压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

隨著全球數字經濟加速發展，應用程序編程接口（以下簡稱API）作為企業數字化轉型的重要基礎設施越來越受到世界各地組織機構的青睞。特別是對于金融行業，API是連接不同來源數據和承載業務邏輯的重要通道，通過開放API實現金融業務線上辦理和查詢、移動支付、業務融合等已成為許多銀行轉型數字化、生態化和形成競爭力的關鍵措施。與此同時，API也正成為惡意攻擊的重點目標，巨大的流量和訪問頻率讓API的風險面變得更廣、影響更大。

金融行業數字化轉型加速?? API威脅暴漲

隨著亞太地區的金融機構持續加速并采用數字優先戰略，API將越來越成為該戰略成功的核心。API對于希望采用開放式銀行業務的金融科技公司和銀行至關重要。

當前，由API傳輸的核心業務數據、個人身份信息等數據的流動性大大增強，因此這些數據面臨著較大的泄漏和濫用風險，是數據保護的薄弱一環，外部惡意攻擊者會利用API接口批量獲取敏感數據。從金融生態開放角度看，目前數據的交互、傳輸、共享等過程往往有多方參與，涉及到交易方、用戶、應用方等多個主體，由此使得數據泄露風險點激增，風險環境愈發復雜。針對API的安全威脅成為當前數字支付領域的挑戰之一。

Akamai發布的《2022上半年網絡應用和API威脅報告》顯示，全球網絡應用和API攻擊大幅增加，今年迄今為止的攻擊嘗試超過90億次，比2021年上半年增加了3倍，這是Akamai有史以來所觀察到的最大增幅。

據Akamai觀察，整個亞太地區的憑證盜竊、帳戶接管和API濫用事件正在增加，印度、澳大利亞、新加坡、日本、中國和印度尼西亞是首要目標國家。

Gartner此前預測，到2022年，API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介；到2024年，API安全問題引起的數據泄露風險將翻倍。相比于Web應用程序攻擊，針對API的撞庫攻擊需要的工作量更少，所以其攻擊速度也要更快。隨著攻擊面不斷擴大，金融機構亟需解決API安全問題，需要通過制定全面的計劃來及時發現、測試和保護API，并將API安全納入其整體應用程序安全策略。

API安全已成為數字金融企業首要任務

隨著我國《網絡安全法》、《數據安全法》和《個人信息保護法》的正式施行，數據安全與隱私保護問題越來越引起國家、社會以及企業的重視。國務院新聞辦公室于近日發布的《攜手構建網絡空間命運共同體》白皮書中也再次強調了構建健康網絡環境、保障數據安全的必要性。而API作為數據泄露的主要來源之一，API安全應當被提到重要位置。

在網絡安全領域，金融行業也因其業務安全的重要性被嚴格監管。中國人民銀行于2020年發布的《商業銀行應用程序接口安全管理規范》規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求，貫穿API的整個生命周期；2021年發布的《金融數據安全 數據生命周期安全規范》則更是要求“對使用API進行數據跨域流動的邊界，應使用API防護技術”，要求“對API數據的外發與回傳進行審計”，在通過API接口方式向特定平臺提供數據的數據應用交換場景中要求使用脫敏等數據安全技術。

金融服務行業的高利潤和有吸引力的客戶隱私數據導致其成為惡意網絡攻擊活動前五個目標行業之一。隨著API持續為數字銀行和支付提供動力，服務可用性和任何中斷都將極大地影響客戶滿意度及其品牌忠誠度。

眾多金融科技企業已逐漸開始構筑安全屏障來抵御繁雜的網絡攻擊。據最新的調查數據顯示，在金融服務領域，有28%的受訪者將提高應用程序API的安全性作為首要任務。此外，70%的金融機構已經部署了API安全的相關措施，16%計劃在12個月內采用相關措施。

加持API安全性，多維深度防護

Akamai大中華區企業事業部高級售前技術經理馬俊在Akamai數字銀行業的API安全報告中表示，API是現代移動和Web應用程序的關鍵部分，為更好的數據集成和個性化的客戶體驗提供了機會。但就其本質而言，API 會暴露應用程序邏輯和敏感數據，例如個人身份信息，并已成為易受攻擊的攻擊目標。

Akamai大中華區企業事業部高級售前技術經理 馬俊

如何創建API深度安全防護？馬俊建議金融科技企業從以下幾個方面著手：

1.定位API并進行盤點跟蹤

API在逐漸普遍的同時，也帶來更多漏洞。許多企業甚至不清楚自身API應用范圍和潛在漏洞。如果不了解這些API，那么防護API安全更是無從談起。所以對于企業來說，了解自身API及其用途是必不可少的。對此，我們建議企業需要對內外部所有的API進行識別和保護，那些被記錄為潛在風險的項目更應得到必要的評估。

2.定位API后，測試以查探是否存在漏洞

如今，業界越來越多地意識到API安全防護應貫穿整個API生命周期，將API置于安全控制的前端和中心。這不僅需要測試工具并加強開發人員培訓，也需要與現有的安全團隊緊密配合，針對風險承受能力制定相應計劃，并盡早修復漏洞。

3.開發及發布期間使用專業的API安全工具

在開發和發布期間，充分利用現有WAF基礎架構、身份管理和數據保護解決方案，以及專門的API安全工具，同時，新的漏洞和攻擊源源不斷，一次性的檢查只會讓API暴露在風險中，因此確保API安全是一個持續的事情，而非在開發過程中的一勞永逸。傳統的基于簽名的網絡安全工具，例如入侵防御系統 (IPS)，基于簽名的Web應用程序防火墻(WAF)和傳統網絡防火墻無法有效保護API。我們推薦企業使用現代Web應用程序和API保護(WAAP)解決方案，該解決方案能夠提供強大的API發現、保護和控制功能，以緩解API漏洞并減少攻擊面。

4.使用“一攬子”策略并協同API開發相關團隊

企業應盡量避免為每種API使用單一策略，而是應盡可能使用一套可復用、組合式“一攬子”策略，圍繞 API 安全建立長期的防御流程。一個好的經驗法則是將任何資源的默認訪問級別設為空或拒絕。 這種零信任方法強制執行最小權限，并使身份驗證成為一個不變的要求。同時，API開發中需要協同各種利益相關團隊，如開發團隊、網絡和安全運營團隊、身份團隊、風險管理師、安全架構師和法律/合規團隊等，以確保產品能夠遵循所有監管的法律法規。