改进 API 保护可增强金融服务安全性的五个领域

API 安全是当今的热门话题，这是有充分理由的。 如果我们仔细想想，大多数金融服务机构已经变得更像科技公司了。 他们不断面临创新的压力，以跟上不断满足数字客户需求甚至与他们合作的金融科技公司的步伐。 由此产生的金融服务生态系统通过 API 整合了金融科技，推动了开放金融运动的显著增长。 这使得金融服务机构比以往任何时候都更加依赖 API 来开展业务。

毫不奇怪，随着银行意识到 API 的重要性，攻击者也意识到了这一点。 业务关键型 API 一直是攻击者的目标，他们意识到可以通过利用、滥用和/或破坏 API 来获利或获得其他好处。 与此同时，近年来攻击面也显著扩大。 这主要是由于行业在管理混合和多云环境方面的复杂性和难度不断增加。 所有这些都会以大规模数据泄露、合规问题和监管罚款的形式对业务产生重大影响。

当然，也不全是坏消息。 当金融服务机构与值得信赖的合作伙伴合作时，他们可以更好地保护自己免受针对其 API 的威胁。 让我们来看看合适的、值得信赖的合作伙伴可以帮助提高 API 安全性的五个方面。

1. 发展： 开发团队面临着严峻的挑战。 一方面，他们面临着严格的期限来开发所需的功能并使其发挥作用。 另一方面，他们根据安全团队定义的要求开发 API。 然而，没有真正的方法来强制执行这些要求或以任何方式检查它们。 当然，代码可以被审计和审查，但这是一个繁琐且耗时的过程，容易出现人为错误和疏忽。 这一过程通常会因其他当务之急而退居次要地位。 在大多数企业中，开发人员的数量通常远远超过安全专业人员的数量，这造成了规模问题。 结果，错误、疏忽和漏洞会通过开发过程进入生产 API。 只有自动化才能帮助扩展安全控制，防止安全团队阻碍并减慢业务所需的速度。 与值得信赖的合作伙伴合作，自动执行模式、标准和政策是更好的方法。
2. 访问控制： 无论你是否相信，控制谁有权访问 API 仍然是一个挑战。 如果考虑到现代企业的复杂性，这也许就不那么难以置信了。 大多数企业有两个或多个云提供商，以及内部部署和/或数据中心环境。 通常，需要多个团队来管理这些不同位置的网络、技术、开发和安全堆栈。 因此，控制（和监控） API 访问已成为一项严峻的挑战也就不足为奇了。 事实上，2023 年OWASP API 安全 Top 10中有 4 个与身份验证/授权有关。 合适的、值得信赖的提供商可以帮助化复杂为简单，为不知所措的人带来平静。 这使得企业可以完全专注于操作、维护和保护这些环境，包括适当的访问控制。
3. 恶意 API： 有时，正式流程需要一定的时间，开发人员需要建立新的基础设施和端点以满足开发期限。 或者，也许基础设施和端点出现了漏洞，从未得到适当的清点、管理、监控和保护。 无论出于什么原因，恶意 API 都存在。 如果 API 不为人所知，就无法对其进行清点、管理、监控和保护。 一个好的、值得信赖的合作伙伴不仅能帮助企业检测未知的 API，还能保护它们的安全。
4. WAF 还不够： 毫无疑问，Web应用防火墙 (WAF) 是安全堆栈中必不可少的元素。 WAF 可为多种威胁提供重要防护。 但它们从未打算成为解决每天针对 API 的各种攻击的万能药。 此外，API 正在快速发展，这意味着它们会产生安全控制可能无法发现的全新类型的漏洞。 任何值得信赖的合作伙伴的产品都是不完整的，除非他们在WAF 之上并集成了复杂的功能来识别和缓解 API 漏洞。
5. 复杂的攻击： 应用成为已知的、常见攻击目标的日子已经一去不复返了。 老练的攻击者会发起复杂的攻击，即那些不被察觉的攻击，以暴露敏感业务流、提取数据、造成欺诈、关闭应用和破坏声誉。 这包括手动攻击和自动（机器人）攻击。 识别、检测和减轻这些复杂类型的攻击需要专业知识。 防御最复杂的攻击应该成为任何值得信赖的合作伙伴的 API 安全产品的一部分。

当然，这并不是一份详尽的清单。 每个金融服务机构都应审查其风险登记册，以了解哪些风险和威胁可能对业务产生最大影响。 那些可能造成更严重影响的措施可以被赋予更高的优先级。 但值得注意的是，许多领导者可能不知道如何最有效地评估 API 安全风险的真实程度。 这使得与合适的合作伙伴合作变得更加重要。 理想情况下，与 API 安全相关的风险应该在列表中排名相当高，这使其成为值得投资的优先主题。 这包括与了解 API 安全的重要性并提供正确解决方案的合适合作伙伴合作。

欲了解更多信息，请访问银行和金融服务网络安全。