金融3.0的到來,金融業正面臨著更多的挑戰,其中API的安全性成為焦點。未來幾年API數量將呈現指數級的成長,並且API成為最常受到攻擊的企業Web應用服務之一。因此,如何有效地保護API成為企業安全團隊的重要任務。
政府法規與金管會規則對API安全的影響
1.1 政府法規對API安全的要求
政府法規通常要求金融機構對其API進行嚴格的安全保護,以確保用戶數據的安全和隱私。這些要求可能包括:
-
身份驗證要求: 金融機構需要確保對API的訪問進行嚴格的身份驗證,以確保只有授權的用戶可以訪問敏感數據。
-
資料加密規範: 對於傳輸中的敏感數據,金融機構通常需要使用加密技術進行保護,以防止數據在傳輸過程中被截取或竊取。
-
監控報告要求: 金融機構需要對其API的使用情況進行監控和報告,以及時發現和應對可能的安全威脅和風險。
1.2 金管會對API安全的要求
金管會作為金融業的監管機構,對金融機構的API安全提出了更具體和專業的要求。金管會的要求通常更加細緻化和具體化,包括:
-
身份驗證和授權要求: 金管會要求金融機構確保其API的身份驗證和授權機制的安全可靠,以防止未授權的用戶訪問敏感數據。
-
安全監控和報告要求: 金管會要求金融機構對其API的使用情況進行持續監控和報告,及時發現和應對可能的安全威脅和風險。
-
漏洞修補和風險評估要求: 金管會要求金融機構對其API進行定期的漏洞修補和風險評估,以及時發現和修復可能存在的安全漏洞和風險。
金融業API安全的挑戰與Akamai的解決方案
2.1 身份驗證漏洞
身份驗證是API安全的關鍵環節之一,但金融機構常常存在身份驗證漏洞,使得未授權的用戶可以訪問敏感數據,從而導致安全風險。
2.2 資料外洩風險
金融機構的API可能存在資料外洩風險,使得敏感數據在傳輸和存儲過程中遭到截取或竊取,從而導致用戶數據的泄露和損害。
2.3 API攻擊
金融機構的API可能面臨各種類型的攻擊,包括DDoS攻擊、SQL注入攻擊等,這些攻擊可能導致API服務的中斷和用戶數據的損害。
2.4 Akamai的解決方案
Akamai提供了一系列的解決方案來幫助金融機構應對API安全的挑戰。其解決方案包括:
- API 安全產品:阻止 API 攻擊,檢測業務邏輯濫用,並使用行為分析來發現和監控 API 活動。
- Web 應用防火牆(WAF):保護 API 免受各種網絡攻擊。
- 零信任安全:確保遠程訪問的安全,防止未授權訪問。
- 企業威脅防護(ETP):防護惡意網站、網絡釣魚和惡意軟件。
- Guardicore 微分段:防止勒索軟件橫向移動,增強內部網絡安全
仔細看看 BOLA
API氾濫造成的重大威脅與挑戰
API的激增帶來了分散性管理的挑戰,85%的企業在多個公有雲、本地端和邊緣的分散式環境中部署應用和API,擴大了攻擊面。此外,被遺棄的API也存在著風險,過時或殭屍API可能因未被管理而成為安全漏洞。更令人擔憂的是,許多企業經歷過敏感資料或隱私事件外洩,這不僅導致巨大的成本,還損害了企業的聲譽。
如何強化API防護?
為了應對這些挑戰,企業安全團隊需要針對API進行盤點,並實施相應的防護機制:
-
確保安全基礎架構:在多雲與微服務環境裡,安全團隊需確保基礎設施有足夠的能力來支撐全面的API攻擊防禦。
-
建構API學習識別模型:利用人工智慧和機器學習技術建立API模型基線,並追蹤API的行為,以識別異常情況。
-
識別API請求驗證和授權:針對每個API資源提供詳細的身份驗證狀態和風險評分,確保來源身份驗證及存取內容符合安全要求。
-
發現PII敏感資訊檢測:偵測並標記透過API公開的個人身份識別信息(PII),並具有隱藏敏感資料的屏蔽功能,以保護用戶隱私。
-
強化API盤整機制與管控:建立完整的API資源盤點和監控機制,確保安全管控範圍之內的API資源,並主動發現脫離安全管控範圍的API。
-
建立API攻擊防禦機制:基礎設施應具備應用程式防火牆(WAF),並提供立即阻斷惡意API請求的能力,以保護API不受攻擊。
Akamai的優勢及價值
Akamai最佳合作夥伴-Netron網創資訊
Netron網創資訊是亞太最大的專業 DDoS 防禦服務供應商,提供企業完整的解決方案,可阻擋所有DDoS種類的攻擊,已成功協助客戶抵擋數百萬起的DDoS攻擊事件,擁有豐富的防禦經驗,而我們合作的Akamai 為唯一保障服務 100% SLA 的 SaaS 平台,並獲得全球 500 強中有 1/2 的品牌信任,也是企業雲端資安防護的最佳選擇。