Akamai马俊：数字支付行业在快速创新的同时更要重视API安全 原创

随着移动支付系统和数字钱包在全球的日益普及，针对电子支付系统的攻击载体也在相应增加。有数据显示，2021年，针对电子支付系统的金融网络钓鱼尝试总数从9月（627560次）到10月（1935905次）期间增加了一倍，增幅达到208%。

除此之外，随着API被越来越多地用来提升用户体验，使用户体验变得更加无缝和个性化，API攻击必然会继续增加。

Akamai大中华区企业事业部高级售前技术经理马俊告诉记者，API在数字支付中的使用日益增加，这显著扩大了受攻击面，尤其是在需要处理大量敏感数据的金融科技行业。

API对数字支付有多重要？

近年来，许多金融机构一直在增加对金融创新和开放式银行的投资。作为一种金融服务的开放式连接器，API已经成为这一过程中必不可少的核心能力。实施数字化转型的组织机构也在利用API推动新的客户体验并创造新的收入来源，但这也扩大了恶意威胁主体的攻击面。针对API的安全威胁也成为当前数字支付领域的挑战之一。

随着在线交易的日益频繁和多样化，API的作用也越发明显。它通过整合第三方服务能力，使开发者免于从头开始建立所有能力，同时还能加速新产品和服务的开发。

API经济模式也为金融机构获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统提供了一条快速而灵活的途径。同时这种模式也赋予使用API的金融机构更多的创新动力，基于支付平台开放出来的基础设施、功能与数据，其他金融机构可以搭建自己的特色产品与服务，从而围绕着API开放平台形成了一个共赢的支付生态。

例如，如果一个电子商务平台要求银行向其用户提供帐户查询、支付和消费贷款等服务，而银行向该电子商务平台开放多个金融服务接口，那么用户就可以从电子商务平台直接在线获得这些银行服务而不必前往银行。

马俊表示，在整个2022年上半年，Aakmai观察到全球网络应用和API攻击大幅增加，今年迄今为止的攻击尝试超过90亿次，比2021年上半年增加了3倍，这是Akamai有史以来所观察到的最大增幅。

除了文件注入攻击之外，SQL注入攻击以及跨站XSS攻击是针对API的最主要的攻击手段。商业是受影响最大的垂直领域，占到近期攻击活动的38%。

通过深入研究商业垂直领域，Aakmai发现零售业已成为受攻击最多的子领域，在2022年4月取代了酒店和旅游成为受到网络应用和API攻击次数最多的子领域。

由于疫情加快了向网络生活的转变，针对商业领域的攻击自然会显著增加。虽然新冠疫情推动并加速了数字化转型，但它也吸引了想要发现和利用防御漏洞的网络犯罪分子。

一般情况下，急于部署新技术和应用的组织无法从一开始就建立安全，使得零售商可能遭受攻击的漏洞增加。在最近的一项研究中，三分之一的零售商承认在没有正常严格安全保障的情况下推广新技术。

因此，威胁主体对商业部门虎视眈眈，准备通过各种攻击载体和方法利用网络应用中的漏洞、通过数字资产牟利、破坏面向互联网的基础设施并窃取客户数据。

如何实现API安全？

API所带来的基于应用的接口使得支付行为具有高度的情境关联性，这与早期的人工支付有着本质的区别。因此，所需要的安全也与网页的行为识别和保护完全不同。

从技术角度讲，API安全应基于API的整个生命周期，这意味着从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。

为了提高API的安全性，Akamai推出了App & API Protector。这款新一代网络应用和API保护（WAAP）解决方案通过建立三层保护，帮助金融机构应对超大规模DDoS攻击等API安全挑战。

马俊说，App & API Protector将网络应用防火墙、爬虫抑制、API安全和DDoS保护等许多业内领先的核心技术整合到一个解决方案中，组织机构可以将它无缝集成到其IT堆栈中。值得一提的是，Akamai已被Gartner评为2021年网站应用和API保护魔力象限的领导者。

Account Protector解决方案帮助客户识别Akamai边缘网络上的异常行为。例如，如果一个通常在美国西海岸进行交易和支付的终端用户有一天突然出现在东南亚并准备进行动账金融交易，那么Akamai平台就会利用人工智能（AI）/机器学习（ML）技术立即识别这一异常情况并发出警报。

Akamai的AI能力还能够为每个客户持续优化保护逻辑和系统。Akamai会根据客户的API流量、页面流量和其他属性来学习、改进和调整政策参数，以适应客户的流量行为和用户特征，最大限度地减少用户行为的“误报和漏报”，优化保护。

在Akamai的解决方案中，世界级的专家服务团队也是重要的一个环节。信息安全的“猫鼠游戏”中，工具较量的背后是聪明贪婪的黑客同Akamai资深敬业的守护卫士之间的对抗。这支团队每天都在默默无闻地为每一位用户快速、稳定、安全地使用互联网提供支撑。

马俊表示，除了外部风险外，支付领域还面临着许多来自组织内部的威胁。出现在内部办公网络上并横向传播的勒索软件病毒或在外部服务器的生产网络上传播的病毒都会造成重大损失。Akamai提供的企业安全解决方案简化了FSI中常见异构系统的管理流程，为任何资源节点和终端设备提供安全和可见性，以便立即发现问题。

Akamai的企业安全解决方案通过智能分析企业内部网络的交互行为，利用微分段技术实现了企业应用、资源节点、终端设备、应用进程等多维度灵活的安全微隔离，从而及时发现并阻断在内网中隐秘传播的恶意软件、木马与勒索病毒程序，从威胁的源头阻止威胁的传播，满足金融机构在内部信息安全防护上的法规与监管要求。

最后，马俊还针对数字支付提供商保障API安全方面提出了如下建议：

第一、识别你的API并像追踪库存一样追踪它们。许多组织机构都经历过API方面的事件，他们甚至不知道自己有这样的API。因此，知道API的位置以及它们的用途至关重要。与此相关的还有组织机构使用的外部API。这些API也需要被识别和保护，或者至少被登记为可能的风险项目并进行评估。

第二、在知道所有API的位置后，对它们进行测试并了解其中存在哪些漏洞。这项工作需要有测试工具和扎实的开发人员培训并与当前安全团队配合。你需要讨论风险容忍度并制定计划来尽早修复漏洞，避免拖延。首先要寻找硬编码的密钥、逻辑调用，确认API流量是否会被伪装攻击所入侵。也可以扫描存储和储存库，寻找可被用于破坏API或相关程序的密钥。这一点尤为重要，目前很多攻击都与API密钥泄漏有关，因此需要不断强化与提高研发人员的安全意识，定期对密钥进行审核。

第三、在开发和上线期间充分利用现有的WAF基础设施与任何身份管理和数据保护解决方案以及任何专门的API安全工具。此外，必须将API安全作为一项长期的流程，而不是开发过程中的一次性流程。新的漏洞和攻击层出不穷，单一实例检查将会让你暴露在攻击之中。

第四、在API策略方面，尽量避免对每个API采取独特的策略，应该尽可能使用一套可以重复使用的“一揽子”策略。此外，不要将策略直接写入需要保护的API中，这会违反职责分离机制、增加不必要的复杂性、让维护代码的人员承受更多的开销负担并阻止安全团队看到。根据我们的经验，你可以将任何资源的默认访问级别设置为空或拒绝，这样可以强制执行最小权限并始终要求身份认证。