如今,金融服务提供商(如银行和信用卡公司)使用大量API,这使得他们成为恶意攻击者和威胁参与方高度关注的目标。这就是为什么API安全在金融机构快速变化的商业世界中至关重要的原因。
API安全对于金融机构的数字化发展至关重要
据Forrester Research 首席分析师 Sandy Carielli 介绍,最新的调查数据显示,在金融服务领域,有 28% 的受访者将提高应用程序API的安全性作为首要任务。此外,70%的金融机构已经部署了API安全的相关措施,16%计划在12个月内采用。API安全在应用程序生命周期的不同阶段都会有所涉及,尤其在开发测试和生产阶段采用较多。
随着数字化转型的持续深入,银行需要与金融科技公司等供应链上的合作伙伴分享其API。加上监管要求,这不仅需要改变以往的惯性思维,甚至可以说需要打破其固守多年、刻入基因的传统操作模式。他们需要适应新的现实,即任何易受攻击的API、有缺陷的DevOps周期或恶意活动都可能导致安全风险。尽管许多金融机构已经意识到需要API安全建设来支持他们进行数字化转型,但他们并不真正知道该如何实现这一切,尤其是需要使用哪些工具。
金融行业的API安全发展现状
在技术层面,理想的办法是打造一个统一的安全解决方案。正如Cyber Edge CEO Tomer Nuri所言:“由于API驱动了如此多的网络事件,我们将把API安全视为主要网络防御的一部分,但市场仍需培育。API是构建新型网络环境不可或缺的模块,这将安全重点从整个应用程序(包括API)转移到了API本身。”
金融机构目前正在寻找能够处理应用程序整个生命周期的工具,同时金融机构有义务遵守非常严格的规定,这就使得API变得很重要,因为它们在这个过程中经常被忽略。有相当多的API被开发出来,甚至经历了PoC过程,然后被抛弃和遗忘。正如NewWave CIO Robert Wines II指出的那样:“因为API经常被遗忘,所以更需要保证应用程序的所有组件,包括API,都是安全的。”
由于大量的API是由不同的开发人员、不同的团队出于不同的目的开发的,这就引发了新的安全控制问题。“如果它们不一致,我们就有漏洞。”EPAM 系统的API和安全专家Colin Jaccino指出。这就是为什么生产端的工具需要与安全能力一起被集成,让安全与开发流程在更深的层次上融合。
当谈到零信任时,这意味着“鉴权判定仅仅取决于你的位置或你的身份,并不意味着我们信任你,机制是更简单纯粹的。”基于行为的启发式安全工具比基于签名的工具更受青睐,因为它们提供了更高级别的安全性。API安全解决方案不应该是另一个安全解决方案(如WAF解决方案)的扩展,而应该是网络安全库中不可或缺的一部分。
总的来说,API安全在某种程度上仍然处于草莽阶段,新方法和新解决方案层出不穷。金融机构选择部署的API安全方案类型需要综合考虑其API网络安全成熟度、内部专业知识、API用户范围以及现有的网络安全解决方案。
国内银行API安全标准出台
看回国内,2020年2月13日,中国人民银行发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(下称“标准”)金融行业标准。标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。
标准称,商业银行使用的API类型可分为内部API、企业定制API与外部API三种类型。商业银行应用程序接口服务的参与方有用户、应用方及商业银行,并界定了各方在商业银行应用程序接口服务中扮演怎样的角色,应承担怎样的责任。与标准对商业银行的要求相比,标准对应用方的要求涉及的生命周期阶段相对较少,主要集中在接口调用时的安全问题和风险监测上,应用方一方面需要对用户负责,做好安全运维工作,另一方面,商业银行具有限制调用时长等接口调控能力,应用方调用接口行为的合规性就尤为重要。
可以想见,随着互联网以及智能移动终端的普及,智慧“开放银行”将开启未来银行业服务的新模式。对应用程序接口的安全规范正是监管的第一步,需要行业各方共同关注。