如何在API环境中应对安全挑战？

电子钱包应用程序如何准确获取个人银行账户中的资金？在线购物时信用卡如何顺利付款？这些都离不开应用程序编程接口（API）的应用。API是现代应用程序和网络应用程序的构建块，购物平台必须通过他们才能为用户提供无缝衔接的购物体验。

我们可以把API想象成餐厅的服务员—来往于顾客和厨房之间，帮助餐厅更快上菜并提高厨师的工作效率。API能够让企业通过一种更加精简的方式与另一家组织机构进行互动，大大改善企业的自动化流程。此外，API还能够让开发人员无须从头开始创建应用程序，大大减少了他们的工作量。

最近的一项调查显示，使用API的金融科技企业和保险公司比不使用API的企业更能通过市场合作来加速现代化进程。

然而，随着API应用的增加，企业安全风险也随之增加。金融科技平台是网络犯罪分子的首选目标，这不仅因为潜在的高利润回报，还因为这些平台拥有非常复杂的API环境。

随着国内金融科技产业持续受到投资者关注，我们相信，未来这一领域也将保持高速发展。《2022中国金融科技企业首席洞察报告》显示，面对经济增长挑战，金融科技行业信心指数总体上依然保持高位水平。中国人民银行印发的《金融科技发展规划（2022-2025年）》确定了“十四五”金融科技发展的六项目标，这也标志着中国金融科技正式迈入了高质量发展的新阶段。

随着我国金融机构持续采用数字优先战略，API将成为该战略成功的核心。

API对于金融科技企业和希望采用开放业务的银行来说至关重要，但API可能会暴露应用程序的运行逻辑和敏感数据，这使它成为互联网基础设施中相对脆弱的部分，例如，API有可能会暴露用户的个人身份信息。据Akamai观察，2022年上半年，全球网络应用和API攻击显著攀升。2022年全球网络应用和API相关攻击比2021年增加了3倍，金融服务行业成为遭遇网络应用程序和API攻击非常频繁的行业。

承载着企业核心业务逻辑和敏感数据的API一旦被攻击，将对企业及其所服务的客户造成巨大影响，例如数据滥用、数据泄露、损害用户体验及企业声誉。因此，众多金融科技企业已开始构筑安全屏障来抵御网络攻击。咨询公司Forrester的调查显示，在金融服务领域，有受访者将提高API的安全性作为加强自身数据安全的首要任务。此外，70%的金融机构已经部署了API相关的安全措施，16%的金融机构计划在1年内采取相关措施。虽然这些前期工作十分有效，但仍然不够。

安全的API是所有数字体验的基础。每家金融科技企业都应该确定自身的数字成熟度并制定相应的API保护计划，以此在竞争激烈的商业环境中保护自身的数据安全并扩大企业规模。我们建议，企业应该与安全厂商合作，通过加强安全措施来防范此类攻击。总的来说，金融科技企业可以从以下几个方面着手，构建API的深度安全防护体系。

定位API并进行盘点跟踪

在API逐渐普及的同时，也带来了更多的安全隐患。许多企业甚至不清楚自身API的应用范围和潜在漏洞，如果不了解这些，那么API防护更是无从谈起。所以对于企业来说，了解自身API及其用途必不可少。对此，我们建议，企业要识别和保护内外部的所有API，并对被标记为潜在风险的项目进行必要的评估。

定位API后，测试它是否存在漏洞

如今，业界越来越意识到，API安全防护应贯穿整个API生命周期，应当被置于安全控制的前端和中心。这不仅需要企业加强对API测试工具开发人员的培训，也需要加强与现有安全团队的紧密配合，针对自身风险承受能力制定相应计划，尽早修复存在的漏洞。

使用专业的API安全工具

在产品开发和发布期间，企业要充分利用现有Web应用程序防火墙(WAF)、身份管理、数据保护解决方案以及专门的API安全工具。新的攻击源源不断，一次性的检查只会让API暴露在风险中，因此，企业需要将API安全防护视为一项持续工程，而不是开发过程中的“一劳永逸”。传统的基于签名的网络安全工具，如入侵防御系统(IPS)、WAF基础架构和传统网络防火墙等无法有效地保护API，因此，我们推荐企业使用现代Web应用程序和API保护解决方案(WAAP)，该解决方案能够提供强大的API发现、保护和控制功能，可以减少企业的API漏洞和缩小受攻击面。

使用“一揽子”策略

企业应尽量避免为每种API使用单一策略，而要尽可能使用一套可复用、组合式的“一揽子”策略，围绕API安全建立长期防御机制。企业可以借鉴的经验是将所有资源的默认访问级别设置为空值或拒绝，这种“零信任”方法会强制执行最小特权，并使身份验证成为必须的流程。同时，API开发需要协同各种利益相关团队，如开发团队、网络和安全运营团队、身份团队、风险管理师团队、安全架构师和法律/合规团队，以确保产品能够符合监管相关的法律法规要求。

我国的移动支付技术在全球处于领先地位。近年来，我国的移动支付使用频次激增，这无疑增加了企业对于API安全风险的顾虑。中国人民银行发布的金融行业标准《商业银行应用程序接口安全管理规范》从技术和管理两方面规范了个人金融信息保护措施和金融API安全措施。该规范指出，API安全应基于API的整个生命周期，这意味着从API的创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。企业需要不断升级应对策略和技术能力来抵御各种场景下的API攻击。

面对无处不在的API威胁，Akamai将携手多方伙伴，提前建立风险威胁洞见机制，以智能化监控与端到端全域防护技术，及时保护涉及API场景的敏感数据，助力金融科技企业更加便捷、高效地建立深度防护体系。