Akamai推出原生連接器方案，確保金融行業(yè)API的安全性和穩(wěn)定性

11月13日消息，金融行業(yè)往往是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，云服務(wù)提供商Akamai近日推出了Akamai原生連接器方案，用以API的安全性和穩(wěn)定性，助力金融行業(yè)抵抗日益增長(zhǎng)的API攻擊。

Akamai發(fā)布的《應(yīng)對(duì)安全威脅狂潮：金融服務(wù)業(yè)的攻擊趨勢(shì)》SOTI報(bào)告顯示，金融行業(yè)已經(jīng)連續(xù)二年成為各行業(yè)中遭受DDoS攻擊最為顯著的行業(yè)。其中，金融機(jī)構(gòu)在第三/第四層DDoS攻擊事件當(dāng)中占比最高，達(dá)到了34%。

同時(shí)，針對(duì)HTTP Web應(yīng)用層的攻擊也大幅增加。其中，特別是那些未被標(biāo)記、未被識(shí)別的影子API，成為了主要關(guān)注點(diǎn)。在亞太及日本地區(qū)（APJ），通過(guò)API的攻擊最為頻繁，占據(jù)了該區(qū)域DDoS攻擊近50%的比例。

事實(shí)上，金融行業(yè)對(duì)API的使用和面臨的風(fēng)險(xiǎn)持續(xù)增強(qiáng)，許多業(yè)態(tài)（如數(shù)字原生銀行）全面利用API開(kāi)展業(yè)務(wù)。因此，API在金融行業(yè)中的使用將更加廣泛，面臨的風(fēng)險(xiǎn)也會(huì)更加嚴(yán)峻。

Akamai資深解決方案技術(shù)經(jīng)理 馬俊

Akamai資深解決方案技術(shù)經(jīng)理馬俊介紹，在API防護(hù)方面，當(dāng)前業(yè)內(nèi)普遍使用的WAF（Web應(yīng)用防火墻）方案存在三個(gè)難以解決的問(wèn)題：

首先是“影子API”問(wèn)題。這些API并未被安全團(tuán)隊(duì)充分識(shí)別，因此其流量沒(méi)有得到足夠的安全防護(hù)。由于沒(méi)有明確的清單來(lái)梳理這些影子API，所以它們處于完全失控的狀態(tài)。由于缺乏定義、范圍和列表，企業(yè)難以利用現(xiàn)有的WAF或安全防護(hù)手段來(lái)保護(hù)它們。

其次，存在漏洞的API。這些漏洞主要體現(xiàn)在API的業(yè)務(wù)層面。例如，根據(jù)OWASP針對(duì)API提供的全球前十的漏洞列表，大量API漏洞與身份認(rèn)證和訪問(wèn)控制有關(guān)。通過(guò)簡(jiǎn)單地改變API中的參數(shù)，攻擊者可以跨用戶、跨企業(yè)實(shí)體，甚至跨信息安全隔離的邊界，訪問(wèn)其他用戶或個(gè)人的敏感信息。這是傳統(tǒng)WAF無(wú)法解決的漏洞問(wèn)題。

第三是API濫用。這指的是未授權(quán)的調(diào)用者，尤其是合作伙伴，利用API的健全性（或未充分考慮調(diào)用次數(shù)、范圍、場(chǎng)景、順序等）進(jìn)行的所謂“間諜活動(dòng)”。攻擊者可以通過(guò)API抓取敏感數(shù)據(jù)、修改后臺(tái)配置，甚至進(jìn)行“撞庫(kù)”及更復(fù)雜的欺詐或滲透攻擊。

為了有效應(yīng)對(duì)上述問(wèn)題，Akamai通過(guò)API深度防護(hù)能力，提出了一個(gè)完整的治理框架。這個(gè)框架旨在全面解決API防護(hù)中的難點(diǎn)，確保API的安全性和穩(wěn)定性。同時(shí)，Akamai特別為金融客戶提供了一項(xiàng)快速落地的解決方案——Akamai原生連接器。

馬俊介紹，Akamai原生連接器是連接Akamai既有用戶與創(chuàng)新的高級(jí)API安全方案之間的關(guān)鍵環(huán)節(jié)。這一新的集成能力直接內(nèi)嵌于Akamai的連接云平臺(tái)中，能夠無(wú)縫地將云平臺(tái)中的流量副本傳輸至Akamai的高級(jí)API引擎。通過(guò)這一設(shè)計(jì)，客戶僅需幾次簡(jiǎn)單的點(diǎn)擊，甚至無(wú)需進(jìn)行任何實(shí)體部署，就能迅速實(shí)現(xiàn)高級(jí)API的檢測(cè)與防護(hù)功能。這一解決方案對(duì)客戶來(lái)說(shuō)極為友好和高效，能夠在極短的時(shí)間內(nèi)——幾分鐘甚至幾秒鐘內(nèi)，幫助客戶完成API的高級(jí)檢測(cè)和防御部署。它涵蓋了“發(fā)現(xiàn)、感知、運(yùn)行時(shí)的監(jiān)控”以及“測(cè)試”等關(guān)鍵能力，為客戶的API安全提供了強(qiáng)有力的保障。

Akamai近年來(lái)在API安全方面的持續(xù)投入和創(chuàng)新。今年Akamai還收購(gòu)了一家高級(jí)API防護(hù)公司Noname，通過(guò)該項(xiàng)收購(gòu)，Akamai將能夠幫助企業(yè)有效應(yīng)對(duì)影子API漏洞及API濫用等安全威脅。

馬俊強(qiáng)調(diào)：“安全防護(hù)與攻擊是貓鼠游戲的過(guò)程，安全防護(hù)的演進(jìn)與攻擊者的能力、工具和技術(shù)的增長(zhǎng)密切相關(guān)。通過(guò)Akamai的平臺(tái)能力和數(shù)據(jù)，我們觀察到許多新出現(xiàn)的安全威脅和場(chǎng)景，因此可以針對(duì)性地制定安全策略，幫助客戶有效利用Akamai的產(chǎn)品，解決實(shí)際問(wèn)題。”（果青）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。