亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

隨著全球數(shù)字經(jīng)濟加速發(fā)展，應(yīng)用程序編程接口（以下簡稱API）作為企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施越來越受到世界各地組織機構(gòu)的青睞。特別是對于金融行業(yè)，API是連接不同來源數(shù)據(jù)和承載業(yè)務(wù)邏輯的重要通道，通過開放API實現(xiàn)金融業(yè)務(wù)線上辦理和查詢、移動支付、業(yè)務(wù)融合等已成為許多銀行轉(zhuǎn)型數(shù)字化、生態(tài)化和形成競爭力的關(guān)鍵措施。與此同時，API也正成為惡意攻擊的重點目標，巨大的流量和訪問頻率讓API的風(fēng)險面變得更廣、影響更大。

金融行業(yè)數(shù)字化轉(zhuǎn)型加速?? API威脅暴漲

隨著亞太地區(qū)的金融機構(gòu)持續(xù)加速并采用數(shù)字優(yōu)先戰(zhàn)略，API將越來越成為該戰(zhàn)略成功的核心。API對于希望采用開放式銀行業(yè)務(wù)的金融科技公司和銀行至關(guān)重要。

當(dāng)前，由API傳輸?shù)暮诵臉I(yè)務(wù)數(shù)據(jù)、個人身份信息等數(shù)據(jù)的流動性大大增強，因此這些數(shù)據(jù)面臨著較大的泄漏和濫用風(fēng)險，是數(shù)據(jù)保護的薄弱一環(huán)，外部惡意攻擊者會利用API接口批量獲取敏感數(shù)據(jù)。從金融生態(tài)開放角度看，目前數(shù)據(jù)的交互、傳輸、共享等過程往往有多方參與，涉及到交易方、用戶、應(yīng)用方等多個主體，由此使得數(shù)據(jù)泄露風(fēng)險點激增，風(fēng)險環(huán)境愈發(fā)復(fù)雜。針對API的安全威脅成為當(dāng)前數(shù)字支付領(lǐng)域的挑戰(zhàn)之一。

Akamai發(fā)布的《2022上半年網(wǎng)絡(luò)應(yīng)用和API威脅報告》顯示，全球網(wǎng)絡(luò)應(yīng)用和API攻擊大幅增加，今年迄今為止的攻擊嘗試超過90億次，比2021年上半年增加了3倍，這是Akamai有史以來所觀察到的最大增幅。

據(jù)Akamai觀察，整個亞太地區(qū)的憑證盜竊、帳戶接管和API濫用事件正在增加，印度、澳大利亞、新加坡、日本、中國和印度尼西亞是首要目標國家。

Gartner此前預(yù)測，到2022年，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介；到2024年，API安全問題引起的數(shù)據(jù)泄露風(fēng)險將翻倍。相比于Web應(yīng)用程序攻擊，針對API的撞庫攻擊需要的工作量更少，所以其攻擊速度也要更快。隨著攻擊面不斷擴大，金融機構(gòu)亟需解決API安全問題，需要通過制定全面的計劃來及時發(fā)現(xiàn)、測試和保護API，并將API安全納入其整體應(yīng)用程序安全策略。

API安全已成為數(shù)字金融企業(yè)首要任務(wù)

隨著我國《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》的正式施行，數(shù)據(jù)安全與隱私保護問題越來越引起國家、社會以及企業(yè)的重視。國務(wù)院新聞辦公室于近日發(fā)布的《攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體》白皮書中也再次強調(diào)了構(gòu)建健康網(wǎng)絡(luò)環(huán)境、保障數(shù)據(jù)安全的必要性。而API作為數(shù)據(jù)泄露的主要來源之一，API安全應(yīng)當(dāng)被提到重要位置。

在網(wǎng)絡(luò)安全領(lǐng)域，金融行業(yè)也因其業(yè)務(wù)安全的重要性被嚴格監(jiān)管。中國人民銀行于2020年發(fā)布的《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》規(guī)定了商業(yè)銀行應(yīng)用程序接口的類型與安全級別、安全設(shè)計、安全部署、安全集成、安全運維、服務(wù)終止與系統(tǒng)下線、安全管理等安全技術(shù)與安全保障要求，貫穿API的整個生命周期；2021年發(fā)布的《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》則更是要求“對使用API進行數(shù)據(jù)跨域流動的邊界，應(yīng)使用API防護技術(shù)”，要求“對API數(shù)據(jù)的外發(fā)與回傳進行審計”，在通過API接口方式向特定平臺提供數(shù)據(jù)的數(shù)據(jù)應(yīng)用交換場景中要求使用脫敏等數(shù)據(jù)安全技術(shù)。

金融服務(wù)行業(yè)的高利潤和有吸引力的客戶隱私數(shù)據(jù)導(dǎo)致其成為惡意網(wǎng)絡(luò)攻擊活動前五個目標行業(yè)之一。隨著API持續(xù)為數(shù)字銀行和支付提供動力，服務(wù)可用性和任何中斷都將極大地影響客戶滿意度及其品牌忠誠度。

眾多金融科技企業(yè)已逐漸開始構(gòu)筑安全屏障來抵御繁雜的網(wǎng)絡(luò)攻擊。據(jù)最新的調(diào)查數(shù)據(jù)顯示，在金融服務(wù)領(lǐng)域，有28%的受訪者將提高應(yīng)用程序API的安全性作為首要任務(wù)。此外，70%的金融機構(gòu)已經(jīng)部署了API安全的相關(guān)措施，16%計劃在12個月內(nèi)采用相關(guān)措施。

加持API安全性，多維深度防護

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊在Akamai數(shù)字銀行業(yè)的API安全報告中表示，API是現(xiàn)代移動和Web應(yīng)用程序的關(guān)鍵部分，為更好的數(shù)據(jù)集成和個性化的客戶體驗提供了機會。但就其本質(zhì)而言，API 會暴露應(yīng)用程序邏輯和敏感數(shù)據(jù)，例如個人身份信息，并已成為易受攻擊的攻擊目標。

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理 馬俊

如何創(chuàng)建API深度安全防護？馬俊建議金融科技企業(yè)從以下幾個方面著手：

1.定位API并進行盤點跟蹤

API在逐漸普遍的同時，也帶來更多漏洞。許多企業(yè)甚至不清楚自身API應(yīng)用范圍和潛在漏洞。如果不了解這些API，那么防護API安全更是無從談起。所以對于企業(yè)來說，了解自身API及其用途是必不可少的。對此，我們建議企業(yè)需要對內(nèi)外部所有的API進行識別和保護，那些被記錄為潛在風(fēng)險的項目更應(yīng)得到必要的評估。

2.定位API后，測試以查探是否存在漏洞

如今，業(yè)界越來越多地意識到API安全防護應(yīng)貫穿整個API生命周期，將API置于安全控制的前端和中心。這不僅需要測試工具并加強開發(fā)人員培訓(xùn)，也需要與現(xiàn)有的安全團隊緊密配合，針對風(fēng)險承受能力制定相應(yīng)計劃，并盡早修復(fù)漏洞。

3.開發(fā)及發(fā)布期間使用專業(yè)的API安全工具

在開發(fā)和發(fā)布期間，充分利用現(xiàn)有WAF基礎(chǔ)架構(gòu)、身份管理和數(shù)據(jù)保護解決方案，以及專門的API安全工具，同時，新的漏洞和攻擊源源不斷，一次性的檢查只會讓API暴露在風(fēng)險中，因此確保API安全是一個持續(xù)的事情，而非在開發(fā)過程中的一勞永逸。傳統(tǒng)的基于簽名的網(wǎng)絡(luò)安全工具，例如入侵防御系統(tǒng) (IPS)，基于簽名的Web應(yīng)用程序防火墻(WAF)和傳統(tǒng)網(wǎng)絡(luò)防火墻無法有效保護API。我們推薦企業(yè)使用現(xiàn)代Web應(yīng)用程序和API保護(WAAP)解決方案，該解決方案能夠提供強大的API發(fā)現(xiàn)、保護和控制功能，以緩解API漏洞并減少攻擊面。

4.使用“一攬子”策略并協(xié)同API開發(fā)相關(guān)團隊

企業(yè)應(yīng)盡量避免為每種API使用單一策略，而是應(yīng)盡可能使用一套可復(fù)用、組合式“一攬子”策略，圍繞 API 安全建立長期的防御流程。一個好的經(jīng)驗法則是將任何資源的默認訪問級別設(shè)為空或拒絕。 這種零信任方法強制執(zhí)行最小權(quán)限，并使身份驗證成為一個不變的要求。同時，API開發(fā)中需要協(xié)同各種利益相關(guān)團隊，如開發(fā)團隊、網(wǎng)絡(luò)和安全運營團隊、身份團隊、風(fēng)險管理師、安全架構(gòu)師和法律/合規(guī)團隊等，以確保產(chǎn)品能夠遵循所有監(jiān)管的法律法規(guī)。