在經(jīng)濟全球化時代的今天，企業(yè)“出?！币呀?jīng)成為一種必然趨勢。根據(jù)《埃森哲2022中國企業(yè)國際化調(diào)研》報告顯示，多重因素正在推動中國企業(yè)加速出海步伐，95%受訪的中國“出海”企業(yè)認(rèn)為自己未來3年海外業(yè)務(wù)的增長可以超過5%。

隨著云計算等技術(shù)的飛速發(fā)展，金融行業(yè)也正在借助新興的技術(shù)加速海外業(yè)務(wù)的布局，以此來拓展更大的市場和客戶資源，增強品牌知名度和國際競爭力，提高盈利能力并降低企業(yè)的風(fēng)險。作為支撐企業(yè)數(shù)字轉(zhuǎn)型和創(chuàng)新的重要要素，API已經(jīng)成為金融行業(yè)出海的必選項。近年來，隨著API的使用率大幅提升，利用API漏洞攻擊企業(yè)的系統(tǒng)和數(shù)據(jù)已經(jīng)成為擺在金融行業(yè)面前的最大威脅和主要挑戰(zhàn)。

API安全風(fēng)險必須引起金融科技行業(yè)的足夠重視

數(shù)據(jù)安全問題，是所有出海企業(yè)面臨的最嚴(yán)峻挑戰(zhàn)，尤其是對于金融行業(yè)而言，無論是開放式銀行服務(wù)、移動與在線服務(wù)、數(shù)字信息共享等應(yīng)用，都會引發(fā)數(shù)據(jù)泄露風(fēng)險。

近年來，API正在成為出海企業(yè)連接系統(tǒng)和數(shù)據(jù)，企業(yè)和客戶、合作伙伴的主要橋梁，是當(dāng)下網(wǎng)絡(luò)應(yīng)用流量的重要出入口。然而，由于API安全技術(shù)發(fā)展跟不上使用步伐，越來越多的攻擊者正利用API來實施攻擊。

據(jù)Gartner預(yù)測，到2024年，API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍。在《Hype Cycle for Application Security, 2022》（2022年應(yīng)用安全技術(shù)成熟度曲線）報告中，Gartner再次闡明：API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施已逐漸成為攻擊者的主要攻擊目標(biāo)。

IDC同時指出，API安全日漸成為了一個重要的數(shù)據(jù)安全、應(yīng)用安全領(lǐng)域。目前，傳統(tǒng)在Web應(yīng)用安全網(wǎng)關(guān)等產(chǎn)品中的API防護功能已經(jīng)不足以防護日益復(fù)雜的API攻擊，API安全應(yīng)站在全生命周期管理的角度，從API安全開發(fā)和部署(API 測試等)開始，配合加密、身份認(rèn)證、權(quán)限管控、API安全測試、檢測、監(jiān)測、威脅防護、威脅處理等能力來進行管理和控制。

在2022年上半年Akamai Web應(yīng)用程序和API威脅報告指出，2022年上半年全球Web應(yīng)用程序和API攻擊數(shù)量顯著增加，攻擊嘗試次數(shù)超過90億次，，比 2021 年上半年增加了 3 倍。

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊表示：從互聯(lián)網(wǎng)的流量上看，Akamai觀察到API流量已成為互聯(lián)網(wǎng)主要流量形式，超過八成的流量是以API的流量形式承載的。過去一年，API攻擊增長超過287%，這意味著互聯(lián)網(wǎng)的安全形勢越來越嚴(yán)峻。

不難發(fā)現(xiàn)，基于API的攻擊已經(jīng)成了金融等行業(yè)出海面臨的最大安全風(fēng)險。筆者認(rèn)為，破解風(fēng)險的關(guān)鍵，除了要強化企業(yè)的安全意識之外，還需要借助可靠的產(chǎn)品來解決API開發(fā)、測試、應(yīng)用等過程中出現(xiàn)的安全風(fēng)險。

基于API整個生命周期構(gòu)建安全解決方案

在金融科技行業(yè)的出海中，由于大量數(shù)字支付業(yè)務(wù)通過API實現(xiàn)，且API所采用的基于應(yīng)用的接口使得支付行為具有高度的情境關(guān)聯(lián)性，因此其受到的攻擊面更大，所需要的安全識別和保護難度更大，這就要求基于API使用的整個生命周期來構(gòu)建API安全，從創(chuàng)建、鏈接到停用和退役都需要對敏感數(shù)據(jù)進行交互監(jiān)測和風(fēng)險識別。

除了杜絕外部風(fēng)險之外，在支付領(lǐng)域中還要時刻關(guān)注出現(xiàn)在內(nèi)部辦公網(wǎng)絡(luò)上并橫向傳播的勒索軟件病毒或在外部服務(wù)器的生產(chǎn)網(wǎng)絡(luò)上傳播的病毒等，這些都會給金融科技行業(yè)造成重大損失。

為此，Akamai也專門提出了的API安全的四大最佳實踐，分別是發(fā)現(xiàn)和跟蹤所有 API、識別漏洞、利用現(xiàn)有的安全解決方案、設(shè)置一攬子 API 安全策略。

與此同時，面向金融科技行業(yè)的API安全保護需求，推出了App & API Protector。這款新一代網(wǎng)絡(luò)應(yīng)用和API保護（WAAP）解決方案通過建立三層保護，幫助金融機構(gòu)應(yīng)對超大規(guī)模DDoS攻擊等API安全挑戰(zhàn)。

據(jù)馬俊介紹，App & API Protector將網(wǎng)絡(luò)應(yīng)用防火墻、爬蟲抑制、API安全和DDoS保護等許多業(yè)內(nèi)領(lǐng)先的核心技術(shù)整合到一個解決方案中，組織機構(gòu)可以將它無縫集成到其IT堆棧中。同時， Akamai提供的企業(yè)安全解決方案簡化了FSI中常見異構(gòu)系統(tǒng)的管理流程，為任何資源節(jié)點和終端設(shè)備提供安全和可見性，以便立即發(fā)現(xiàn)問題。

除此之外，針對內(nèi)部網(wǎng)絡(luò)的安全保護問題，Akamai的企業(yè)安全解決方案通過智能分析企業(yè)內(nèi)部網(wǎng)絡(luò)的交互行為，利用微分段技術(shù)實現(xiàn)了企業(yè)應(yīng)用、資源節(jié)點、終端設(shè)備、應(yīng)用進程等多維度靈活的安全微隔離，從而及時發(fā)現(xiàn)并阻斷在內(nèi)網(wǎng)中隱秘傳播的惡意軟件、木馬與勒索病毒程序，從威脅的源頭阻止威脅的傳播，滿足金融機構(gòu)在內(nèi)部信息安全防護上的法規(guī)與監(jiān)管要求。

攜手筑實API安全防護基石

面向不同客戶的不同需求，Akamai始終站在“以客戶為中心”的角度，通過與客戶攜手合作，筑實API安全防線。

據(jù)了解，Akamai 與全球著名的金融軟件應(yīng)用程序及在線市場服務(wù)提供商Finastra，在分布式拒絕服務(wù)攻擊支持、Web 應(yīng)用程序、API 安全以及邊緣 DNS 方面實現(xiàn)了單點聯(lián)系，以此來更好的為客戶提供金融服務(wù)，為 Finastra 成為全球領(lǐng)先的 BaaS 解決方案供應(yīng)商奠定了堅實基礎(chǔ)。

依托于在API保護上的關(guān)鍵能力，Akamai也獲得了眾多的榮譽。據(jù)了解，截止至2022年，Akamai已連續(xù)六年榮膺 Gartner“云端Web應(yīng)用程序和API保護魔力象限領(lǐng)導(dǎo)者”嘉譽（Gartner Magic Quadrant for Cloud WAAP）。一份名為“Gartner云端Web應(yīng)用程序和API保護關(guān)鍵能力”（Gartner Critical Capabilities for Cloud Web Application and API Protection）的伴讀報告指出，在 4 個基于云的 WAAP 用例中，Akamai 有 3 個用例斬獲最高分：API 安全性和 DevOps、高安全性以及 Web 級業(yè)務(wù)應(yīng)用程序。

寫在最后：在經(jīng)濟全球化的今天，借助API“出?！币呀?jīng)成為企業(yè)數(shù)字化創(chuàng)新中的關(guān)鍵一環(huán)。面對日益增多的API攻擊，金融科技行業(yè)只有樹立強化的安全意識，并積極與安全企業(yè)攜手，才能構(gòu)建堅實的安全防線，開辟出新的業(yè)務(wù)，在激烈的競爭中保持不敗之地。