金融科技平台如何在日益复杂的API环境中应对安全挑战？

马俊

电子钱包应用程序如何从个人银行账户中取回资金？在线购物时，信用卡如何能够顺利付款？

这背后少不了应用程序编程接口（API）的应用。它们是现代应用程序和网络应用程序的构建块，并且必须通过它们才能提供无缝衔接的愉快购物体验。

你可以把它们想象成餐厅的服务员——来往于顾客和厨房之间，帮助餐厅更快上菜并提高厨师的工作效率。API一般让企业能够通过一种更加精简的方式与另一家组织机构的服务进行互动，并且能够大大改善企业的自动化流程。

最近的一项调查发现，使用API的金融科技企业和保险公司比不使用API的企业更加能够通过市场合作来加速现代化和效用。API还让开发人员无需从头开始创建应用程序功能，大大减少了工作时间。普通金融科技应用程序的每小时成本约为40美元，因此这能够显著节省成本。

然而，随着使用的增加，风险也随之增加。金融科技平台是网络犯罪分子不可抗拒的目标。不仅因为潜在的高利润回报，而且这些平台还拥有非常复杂的API环境。

随着国内金融科技产业持续受到投资关注，相信未来这一领域也将保持高速发展。《2022中国金融科技企业首席洞察报告》显示，面对经济下行压力和疫情冲击，金融科技行业信心指数总体依然保持高位水平。中国人民银行印发《金融科技发展规划（2022-2025年）》，确定 “十四五” 金融科技发展六项目标。这份文件的发布也标志着中国金融科技 “厚积成势” ，正式迈入高质量发展的新阶段。

一项被低估的威胁

随着中国的金融机构继续加速并采用数字优先的战略，API将日益成为该战略成功的核心。API对于金融科技企业和希望采用开放银行业务的银行来说至关重要。

但API因其本质而会暴露应用程序的逻辑和敏感数据，如个人身份信息等。它们已成为我们互联网基础设施中的一个越来越脆弱的部分。据Akamai观察，2022年上半年，全球网络应用和API攻击显著攀升。今年以来，相关攻击尝试超过90亿次，相比去年增加3倍之多。金融服务行业是遭遇网络应用程序和API攻击最频繁的前三个行业之一。

承载着企业核心业务逻辑和敏感数据的API，一旦被攻击，将对企业及其所服务的客户造成数据滥用、数据泄露、损害用户体验及企业声誉等巨大危害。

因此，众多金融科技企业已逐渐开始构筑安全屏障来抵御繁杂的网络攻击。最新的调查数据显示，在金融服务领域，有28%的受访者将提高应用程序API的安全性作为首要任务。此外，70%的金融机构已经部署了API安全的相关措施，16%计划在12个月内采用相关措施。虽然这些前期工作十分有效，但光凭这些还不够。

安全的数字体验不能光凭想象

安全的API是任何数字体验的基础。每家金融科技企业应确定自身的数字成熟度并制定相应的API保护计划，保证自己在竞争激烈的数字环境中的安全与规模。我们建议企业与安全方案商合作，通过加强安全措施来减少此类攻击。金融科技企业可以从以下几个方面着手，创建API深度安全防护：

1. 定位API并进行盘点跟踪

API在逐渐普遍的同时，也带来更多漏洞。许多企业甚至不清楚自身API应用范围和潜在漏洞。如果不了解这些API，那么防护API安全更是无从谈起。所以对于企业来说，了解自身API及其用途是必不可少的。对此，我们建议企业需要对内外部所有的API进行识别和保护，那些被记录为潜在风险的项目更应得到必要的评估。

2. 定位API后，测试以查探是否存在漏洞

如今，业界越来越多地意识到API安全防护应贯穿整个API生命周期，将API置于安全控制的前端和中心。这不仅需要测试工具并加强开发人员培训，也需要与现有的安全团队紧密配合，针对风险承受能力制定相应计划，并尽早修复漏洞。

3. 开发及发布期间使用专业的API安全工具

在开发和发布期间，充分利用现有WAF基础架构、身份管理和数据保护解决方案，以及专门的API安全工具，同时，新的漏洞和攻击源源不断，一次性的检查只会让API暴露在风险中，因此确保API安全是一个持续的事情，而非在开发过程中的一劳永逸。传统的基于签名的网络安全工具，例如入侵防御系统 (IPS)，基于签名的Web应用程序防火墙(WAF)和传统网络防火墙无法有效保护API。我们推荐企业使用现代Web应用程序和API保护(WAAP)解决方案，该解决方案能够提供强大的API发现、保护和控制功能，以缓解API漏洞并减少攻击面。

4. 使用“一揽子”策略并协同API开发相关团队

企业应尽量避免为每种API使用单一策略，而是应尽可能使用一套可复用、组合式“一揽子”策略，围绕 API 安全建立长期的防御流程。这里可以借鉴的经验是将所有资源的默认访问级别设置为null或拒绝。这种零信任方法会强制执行最小特权，并使身份验证成为必需的要求。同时，API开发中需要协同各种利益相关团队，如开发团队、网络和安全运营团队、身份团队、风险管理师、安全架构师和法律/合规团队等，以确保产品能够遵循所有监管的法律法规。

中国的移动支付技术在全球处于领先地位。近年来，中国的移动支付频率激增，这无疑增加了企业对于API安全风险的顾虑。中国人民银行发布的金融行业标准《商业银行应用程序接口安全管理规范》从技术和管理两方面规范了个人金融信息保护措施和金融API安全措施。该规范指出，API的安全应基于API从创建、使用到退役、停用的整个生命周期。中国企业需要不断升级应对策略和技术能力来抵御各种场景下的API攻击。面对无处不在的API威胁，Akamai将长期携手多方伙伴，提前建立风险威胁洞见机制，以智能化监控与端到端全域防护技术，及时保护涉及API场景敏感数据，助力金融科技企业更加便捷、高效地建立深度防护。