最新消息



雲端技能學習

【雲端技能學習】API安全防護與解決方案:面對金融3.0新挑戰

金融3.0的到來,金融業正面臨著更多的挑戰,其中API的安全性成為焦點。未來幾年API數量將呈現指數級的成長,並且API成為最常受到攻擊的企業Web應用服務之一。因此,如何有效地保護API成為企業安全團隊的重要任務。

政府法規與金管會規則對API安全的影響

金融業作為一個高度數字化和資訊化的行業,其安全性至關重要。政府法規和金融監管機構(如金管會)通常針對金融業制定一系列的法規和規則,以保護金融機構的運作安全和用戶數據的隱私保護。這些法規和規則對金融業的API安全性提出了明確的要求,金融機構需要遵守這些規定以確保其API的安全性和合規性。

1.1 政府法規對API安全的要求

政府法規通常要求金融機構對其API進行嚴格的安全保護,以確保用戶數據的安全和隱私。這些要求可能包括:

  • 身份驗證要求: 金融機構需要確保對API的訪問進行嚴格的身份驗證,以確保只有授權的用戶可以訪問敏感數據。

  • 資料加密規範: 對於傳輸中的敏感數據,金融機構通常需要使用加密技術進行保護,以防止數據在傳輸過程中被截取或竊取。

  • 監控報告要求: 金融機構需要對其API的使用情況進行監控和報告,以及時發現和應對可能的安全威脅和風險。

1.2 金管會對API安全的要求

金管會作為金融業的監管機構,對金融機構的API安全提出了更具體和專業的要求。金管會的要求通常更加細緻化和具體化,包括:

  • 身份驗證和授權要求: 金管會要求金融機構確保其API的身份驗證和授權機制的安全可靠,以防止未授權的用戶訪問敏感數據。

  • 安全監控和報告要求: 金管會要求金融機構對其API的使用情況進行持續監控和報告,及時發現和應對可能的安全威脅和風險。

  • 漏洞修補和風險評估要求: 金管會要求金融機構對其API進行定期的漏洞修補和風險評估,以及時發現和修復可能存在的安全漏洞和風險。

金融業API安全的挑戰與Akamai的解決方案

雖然政府法規和金管會規則對金融業的API安全提出了明確的要求,但金融機構仍面臨著諸多挑戰。這些挑戰包括:

2.1 身份驗證漏洞

身份驗證是API安全的關鍵環節之一,但金融機構常常存在身份驗證漏洞,使得未授權的用戶可以訪問敏感數據,從而導致安全風險。

2.2 資料外洩風險

金融機構的API可能存在資料外洩風險,使得敏感數據在傳輸和存儲過程中遭到截取或竊取,從而導致用戶數據的泄露和損害。

2.3 API攻擊

金融機構的API可能面臨各種類型的攻擊,包括DDoS攻擊、SQL注入攻擊等,這些攻擊可能導致API服務的中斷和用戶數據的損害。

2.4 Akamai的解決方案

Akamai提供了一系列的解決方案來幫助金融機構應對API安全的挑戰。其解決方案包括:

  • API 安全產品:阻止 API 攻擊,檢測業務邏輯濫用,並使用行為分析來發現和監控 API 活動。
  • Web 應用防火牆(WAF):保護 API 免受各種網絡攻擊。
  • 零信任安全:確保遠程訪問的安全,防止未授權訪問。
  • 企業威脅防護(ETP):防護惡意網站、網絡釣魚和惡意軟件。
  • Guardicore 微分段:防止勒索軟件橫向移動,增強內部網絡安全

仔細看看 BOLA

BOLA 是一種安全漏洞,當應用程式或應用程式介面 (API) 根據使用者角色提供對資料物件的存取權限,但無法驗證使用者是否有權存取這些特定資料物件時,就會出現該漏洞。 BOLA 是授權缺陷大家族的一部分,是應用程式安全的一個主要問題。

BOLA 預防和緩解策略包括實施適當的存取控制、使用映射來追蹤使用者是否有權存取所請求的對象、應用強大的身份驗證和會話管理來驗證使用者並確保他們的會話得到正確管理。

API 管理(APIM)為金融企業避雷 打造零金融檢查缺失

金融企業皆須針對金管會提出的金融檢查項目進行檢核準備,主要涵蓋防制洗錢、打擊資恐及反武器擴散落實情形、法令遵循制度實施情形、公司治理運作落實情形、資通安全管理、金融消費者保護作業、個人資料保護等 6 項。因此,不想有金融缺失,要注意別踩哪些雷?

API 管理與金融檢查密切相關,而APIM平台的選擇關係到金融企業是否能適應金融檢查的要求。APIM平台能夠協助金融機構滿足金融檢查中的多項要求,包括API 分級協助、API 部署授權、API 適當認證、API 即時監控、API 控管機制等。其中,對於金融機構來說,特別需要關注的是 API 的分級協助和部署授權,以確保 API 的安全運行和合規性。

API氾濫造成的重大威脅與挑戰

API的激增帶來了分散性管理的挑戰,85%的企業在多個公有雲、本地端和邊緣的分散式環境中部署應用和API,擴大了攻擊面。此外,被遺棄的API也存在著風險,過時或殭屍API可能因未被管理而成為安全漏洞。更令人擔憂的是,許多企業經歷過敏感資料或隱私事件外洩,這不僅導致巨大的成本,還損害了企業的聲譽。

如何強化API防護?

為了應對這些挑戰,企業安全團隊需要針對API進行盤點,並實施相應的防護機制:

  1. 確保安全基礎架構:在多雲與微服務環境裡,安全團隊需確保基礎設施有足夠的能力來支撐全面的API攻擊防禦。

  2. 建構API學習識別模型:利用人工智慧和機器學習技術建立API模型基線,並追蹤API的行為,以識別異常情況。

  3. 識別API請求驗證和授權:針對每個API資源提供詳細的身份驗證狀態和風險評分,確保來源身份驗證及存取內容符合安全要求。

  4. 發現PII敏感資訊檢測:偵測並標記透過API公開的個人身份識別信息(PII),並具有隱藏敏感資料的屏蔽功能,以保護用戶隱私。

  5. 強化API盤整機制與管控:建立完整的API資源盤點和監控機制,確保安全管控範圍之內的API資源,並主動發現脫離安全管控範圍的API。

  6. 建立API攻擊防禦機制:基礎設施應具備應用程式防火牆(WAF),並提供立即阻斷惡意API請求的能力,以保護API不受攻擊。

Akamai的優勢及價值 

Akamai作為一家領先的資訊安全公司 ,具有以下優勢和價值:

  1. 全球覆蓋範圍:擁有全球最大的伺服器網絡,分佈在超過130個國家,確保快速內容傳遞
  2. 高效動態內容優化:能加速動態內容,如API請求和多媒體串流
  3. 強大安全性:提供DDoS防護、網路威脅偵測和WAF
  4. 高度可定制性:客戶可根據需求設定和管理內容交付策略
  5. 實時分析和監控:提供深入的性能統計和監控工具
  6. 綠色可持續性:致力於節能和碳中和

Akamai最佳合作夥伴-Netron網創資訊

Netron網創資訊是亞太最大的專業 DDoS 防禦服務供應商,提供企業完整的解決方案,可阻擋所有DDoS種類的攻擊,已成功協助客戶抵擋數百萬起的DDoS攻擊事件,擁有豐富的防禦經驗,而我們合作的Akamai 為唯一保障服務 100% SLA 的 SaaS 平台,並獲得全球 500 強中有 1/2 的品牌信任,也是企業雲端資安防護的最佳選擇。 

BACK
Contact
Contact