領域中還要時刻關注出現在內部辦公網絡上并橫向傳播的勒索軟件病毒或在外部服務器的生產網絡上傳播的病毒等,這些都會給金融科技行業造成重大損失。
為此,Akamai也專門提出了的API安全的四大最佳實踐,分別是發現和跟蹤所有 API、識別漏洞、利用現有的安全解決方案、設置一攬子 API 安全策略。
與此同時,面向金融科技行業的API安全保護需求,推出了App & API Protector。這款新一代網絡應用和API保護(WAAP)解決方案通過建立三層保護,幫助金融機構應對超大規模DDoS攻擊等API安全挑戰。
據馬俊介紹,App & API Protector將網絡應用防火墻、爬蟲抑制、API安全和DDoS保護等許多業內領先的核心技術整合到一個解決方案中,組織機構可以將它無縫集成到其IT堆棧中。同時, Akamai提供的企業安全解決方案簡化了FSI中常見異構系統的管理流程,為任何資源節點和終端設備提供安全和可見性,以便立即發現問題。
除此之外,針對內部網絡的安全保護問題,Akamai的企業安全解決方案通過智能分析企業內部網絡的交互行為,利用微分段技術實現了企業應用、資源節點、終端設備、應用進程等多維度靈活的安全微隔離,從而及時發現并阻斷在內網中隱秘傳播的惡意軟件、木馬與勒索病毒程序,從威脅的源頭阻止威脅的傳播,滿足金融機構在內部信息安全防護上的法規與監管要求。
攜手筑實API安全防護基石
面向不同客戶的不同需求,Akamai始終站在“以客戶為中心”的角度,通過與客戶攜手合作,筑實API安全防線。
據了解,Akamai 與全球著名的金融軟件應用程序及在線市場服務提供商Finastra,在分布式拒絕服務攻擊支持、Web 應用程序、API 安全以及邊緣 DNS 方面實現了單點聯系,以此來更好的為客戶提供金融服務,為 Finastra 成為全球領先的 BaaS 解決方案供應商奠定了堅實基礎。
依托于在API保護上的關鍵能力,Akamai也獲得了眾多的榮譽。據了解,截止至2022年,Akamai已連續六年榮膺 Gartner“云端Web應用程序和API保護魔力象限領導者”嘉譽(Gartner Magic Quadrant for Cloud WAAP)。一份名為“Gartner云端Web應用程序和API保護關鍵能力”(Gartner Critical Capabilities for Cloud Web Application and API Protection)的伴讀報告指出,在 4 個基于云的 WAAP 用例中,Akamai 有 3 個用例斬獲最高分:API 安全性和 DevOps、高安全性以及 Web 級業務應用程序。
寫在最后:在經濟全球化的今天,借助API“出海”已經成為企業數字化創新中的關鍵一環。面對日益增多的API攻擊,金融科技行業只有樹立強化的安全意識,并積極與安全企業攜手,才能構建堅實的安全防線,開辟出新的業務,在激烈的競爭中保持不敗之地。
標簽:
