隨著金融服務(wù)行業(yè)的數(shù)字化轉(zhuǎn)型加速,API(應(yīng)用程序編程接口)成為企業(yè)運(yùn)營(yíng)的核心,API安全問題也日益嚴(yán)重。
根據(jù)Traceable AI最新發(fā)布的《2024年金融服務(wù)API安全狀況報(bào)告》金融業(yè)API安全面臨著重大挑戰(zhàn),包括監(jiān)管合規(guī)、可見性問題和保護(hù)敏感數(shù)據(jù)等。報(bào)告指出,金融行業(yè)在API集成復(fù)雜性上極度掙扎,合規(guī)性、數(shù)據(jù)泄露和欺詐等方面的風(fēng)險(xiǎn)顯著增加。82%的金融機(jī)構(gòu)對(duì)監(jiān)管合規(guī)表示擔(dān)憂,包括遵守FFIEC、OCC、CFPB和PCI-DSS等標(biāo)準(zhǔn)。
該報(bào)告基于對(duì)超過150位美國(guó)網(wǎng)絡(luò)安全專家的調(diào)查,深入分析了API安全的現(xiàn)狀、面臨的挑戰(zhàn)以及應(yīng)對(duì)策略。具體如下:
金融業(yè)API安全面臨的五大挑戰(zhàn):
致命弱點(diǎn):可見性和上下文
令人擔(dān)憂的是,64%的受訪者承認(rèn)在將API活動(dòng)與用戶互動(dòng)和數(shù)據(jù)軌跡相關(guān)聯(lián)方面缺乏清晰度,這顯著阻礙了他們的威脅檢測(cè)能力。對(duì)API、用戶行為和數(shù)據(jù)移動(dòng)的復(fù)雜關(guān)系缺乏理解,是該行業(yè)防御策略中的一個(gè)明顯漏洞。
敏感數(shù)據(jù)泄露
API已經(jīng)成為金融運(yùn)營(yíng)的關(guān)鍵,常常處理包括個(gè)人身份信息(60%)、認(rèn)證詳情(60%)、支付卡數(shù)據(jù)(56%)和地理位置數(shù)據(jù)(55%)在內(nèi)的敏感信息。這使得它們成為網(wǎng)絡(luò)攻擊者的目標(biāo),凸顯了強(qiáng)化安全措施的必要性。
API安全挑戰(zhàn)的三重困境
API是網(wǎng)絡(luò)犯罪分子攻擊的理想目標(biāo),弱認(rèn)證機(jī)制、憑證泄露或漏洞利用都可能導(dǎo)致未經(jīng)授權(quán)的訪問。調(diào)查顯示,金融業(yè)API安全面臨三大風(fēng)險(xiǎn)和挑戰(zhàn):未經(jīng)授權(quán)訪問(35%)、數(shù)據(jù)泄露(33%)和漏洞檢測(cè)(30%)。這些挑戰(zhàn)突顯了金融行業(yè)在保護(hù)API網(wǎng)關(guān)免受未經(jīng)授權(quán)利用方面的掙扎。
欺詐和惡意機(jī)器人
在經(jīng)歷API泄露的機(jī)構(gòu)中,42%將事件歸因于欺詐活動(dòng),這表明濫用和誤用問題的普遍性。73%的受訪者認(rèn)為惡意機(jī)器人對(duì)API安全構(gòu)成中度至重大威脅。這些機(jī)器人可以執(zhí)行數(shù)據(jù)刮取、欺詐交易或通過大量流量攻擊API,導(dǎo)致服務(wù)拒絕攻擊(DDoS)。此外,僅有15%的機(jī)構(gòu)對(duì)其阻止API相關(guān)欺詐的能力表示高度信心,表明當(dāng)前安全狀態(tài)存在關(guān)鍵缺口。
API泄露的連鎖反應(yīng)
API泄露的影響遠(yuǎn)遠(yuǎn)超出了即時(shí)的數(shù)據(jù)泄露。品牌完整性和客戶信任度,分別在41%的案例中受到影響,成為首要受害者,緊隨其后的是財(cái)務(wù)影響(36%)和客戶流失(35%)。
為了有效管理API安全風(fēng)險(xiǎn),報(bào)告建議金融機(jī)構(gòu):
-
全面發(fā)現(xiàn)和管理API:通過自動(dòng)化工具持續(xù)發(fā)現(xiàn)并記錄每個(gè)API,包括內(nèi)部、外部和第三方API,消除安全盲點(diǎn)。
-
量化并監(jiān)控API風(fēng)險(xiǎn):分類敏感數(shù)據(jù)類型,監(jiān)控?cái)?shù)據(jù)在服務(wù)之間的流動(dòng),創(chuàng)建數(shù)據(jù)保護(hù)政策以阻止數(shù)據(jù)訪問和防止數(shù)據(jù)泄露。
-
自動(dòng)化和擴(kuò)展API漏洞測(cè)試:利用實(shí)時(shí)流量和回放流量構(gòu)建更智能的API測(cè)試,快速擴(kuò)展測(cè)試計(jì)劃。
-
檢測(cè)和阻止API攻擊、欺詐和濫用:使用行為分析和機(jī)器學(xué)習(xí)模型建立API行為檔案,有效識(shí)別異常行為并阻止威脅。