容易被忽视，金融机构如何应对API安全威胁

　　都能感受到，如今数字支付的普及程度非常之高，但很多人不知道的是，数字支付其实存在很多安全风险。
　　所幸，绝大部分的安全问题都由安全人员来解决，普通人在享受数字支付带来的便利的同时，需要对潜在的网络诈骗提高警惕即可，而对于提供这种便利的金融机构和在线商户而言，则要承担更巨大的压力。
　　数字支付带来的安全压力
　　电商平台是网络犯罪分子＂特别关照＂的群体，为了提高用户体验，电商平台会利用各种新技术。比如，会推出免密支付、指纹支付、刷脸支付等功能，会放弃双因验证等安全手段，以求减少用户下单支付的障碍。
　　在线商户经常蒙受损失。除了常见的爬虫和DDoS攻击，支付环节也有许多压力，据《全球支付风险缓解》报告预计，38%的在线商户因支付欺诈而损失了6%以上的营业额，在线商户既需要保护消费者的交易安全，也需要保障自身收入来源的安全，因此临着巨大压力。
　　从银行的角度看，随着数字支付的兴起，银行的安全风险也会水涨船高。来自卡巴斯基的一份调研数据显示，仅在新加坡，2021与数字支付相关的欺诈案件就激增了53%。
　　加密货币的兴起为金融机构也带来了新挑战。据《福布斯》报道，60%的加密货币拥有者需要通过银行投资加密货币。2021年，76%的重大黑客事件与去中心化金融有关，其中，仅第三季度就造成了超10亿美元的损失，金融机构需要使用先进的欺诈控制手段来加以应对。
　　AI技术发展的双刃剑也开始显现。一些黑客开始利用人工智能（AI）技术来冒充用户的声音和面孔，从而骗过身份认证，这一问题在2021年开始快速增多，未来可能会给相关机构的身份验证带来挑战。
　　总之，在线支付确实提供了很多便利，对于提升用户体验很有帮助。作为一种重要的技术手段，API越来越多地被用来提升用户体验，当在线支付等便利的技术用得越来越多，那么针对API的攻击必然也会越来越多。
　　API安全现状
　　据了解，全世界第一个API是Salesforce在2000年2月编写的，它是一种用于系统与系统之间进行通信的方式，如今已经成为推动互联网发展的重要推动力。开发者可以通过API直接调用第三方服务能力，使得应用开发者不用从零构建所有能力，从而能快速开发出产品和服务。
　　过去近十年以来，金融机构通过API来获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统，API的使用为金融机构创新带来了巨大动力。通常，金融机构会对外开放一些API，或者使用外部的API接口来拓展业务和进行业务创新。
　　比如，电子商务平台要求银行向其用户提供账户查询、支付和消费贷款等服务，银行只需要向电子商务平台开放多个金融服务接口，用户就可以从电子商务平台获得来自银行的服务，而不必前往银行。
　　过程中，银行、电子商务平台和电子商务平台的用户都是受益者。也因此，许多金融机构都热衷于进行金融创新，热衷于利用API提升客户体验，并创造新的收入来源。
　　但问题是，这使得API的安全威胁也成为当前数字支付领域一大挑战。Gartner 预测：＂到 2022 年，API 滥用将从原本频率较低的攻击类型变为导致企业 Web 应用程序数据泄露的最常见攻击媒介。＂
　　Akamai发布的《2022上半年网络应用和API威胁报告》显示，全球网络应用和API攻击大幅增加，今年迄今为止的攻击尝试超过90亿次，比2021年上半年增加了3倍，这是Akamai有史以来所观察到的最大增幅。
　　黑客在攻击的过程中表现出了明显的偏好，将商业服务视为＂重点照顾对象＂，对其发起的攻击占到了近期攻击的38%，这其中，零售业又是受攻击最多的子领域。
　　加上许多企业在部署新技术的时候，无法在一开始就构建安全能力，这也加剧了遭受攻击的可能。有研究表明，三分之一的零售商承认在没有严格安全保障的前提下，使用了新技术。
　　Akamai的安全布道师Martin McKeay在《API：与每个人息息相关的攻击》中表示，针对API 攻击的检测力度不够，检测到之后对于重要性的认识也不足，从而使得API攻击成为了企业面临的最大威胁之一。
　　金融机构如何应对API安全威胁
　　Akamai大中华区企业事业部高级售前技术经理马骏分享了应对安全威胁的几条建议。
　　比如，要能识别并追踪API，并且测试其中可能存在的漏洞；将API安全作为一项长期的流程，在应用开发和上线期间都要利用现有专业的API安全工具；在API策略方面，尽可能使用一套可以重复使用的＂一揽子＂策略。
　　马俊介绍了Amakai的App & API Protector方案，它可以为数字支付场景提供的三层防护能力，能帮助金融机构应对API安全挑战：
　　第一层，如果API受到多个分布式攻击者的攻击并且他们将小流量聚集成大流量来攻击支付网关或支付服务，App & API Protector会拦截附近的攻击并提供第一层保护。
　　第二层主要是WAF（应用层防火墙）进行防护，通过＂自适应检测＂发现更多攻击，同时，通过＂自我修正＂对快速演变的威胁做出反应，还能将误报/漏报的数量减少到Akamai上一代WAF的五分之一，减少维护和调整策略所需的工作量。
　　第三层保护由内置的爬虫监测和防御措施组成。
　　App & API Protector是一种集成式的WAAP（Web application and API protection）解决方案，集成了网络应用防火墙、爬虫抑制、API安全和DDoS保护，功能强大，简单易用。
　　在功能方面，App & API Protector通过持续查找已知、未知和不断变化的API，降低与API相关的风险和漏洞。而且，与传统规则集相比，App & API Protector检测到的攻击数可提高到多达2倍，同时，还能将误报数减少到低至五分之一，以减轻维护的工作量。
　　在应对爬虫方面，App & API Protector内置的爬虫抵御功能能自动检测和抵御有害的爬虫。Akamai有一个包含超过1500个已知爬虫的庞大目录，能主动监测分析和预防攻击，对于更具对抗性的爬虫操作者，Akamai还准备了＂Bot Manager＂。
　　在简单易用方面，通过使用机器学习和数据挖掘技术，Akamai的自适应保护措施可以实现免干预的WAAP方法。实际部署使用时，用户可以使用Akamai CLI、Terraform或CI/CD自动化管道中的脚本，轻松集成WAAP功能。
　　马俊表示，Akamai的AI能力还能够为每个客户持续优化保护逻辑和系统，根据API流量、页面流量和其他属性来学习、改进，以适应客户的流量行为和用户特征，最大限度地减少用户行为的＂误报和漏报＂，优化保护。
　　马俊表示，除了外部风险外，支付领域还面临着许多来自组织内部的威胁。Akamai提供的企业安全解决方案简化了FSI中常见异构系统的管理流程，为任何资源节点和终端设备提供安全和可见性，以便立即发现问题。
　　Akamai的企业安全解决方案可以智能分析企业内网的交互行为，利用微分段技术实现了企业应用、资源节点、终端设备、应用进程等多维度灵活的安全微隔离，从而及时发现并阻断在内网中隐秘传播的恶意软件、木马与勒索病毒程序，从威胁的源头阻止威胁的传播。