11月13日消息,金融行業(yè)往往是網(wǎng)絡(luò)攻擊的重點目標(biāo),云服務(wù)提供商Akamai近日推出了Akamai原生連接器方案,用以API的安全性和穩(wěn)定性,助力金融行業(yè)抵抗日益增長的API攻擊。
Akamai發(fā)布的《應(yīng)對安全威脅狂潮:金融服務(wù)業(yè)的攻擊趨勢》SOTI報告顯示,金融行業(yè)已經(jīng)連續(xù)二年成為各行業(yè)中遭受DDoS攻擊最為顯著的行業(yè)。其中,金融機構(gòu)在第三/第四層DDoS攻擊事件當(dāng)中占比最高,達到了34%。
同時,針對HTTP Web應(yīng)用層的攻擊也大幅增加。其中,特別是那些未被標(biāo)記、未被識別的影子API,成為了主要關(guān)注點。在亞太及日本地區(qū)(APJ),通過API的攻擊最為頻繁,占據(jù)了該區(qū)域DDoS攻擊近50%的比例。
事實上,金融行業(yè)對API的使用和面臨的風(fēng)險持續(xù)增強,許多業(yè)態(tài)(如數(shù)字原生銀行)全面利用API開展業(yè)務(wù)。因此,API在金融行業(yè)中的使用將更加廣泛,面臨的風(fēng)險也會更加嚴(yán)峻。
Akamai資深解決方案技術(shù)經(jīng)理 馬俊
Akamai資深解決方案技術(shù)經(jīng)理馬俊介紹,在API防護方面,當(dāng)前業(yè)內(nèi)普遍使用的WAF(Web應(yīng)用防火墻)方案存在三個難以解決的問題:
首先是“影子API”問題。這些API并未被安全團隊充分識別,因此其流量沒有得到足夠的安全防護。由于沒有明確的清單來梳理這些影子API,所以它們處于完全失控的狀態(tài)。由于缺乏定義、范圍和列表,企業(yè)難以利用現(xiàn)有的WAF或安全防護手段來保護它們。
其次,存在漏洞的API。這些漏洞主要體現(xiàn)在API的業(yè)務(wù)層面。例如,根據(jù)OWASP針對API提供的全球前十的漏洞列表,大量API漏洞與身份認(rèn)證和訪問控制有關(guān)。通過簡單地改變API中的參數(shù),攻擊者可以跨用戶、跨企業(yè)實體,甚至跨信息安全隔離的邊界,訪問其他用戶或個人的敏感信息。這是傳統(tǒng)WAF無法解決的漏洞問題。
第三是API濫用。這指的是未授權(quán)的調(diào)用者,尤其是合作伙伴,利用API的健全性(或未充分考慮調(diào)用次數(shù)、范圍、場景、順序等)進行的所謂“間諜活動”。攻擊者可以通過API抓取敏感數(shù)據(jù)、修改后臺配置,甚至進行“撞庫”及更復(fù)雜的欺詐或滲透攻擊。
為了有效應(yīng)對上述問題,Akamai通過API深度防護能力,提出了一個完整的治理框架。這個框架旨在全面解決API防護中的難點,確保API的安全性和穩(wěn)定性。同時,Akamai特別為金融客戶提供了一項快速落地的解決方案——Akamai原生連接器。
馬俊介紹,Akamai原生連接器是連接Akamai既有用戶與創(chuàng)新的高級API安全方案之間的關(guān)鍵環(huán)節(jié)。這一新的集成能力直接內(nèi)嵌于Akamai的連接云平臺中,能夠無縫地將云平臺中的流量副本傳輸至Akamai的高級API引擎。通過這一設(shè)計,客戶僅需幾次簡單的點擊,甚至無需進行任何實體部署,就能迅速實現(xiàn)高級API的檢測與防護功能。這一解決方案對客戶來說極為友好和高效,能夠在極短的時間內(nèi)——幾分鐘甚至幾秒鐘內(nèi),幫助客戶完成API的高級檢測和防御部署。它涵蓋了“發(fā)現(xiàn)、感知、運行時的監(jiān)控”以及“測試”等關(guān)鍵能力,為客戶的API安全提供了強有力的保障。
Akamai近年來在API安全方面的持續(xù)投入和創(chuàng)新。今年Akamai還收購了一家高級API防護公司Noname,通過該項收購,Akamai將能夠幫助企業(yè)有效應(yīng)對影子API漏洞及API濫用等安全威脅。
馬俊強調(diào):“安全防護與攻擊是貓鼠游戲的過程,安全防護的演進與攻擊者的能力、工具和技術(shù)的增長密切相關(guān)。通過Akamai的平臺能力和數(shù)據(jù),我們觀察到許多新出現(xiàn)的安全威脅和場景,因此可以針對性地制定安全策略,幫助客戶有效利用Akamai的產(chǎn)品,解決實際問題?!保ü啵?/p>
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 蔚來第三品牌firefly螢火蟲首款車型正式亮相 預(yù)售價14.88萬元
- 首發(fā)線控轉(zhuǎn)向等多項技術(shù) 蔚來旗艦車型ET9正式上市:78.8萬元起
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 網(wǎng)信辦:從嚴(yán)打擊網(wǎng)上侵害未成年人合法權(quán)益行為
- 豆包大模型全面升級,相關(guān)概念股瘋漲,字節(jié)發(fā)布緊急警示
- TechWeb微晚報:“小紅書封號”沖上熱搜,小米YU7無偽裝實車首次曝光
- “小米SU7墜崖一家四口安然無恙”沖上熱搜 車主回應(yīng)
- 奇富科技發(fā)布AI產(chǎn)品小奇等金融AI大模型成果
- 消息稱極越公關(guān)負(fù)責(zé)人被開除 當(dāng)事人回應(yīng)了
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。