伴随数字化时代的来临,用户的消费和使用习惯也发生了巨大的改变,金融服务行业的组织、企业为了满足用户群体日益增长的便捷需求,也配套推出了众多基于各种终端的应用程序,而相关业务的运营方式相比此前也有所改变,API则成为这一改变过程中的核心。近三年前开始出现的疫情因素对于以银行为代表的金融企业影响同其他很多行业一样,远程服务出现了增长,而这进一步令API使用的频次和数量都大幅增加。
然而,随着每一个应用程序与其他各种应用程序之间相互通信的标准化,API应用的增长也让攻击者的潜在攻击面有所增加,根据报告情况来看,只有高科技领域和电子商务领域比金融服务行业更容易受到API攻击。
此前我国API安全领域企业永安在线发布的《API安全研究报告(2022Q3)》中,也重点提及了金融行业是黑产攻击API并窃取数据的重要目标,由于金融服务平台的用户数据,如用户的办理业务、办理时间等,无论是出售给中介“精准”揽客,还是出售给犯罪分子实施诈骗,都可以获取到高额的利益,从而被攻击者视为可带来高回报的目标。
事实上,一旦攻击者成功发起针对应用的攻击,他们就有机会窃取其中的数据,如果更严重一些,还可以获得对网络的访问权限,并获取更多的证书凭证,从而允许他们横向移动。除了数据泄露引发的泄密影响之外,被窃取的信息还可以会在暗网等地下市场兜售,考虑到金融服务行业所拥有的用户数据,其中所包含的个人身份信息、账户详细信息等,这意味着很有可能其他有目的的人利用其发起更多的攻击。通过报告数据显示,攻击者的确也在这样操作,Akamai研究显示,在针对该行业的攻击中,面向客户账户的网络钓鱼或直接攻击的占比超过了80%。
报告的制作者还指出,金融服务组织的内部系统中所存在并被发现的零日漏洞会被攻击者迅速利用,今年的一个典型的例子是,在Atlassian的Confluence产品中被发现的远程代码执行漏洞被公开披露不到一周后,Akamai在6月7日晚上的一段时间内记录了每小时近8万次基于该漏洞的攻击,而Confluence和其他类似漏洞被攻击者利用的速度,正凸显了企业保持最新补丁的必要性。
Akamai表示,虽然针对金融服务行业应用程序和API攻击增长很快,但其他类型的攻击其实也在呈现出愈加普遍的趋势,如僵尸网络活动同比增长81%,DDoS攻击也出现了22%的增长。