隨著金融服務(wù)行業(yè)的數(shù)字化轉(zhuǎn)型加速，API（應(yīng)用程序編程接口）成為企業(yè)運(yùn)營(yíng)的核心，API安全問題也日益嚴(yán)重。

根據(jù)Traceable AI最新發(fā)布的《2024年金融服務(wù)API安全狀況報(bào)告》金融業(yè)API安全面臨著重大挑戰(zhàn)，包括監(jiān)管合規(guī)、可見性問題和保護(hù)敏感數(shù)據(jù)等。報(bào)告指出，金融行業(yè)在API集成復(fù)雜性上極度掙扎，合規(guī)性、數(shù)據(jù)泄露和欺詐等方面的風(fēng)險(xiǎn)顯著增加。82%的金融機(jī)構(gòu)對(duì)監(jiān)管合規(guī)表示擔(dān)憂，包括遵守FFIEC、OCC、CFPB和PCI-DSS等標(biāo)準(zhǔn)。

該報(bào)告基于對(duì)超過150位美國(guó)網(wǎng)絡(luò)安全專家的調(diào)查，深入分析了API安全的現(xiàn)狀、面臨的挑戰(zhàn)以及應(yīng)對(duì)策略。具體如下：

金融業(yè)API安全面臨的五大挑戰(zhàn)：

致命弱點(diǎn)：可見性和上下文

令人擔(dān)憂的是，64%的受訪者承認(rèn)在將API活動(dòng)與用戶互動(dòng)和數(shù)據(jù)軌跡相關(guān)聯(lián)方面缺乏清晰度，這顯著阻礙了他們的威脅檢測(cè)能力。對(duì)API、用戶行為和數(shù)據(jù)移動(dòng)的復(fù)雜關(guān)系缺乏理解，是該行業(yè)防御策略中的一個(gè)明顯漏洞。

敏感數(shù)據(jù)泄露

API已經(jīng)成為金融運(yùn)營(yíng)的關(guān)鍵，常常處理包括個(gè)人身份信息（60%）、認(rèn)證詳情（60%）、支付卡數(shù)據(jù)（56%）和地理位置數(shù)據(jù)（55%）在內(nèi)的敏感信息。這使得它們成為網(wǎng)絡(luò)攻擊者的目標(biāo)，凸顯了強(qiáng)化安全措施的必要性。

API安全挑戰(zhàn)的三重困境

API是網(wǎng)絡(luò)犯罪分子攻擊的理想目標(biāo)，弱認(rèn)證機(jī)制、憑證泄露或漏洞利用都可能導(dǎo)致未經(jīng)授權(quán)的訪問。調(diào)查顯示，金融業(yè)API安全面臨三大風(fēng)險(xiǎn)和挑戰(zhàn)：未經(jīng)授權(quán)訪問（35%）、數(shù)據(jù)泄露（33%）和漏洞檢測(cè)（30%）。這些挑戰(zhàn)突顯了金融行業(yè)在保護(hù)API網(wǎng)關(guān)免受未經(jīng)授權(quán)利用方面的掙扎。

欺詐和惡意機(jī)器人

在經(jīng)歷API泄露的機(jī)構(gòu)中，42%將事件歸因于欺詐活動(dòng)，這表明濫用和誤用問題的普遍性。73%的受訪者認(rèn)為惡意機(jī)器人對(duì)API安全構(gòu)成中度至重大威脅。這些機(jī)器人可以執(zhí)行數(shù)據(jù)刮取、欺詐交易或通過大量流量攻擊API，導(dǎo)致服務(wù)拒絕攻擊（DDoS）。此外，僅有15%的機(jī)構(gòu)對(duì)其阻止API相關(guān)欺詐的能力表示高度信心，表明當(dāng)前安全狀態(tài)存在關(guān)鍵缺口。

API泄露的連鎖反應(yīng)

API泄露的影響遠(yuǎn)遠(yuǎn)超出了即時(shí)的數(shù)據(jù)泄露。品牌完整性和客戶信任度，分別在41%的案例中受到影響，成為首要受害者，緊隨其后的是財(cái)務(wù)影響（36%）和客戶流失（35%）。

為了有效管理API安全風(fēng)險(xiǎn)，報(bào)告建議金融機(jī)構(gòu)：

• 全面發(fā)現(xiàn)和管理API：通過自動(dòng)化工具持續(xù)發(fā)現(xiàn)并記錄每個(gè)API，包括內(nèi)部、外部和第三方API，消除安全盲點(diǎn)。
• 量化并監(jiān)控API風(fēng)險(xiǎn)：分類敏感數(shù)據(jù)類型，監(jiān)控?cái)?shù)據(jù)在服務(wù)之間的流動(dòng)，創(chuàng)建數(shù)據(jù)保護(hù)政策以阻止數(shù)據(jù)訪問和防止數(shù)據(jù)泄露。
• 自動(dòng)化和擴(kuò)展API漏洞測(cè)試：利用實(shí)時(shí)流量和回放流量構(gòu)建更智能的API測(cè)試，快速擴(kuò)展測(cè)試計(jì)劃。
• 檢測(cè)和阻止API攻擊、欺詐和濫用：使用行為分析和機(jī)器學(xué)習(xí)模型建立API行為檔案，有效識(shí)別異常行為并阻止威脅。