九成金融机构曾遭受这种攻击!重视数字支付中的 API 安全刻不容缓
本年4月,哥斯达黎加政府多个部分遭世界闻名勒索安排Conti软件进犯,致使国家进入紧急状态。在这次进犯中,稀有百个G的文件被盗取,并被要求付出1000万美元赎金。
据了解,这个来自俄罗斯的勒索软件安排上一年一年的勒索赎金高达1.8亿美元。仅在本年4月,Conti的受害企业数量就达45家。
全球抢先的边际核算渠道Akamai最近的研讨显现,Conti经过对软弱的运用和体系进行主动进犯测验来取得对方针网络的初始拜访权。这提示各个商业安排要特别注意针对网络运用和API(运用程序编程接口)的进犯。
在日益频频和多样化的线上买卖中,API经过整合第三方的服务才能,使开发者无需从零开端树立技能才能,也能加快新产品和服务的开发。现在,API已经在身份认证、电子付出、定位、语音转化等日常日子的根底服务场景中大显身手。
作为现代运用程序的根本和中心组件,API也成为了进犯者眼中的完美方针。
在企业对API需求暴增的一起,数字付出等范畴针对API的各种方式的进犯也更加频频,并造成了严峻的安全要挟。移动付出供给商需求不断进步本身的应对战略与技能才能,以反抗电商等各种新式付出场景中的API进犯,专业技能服务商也在其间供给着重要助力。
与运用如影随形的API进犯
跟着数字经济不断深化开展,API越来越遭到世界各地安排安排的喜爱,其数量呈现出爆炸性的添加。近年来,许多施行数字化转型的安排安排开端运用API推进新的客户体会并发明新的收入来历,但这也扩展了歹意要挟主体的进犯面。
451 Research和Noname Security在一份API安全调研陈述中指出,曩昔12个月内参加调研的企业在API添加方面高达201%,均匀运用15564个API。他们指出,跟着各安排对API的依靠添加,其相关的安全应战也随之添加,例如身份验证、授权和意外走漏或数据走漏等安全应战。
Gartner研讨显现,到2022年,本来归于低频进犯类型的API乱用将成为导致企业网络运用数据走漏的最常见进犯载体。
Akamai观察到,2022年上半年,全球网络运用和API进犯大幅添加。2022年以来,相关进犯测验超越90亿次,比2021年上半年添加了3倍,是有史以来所观察到的最大增幅。
商业是受影响最大的笔直范畴,占到近期进犯活动的38%。其间,零售业首战之地,成为遭到网络运用和API进犯次数最多的细分商业范畴。酒店旅游业次之,高科技与金融服务并列为受API进犯次数第三位的职业。
因为疫情加快了商业转向线上,针对此范畴的进犯自然会明显添加。尽管新冠疫情推进并加快了数字化转型,也招引了妄图发现和运用防护缝隙的网络犯罪分子。
文件注入进犯、SQL注入进犯以及跨站XSS进犯是针对API的三种最主要的进犯手法。
一般情况下,急于布置新技能和运用的安排无法从一开端就树立完善的安全体系,这使得零售商或许遭受进犯的缝隙添加,而比方上述勒索软件安排等要挟主体可经过各种进犯载体和办法运用网络运用中的缝隙、经过数字财物牟利、损坏面向互联网的根底设施并盗取客户数据。
金融付出API安全不容忽视
API经济模式为金融安排获取互联网事务才能、捕捉互联网用户需求、融入互联网生态体系供给了一条快速而灵敏的途径,也赋予了运用API的金融安排更多的立异动力,根据付出渠道敞开的根底设施、功能与数据,其他金融安排能够树立自己的特征产品与服务,然后围绕着API敞开渠道形成了一个共赢的付出生态。
近年来,许多金融安排一直在添加对金融立异和敞开式银行的出资。作为一种金融服务的敞开式连接器,API已经成为这一过程中必不可少的中心才能。
API在数字付出中的运用日益添加,这明显扩展了受进犯面,尤其是在需求处理很多敏感数据的金融科技职业,针对API的安全要挟也成为当时数字付出范畴的应战之一。全球云根底架构和移动商务解决方案厂商VMware在其第五版《现代银行劫案》陈述中指出,94%的金融安排(130家金融安排参加调研)表明他们正阅历API进犯。
跟着移动付出体系和数字钱包在全球的日益遍及,针对电子付出体系的进犯载体也在相应添加。2021年,针对电子付出体系的金融网络垂钓测验总数从9月到10月期间添加了一倍,增幅到达208%。
API所带来的根据运用的接口使得付出行为具有高度的情境关联性,这与前期的人工付出有着实质的差异。因而,所需求的安全防护办法也与网页的行为辨认和维护彻底不同。
为有用下降敞开银行建造的安全危险,2020年2月,中国人民银行发布了《商业银行运用程序接口安全办理标准》这一金融职业标准,从技能和办理两方面临银行经过API对接第三方安排的对接方式和应采纳的安全办法做了具体标准,触及银职业金融安排、集成接口服务的运用方等主体。
从技能视点讲,API安全应根据API的整个生命周期,这意味着从创立、链接到停用和退役都需求对敏感数据进行交互监测和危险辨认。
对此,Akamai大中华区企业事业部高档售前技能司理马俊主张,数字付出供给商应辨认并追寻API的方位及用处,测验并了解其间的缝隙;扫描储存库,寻觅可被用于损坏API或相关程序的密钥并进行定时审阅;在开发和上线期间充分运用现有的WAF根底设施与任何身份办理和数据维护解决方案以及任何专门的API安全东西;在API战略方面,尽量防止对每个API采纳共同的战略,应该尽或许运用一套能够重复运用的“一揽子”战略。
“此外,有必要将API安全作为一项长时间的流程,而不是开发过程中的一次性流程。新的缝隙和进犯层出不穷,单一实例查看将会让你暴露在进犯之中。”
付出反诈骗道高一丈
长时间来看,数字付出安全面临着多重应战。
首要,作为全球移动付出技能的抢先区域,移动付出频率的激增也大大添加了亚洲的安全危险。最新研讨显现,2021年新加坡与数字付出有关的圈套添加了53%。
付出诈骗行为使得实体商家在树立安全数字和零触摸付出生态体系方面面临着相当大的压力。《全球付出危险缓解》陈述还估量,38%的在线商户因付出诈骗而丢失了6%以上的营业额。
Deepfake身份诈骗在2021年激增并将在未来持续添加,给企业带来了身份验证方面的应战。
加密钱银等新式技能也带来了另一项长时间应战。2021年,与DeFi有关的违规事情占一切严重黑客事情的76%,仅第三季度就造成了超越10亿美元的丢失。
此外,从移动付出到先买后付,实时付出(RTP)让诈骗者能够垂手可得地将钱转化成加密钱银等其他钱银,再经过多个虚伪账户洗钱来完成快速变现和套现。英国朱尼普研讨公司猜测,RTP在2020年至2025年期间将添加23%。
鉴于此,金融安排有必要运用最先进的反诈骗操控手法来应对未来的网络要挟。
Akamai被Gartner评为2021年网站运用和API维护法力象限的领导者。据马俊介绍,为了进步API的安全性、协助客户应对API安全应战,Akamai推出了App & API Protector解决方案。App & API Protector将网络运用防火墙、爬虫按捺、API安全和DDoS维护等技能整合到一个解决方案中,安排安排能够将其无缝集成到IT仓库中。
此外,Akamai的Account Protector解决方案协助客户辨认边际网络上的反常行为。
比方,一个通常在美国西海岸进行买卖和付出的终端用户有一天忽然出现在东南亚并预备进举动账金融买卖,Akamai渠道就会运用人工智能(AI)/机器学习(ML)技能当即辨认这一反常情况并发出警报。
除了外部危险,付出范畴还面临着许多来自安排内部的要挟。Akamai供给的企业安全解决方案经过智能剖析企业内部网络的交互行为,为任何资源节点和终端设备供给安全和可见性,以便及时发现并阻断在内网中隐秘传达的歹意软件、木马与勒索病毒程序。从源头阻挠要挟的传达,满意金融安排在内部信息安全防护上的法规与监管要求。