黑客在攻擊的過程中表現(xiàn)出了明顯的偏好，將商業(yè)服務(wù)視為“重點照顧對象”，對其發(fā)起的攻擊占到了近期攻擊的38%，這其中，零售業(yè)又是受攻擊最多的子領(lǐng)域。

加上許多企業(yè)在部署新技術(shù)的時候，無法在一開始就構(gòu)建安全能力，這也加劇了遭受攻擊的可能。有研究表明，三分之一的零售商承認在沒有嚴格安全保障的前提下，使用了新技術(shù)。

Akamai的安全布道師Martin McKeay在《API：與每個人息息相關(guān)的攻擊》中表示，針對API 攻擊的檢測力度不夠，檢測到之后對于重要性的認識也不足，從而使得API攻擊成為了企業(yè)面臨的最大威脅之一。

金融機構(gòu)如何應(yīng)對API安全威脅

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊分享了應(yīng)對安全威脅的幾條建議。

比如，要能識別并追蹤API，并且測試其中可能存在的漏洞；將API安全作為一項長期的流程，在應(yīng)用開發(fā)和上線期間都要利用現(xiàn)有專業(yè)的API安全工具；在API策略方面，盡可能使用一套可以重復(fù)使用的“一攬子”策略。

馬俊介紹了Amakai的App & API Protector方案，它可以為數(shù)字支付場景提供的三層防護能力，能幫助金融機構(gòu)應(yīng)對API安全挑戰(zhàn)：

第一層，如果API受到多個分布式攻擊者的攻擊并且他們將小流量聚集成大流量來攻擊支付網(wǎng)關(guān)或支付服務(wù)，App & API Protector會攔截附近的攻擊并提供第一層保護。

第二層主要是WAF（應(yīng)用層防火墻）進行防護，通過“自適應(yīng)檢測”發(fā)現(xiàn)更多攻擊，同時，通過“自我修正”對快速演變的威脅做出反應(yīng)，還能將誤報/漏報的數(shù)量減少到Akamai上一代WAF的五分之一，減少維護和調(diào)整策略所需的工作量。

第三層保護由內(nèi)置的爬蟲監(jiān)測和防御措施組成。

App & API Protector是一種集成式的WAAP（Web application and API protection）解決方案，集成了網(wǎng)絡(luò)應(yīng)用防火墻、爬蟲抑制、API安全和DDoS保護，功能強大，簡單易用。

在功能方面，App & API Protector通過持續(xù)查找已知、未知和不斷變化的API，降低與API相關(guān)的風(fēng)險和漏洞。而且，與傳統(tǒng)規(guī)則集相比，App & API Protector檢測到的攻擊數(shù)可提高到多達2倍，同時，還能將誤報數(shù)減少到低至五分之一，以減輕維護的工作量。

在應(yīng)對爬蟲方面，App & API Protector內(nèi)置的爬蟲抵御功能能自動檢測和抵御有害的爬蟲。Akamai有一個包含超過1500個已知爬蟲的龐大目錄，能主動監(jiān)測分析和預(yù)防攻擊，對于更具對抗性的爬蟲操作者，Akamai還準備了“Bot Manager”。

在簡單易用方面，通過使用機器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)，Akamai的自適應(yīng)保護措施可以實現(xiàn)免干預(yù)的WAAP方法。實際部署使用時，用戶可以使用Akamai CLI、Terraform或CI/CD自動化管道中的腳本，輕松集成WAAP功能。

馬俊表示，Akamai的AI能力還能夠為每個客戶持續(xù)優(yōu)化保護邏輯和系統(tǒng)，根據(jù)API流量、頁面流量和其他屬性來學(xué)習(xí)、改進，以適應(yīng)客戶的流量行為和用戶特征，最大限度地減少用戶行為的“誤報和漏報”，優(yōu)化保護。

馬俊表示，除了外部風(fēng)險外，支付領(lǐng)域還面臨著許多來自組織內(nèi)部的威脅。Akamai提供的企業(yè)安全解決方案簡化了FSI中常見異構(gòu)系統(tǒng)的管理流程，為任何資源節(jié)點和終端設(shè)備提供安全和可見性，以便立即發(fā)現(xiàn)問題。

Akamai的企業(yè)安全解決方案可以智能分析企業(yè)內(nèi)網(wǎng)的交互行為，利用微分段技術(shù)實現(xiàn)了企業(yè)應(yīng)用、資源節(jié)點、終端設(shè)備、應(yīng)用進程等多維度靈活的安全微隔離，從而及時發(fā)現(xiàn)并阻斷在內(nèi)網(wǎng)中隱秘傳播的惡意軟件、木馬與勒索病毒程序，從威脅的源頭阻止威脅的傳播。

zhupb