随着金融行业数字化转型的持续深入,传统的金融服务模式已经不能匹配最新的数字化需求,线上化、智能化、场景化等数字金融生态变得随处可见,与此同时,金融科技的创新发展也给金融行业的数据安全带来了不可想象的压力。从数据保护的角度来看,随着金融行业 API 开放的数量增多,其传输的核心业务、个人身份信息等数据流动性大大增强,因此面临着较大的泄漏和滥用风险。API 作为驱动开放共享的核心能力,已深度应用于金融行业,其巨大的流量和访问频率也让数据安全风险面变得更广、影响更大。
金融行业面临的 API 安全威胁
Gartner 认为,到 2022 年 API 将成为最频繁的在线攻击向量。随着数字化进程的不断加快,API 的数量呈现出高速增长的态势。API 对许多企业的业务发展至关重要,但同时也已成为攻击者眼中的重点目标。
据 Akamai 统计报告,今年上半年,全球网络应用和 API 攻击显著飙升。2022年以来,相关攻击尝试超过 90亿次,相比去年增加3倍之多。
金融 API 的开放加速了业务流程再造,并将服务模式从线下扩展到线上,提升了金融服务效能,但也使得金融 API 风险形式呈现出新特点、新变化:管理上难度更高、风险敞口更多、风险管控链条更长、风险洼地效应更加明显。对于 API 金融服务来说,一边是数据,一边是场景和生态,从这两个方向来看,金融 API 风险挑战具体表现在以下几个方面:
1.1 API 资产无法有效管理
从数据角度看,API 是数据资产。因业务属性需要公开部分 API 来支撑客户服务和第三方合作,由于技术上 API 资产不可被扫描探测,随着 API 调用数量增多,业务部门若未及时同步安全团队 API 具体存量和新增清单,安全团队将无法有效获取 API 资产清单,从而无法对整体业务进行有效管理和安全分析,导致出现 资产管理难题:API 资产不清、责任不清、数据类型划分不清等 API 资产生命周期管理问题。因此,金融企业迫切需要采用针对性的 API 自动梳理能力,才能有效进行 API 资产管理。
1.2 敏感数据泄漏
近年来 API 数据泄露事件屡见不鲜,金融 API 连接交互中涉及到了个人金融数据和业务数据多种类型,同时数据调用可能涉及多个服务提供、场景建设、交易发起等主体,意味着数据泄露和欺诈风险点增多,任何一方数据保护存在薄弱环节都可能危及金融数据安全,如不法分子可能非法获取客户信息,第三方金融供应链的应用方可能暗箱违规套取交易信息,导致敏感数据泄漏等。金融 API 治理中,业务API的数据泄露风险约占 92%。
1.3 网络攻击风险
从生态方面来看,金融 API 接口具有公开、共享属性,API 开放便用的模式上使得网络边界逐渐模糊,客观上扩大了金融网络的受攻击范围,风险传导路径随之增多。黑产已实现各类攻击资源高度的模块化和市场化,使得金融企业原有的防护边界和防护手段无法应对现有业务模式下API的各类新兴威胁,如利用高级自动化工具进行 API 接口恶意调用(应用层 DDOS),可能导致业务服务质量下降、服务器被入侵、业务连续性中断等问题。国际开源安全组织 OWASP 发布的API Security TOP10 已逐年提醒需要防范针对 API 的攻击警示。
1.4 业务风险
从具体业务场景来看,API 接口数据开放意味着业务模式、交易模式产生的业务风险类型的变化,相应的各类黑灰产欺诈手法也随之变化,欺诈手段聚焦 API 特性更加专业化、产业化、隐蔽化、场景化。比如合作渠道可能违规使用开放 API 服务接口,将接口“二次打包”给未经授权的调用方使用;黑产利用正常业务接口进行撞库攻击、数据窃取;金融活动的线上营销遭遇“薅羊毛”,奖励大部分被黑产薅走等。
金融行业 API 安全应对建议
随着攻击面不断扩大,金融机构亟需解决 API 安全问题,通过制定全面计划并及时发现、测试和保护 API,并将 API 安全纳入其整体应用程序安全策略。针对金融科技行业如何实现 API 深度安全防护,梆梆安全技术专家给出四点建议。
API 资产梳理
API 在大量发展的同时,很多企业甚至不清楚自身 API 应用范围和潜在漏洞。如果连 API 资产情况都不了解,那么防护 API 更是无从谈起。对于企业来讲,梳理自身 API 及其用途是非常重要的。对此,建议企业对内外部所有的 API 资产进行识别和保护,被记录为潜在风险的资产更应得到重点的关注。
API 安全测试
随着业界越来越多地意识到 API 安全防护应贯穿整个 API 生命周期,将 API 置于安全控制的前端和中心,不仅需要测试工具并加强开发人员培训,也需要与现有的安全团队紧密配合,针对风险承受能力制定相应安全测试计划,并尽早修复漏洞。
专业的 API 安全设备
对金融科技的企业而言,在开发和发布期间,需要充分利用现有 WAF 基础架构、身份管理和数据保护解决方案,以及专门的API安全工具,同时,新的漏洞和攻击源源不断,一次性的检查只会让API暴露在风险中,因此确保API安全是一个持续的事情,而非在开发过程中的一劳永逸。企业应该使用现代 Web 应用程序和API保护(WAAP)解决方案等专业设备,借助强大的API发现、保护和控制功能,以缓解API漏洞并减少攻击面。
专业的 API 安全运营团队
对金融科技企业来说,需要尽量避免为每种 API 使用单一策略,而是应尽可能围绕 API 安全建立长期的防御流程使用一套可复用、组合式“一揽子”策略。一个好的经验法是将任何资源的默认访问级别设为空或拒绝,这种零信任方法强制执行最小权限,并使身份验证成为一个不变的要求。同时,API 开发中需要协同各种利益相关团队,如开发团队、网络和安全运营团队、身份团队、风险管理师、安全架构师和法律/合规团队等,以确保产品能够遵循所有监管的法律法规。
安全是开放的前提。当金融业务在以 API 为抓手,用新思维、新技术、新模式为广大客户更优质便捷的产品与服务时,构建安全、合规、可管、可控的金融 API,对于金融行业转型至关重要。未来金融行业必定更注重 API 安全管控,梆梆安全将结合自身多年的安全实践与技术优势,为金融企业用户构建合规要求下的数据安全治理体系,提供新一代 API 风险解决方案,深化金融 API 安全,确保金融 API 业务合规可靠,推动 API 数据更好地赋能数字科技服务。
推荐阅读
Recommended
>API安全专题(一) | 数字化转型下企业的API安全剖析
>API安全专题(二)| API资产的发现与管理
原文始发于微信公众号(梆梆安全):API 安全专题(五)|金融行业的 API 安全应对之道
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论