黑客在攻擊的過程中表現(xiàn)出了明顯的偏好，將商業(yè)服務視為“重點照顧對象”，對其發(fā)起的攻擊占到了近期攻擊的38%，這其中，零售業(yè)又是受攻擊最多的子領域。

加上許多企業(yè)在部署新技術的時候，無法在一開始就構建安全能力，這也加劇了遭受攻擊的可能。有研究表明，三分之一的零售商承認在沒有嚴格安全保障的前提下，使用了新技術。

Akamai的安全布道師Martin McKeay在《API：與每個人息息相關的攻擊》中表示，針對API 攻擊的檢測力度不夠，檢測到之后對于重要性的認識也不足，從而使得API攻擊成為了企業(yè)面臨的最大威脅之一。

金融機構如何應對API安全威脅

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術經理馬俊分享了應對安全威脅的幾條建議。

比如，要能識別并追蹤API，并且測試其中可能存在的漏洞；將API安全作為一項長期的流程，在應用開發(fā)和上線期間都要利用現(xiàn)有專業(yè)的API安全工具；在API策略方面，盡可能使用一套可以重復使用的“一攬子”策略。

馬俊介紹了Amakai的App & API Protector方案，它可以為數(shù)字支付場景提供的三層防護能力，能幫助金融機構應對API安全挑戰(zhàn)：

第一層，如果API受到多個分布式攻擊者的攻擊并且他們將小流量聚集成大流量來攻擊支付網關或支付服務，App & API Protector會攔截附近的攻擊并提供第一層保護。

第二層主要是WAF（應用層防火墻）進行防護，通過“自適應檢測”發(fā)現(xiàn)更多攻擊，同時，通過“自我修正”對快速演變的威脅做出反應，還能將誤報/漏報的數(shù)量減少到Akamai上一代WAF的五分之一，減少維護和調整策略所需的工作量。

第三層保護由內置的爬蟲監(jiān)測和防御措施組成。

App & API Protector是一種集成式的WAAP（Web application and API protection）解決方案，集成了網絡應用防火墻、爬蟲抑制、API安全和DDoS保護，功能強大，簡單易用。

在功能方面，App & API Protector通過持續(xù)查找已知、未知和不斷變化的API，降低與API相關的風險和漏洞。而且，與傳統(tǒng)規(guī)則集相比，App & API Protector檢測到的攻擊數(shù)可提高到多達2倍，同時，還能將誤報數(shù)減少到低至五分之一，以減輕維護的工作量。

在應對爬蟲方面，App & API Protector內置的爬蟲抵御功能能自動檢測和抵御有害的爬蟲。Akamai有一個包含超過1500個已知爬蟲的龐大目錄，能主動監(jiān)測分析和預防攻擊，對于更具對抗性的爬蟲操作者，Akamai還準備了“Bot Manager”。

在簡單易用方面，通過使用機器學習和數(shù)據(jù)挖掘技術，Akamai的自適應保護措施可以實現(xiàn)免干預的WAAP方法。實際部署使用時，用戶可以使用Akamai CLI、Terraform或CI/CD自動化管道中的腳本，輕松集成WAAP功能。

馬俊表示，Akamai的AI能力還能夠為每個客戶持續(xù)優(yōu)化保護邏輯和系統(tǒng)，根據(jù)API流量、頁面流量和其他屬性來學習、改進，以適應客戶的流量行為和用戶特征，最大限度地減少用戶行為的“誤報和漏報”，優(yōu)化保護。

馬俊表示，除了外部風險外，支付領域還面臨著許多來自組織內部的威脅。Akamai提供的企業(yè)安全解決方案簡化了FSI中常見異構系統(tǒng)的管理流程，為任何資源節(jié)點和終端設備提供安全和可見性，以便立即發(fā)現(xiàn)問題。

Akamai的企業(yè)安全解決方案可以智能分析企業(yè)內網的交互行為，利用微分段技術實現(xiàn)了企業(yè)應用、資源節(jié)點、終端設備、應用進程等多維度靈活的安全微隔離，從而及時發(fā)現(xiàn)并阻斷在內網中隱秘傳播的惡意軟件、木馬與勒索病毒程序，從威脅的源頭阻止威脅的傳播。

zhupb