【TechWeb】11月13日消息,金融行业往往是网络攻击的重点目标,云服务提供商Akamai近日推出了Akamai原生连接器方案,用以API的安全性和稳定性,助力金融行业抵抗日益增长的API攻击。
Akamai发布的《应对安全威胁狂潮:金融服务业的攻击趋势》SOTI报告显示,金融行业已经连续二年成为各行业中遭受DDoS攻击最为显著的行业。其中,金融机构在第三/第四层DDoS攻击事件当中占比最高,达到了34%。
同时,针对HTTP Web应用层的攻击也大幅增加。其中,特别是那些未被标记、未被识别的影子API,成为了主要关注点。在亚太及日本地区(APJ),通过API的攻击最为频繁,占据了该区域DDoS攻击近50%的比例。
事实上,金融行业对API的使用和面临的风险持续增强,许多业态(如数字原生银行)全面利用API开展业务。因此,API在金融行业中的使用将更加广泛,面临的风险也会更加严峻。
(Akamai资深解决方案技术经理 马俊)
Akamai资深解决方案技术经理马俊介绍,在API防护方面,当前业内普遍使用的WAF(Web应用防火墙)方案存在三个难以解决的问题:
首先是“影子API”问题。这些API并未被安全团队充分识别,因此其流量没有得到足够的安全防护。由于没有明确的清单来梳理这些影子API,所以它们处于完全失控的状态。由于缺乏定义、范围和列表,企业难以利用现有的WAF或安全防护手段来保护它们。
其次,存在漏洞的API。这些漏洞主要体现在API的业务层面。例如,根据OWASP针对API提供的全球前十的漏洞列表,大量API漏洞与身份认证和访问控制有关。通过简单地改变API中的参数,攻击者可以跨用户、跨企业实体,甚至跨信息安全隔离的边界,访问其他用户或个人的敏感信息。这是传统WAF无法解决的漏洞问题。
第三是API滥用。这指的是未授权的调用者,尤其是合作伙伴,利用API的健全性(或未充分考虑调用次数、范围、场景、顺序等)进行的所谓“间谍活动”。攻击者可以通过API抓取敏感数据、修改后台配置,甚至进行“撞库”及更复杂的欺诈或渗透攻击。
为了有效应对上述问题,Akamai通过API深度防护能力,提出了一个完整的治理框架。这个框架旨在全面解决API防护中的难点,确保API的安全性和稳定性。同时,Akamai特别为金融客户提供了一项快速落地的解决方案——Akamai原生连接器。
马俊介绍,Akamai原生连接器是连接Akamai既有用户与创新的高级API安全方案之间的关键环节。这一新的集成能力直接内嵌于Akamai的连接云平台中,能够无缝地将云平台中的流量副本传输至Akamai的高级API引擎。通过这一设计,客户仅需几次简单的点击,甚至无需进行任何实体部署,就能迅速实现高级API的检测与防护功能。这一解决方案对客户来说极为友好和高效,能够在极短的时间内——几分钟甚至几秒钟内,帮助客户完成API的高级检测和防御部署。它涵盖了“发现、感知、运行时的监控”以及“测试”等关键能力,为客户的API安全提供了强有力的保障。
Akamai近年来在API安全方面的持续投入和创新。今年Akamai还收购了一家高级API防护公司Noname,通过该项收购,Akamai将能够帮助企业有效应对影子API漏洞及API滥用等安全威胁。
马俊强调:“安全防护与攻击是猫鼠游戏的过程,安全防护的演进与攻击者的能力、工具和技术的增长密切相关。通过Akamai的平台能力和数据,我们观察到许多新出现的安全威胁和场景,因此可以针对性地制定安全策略,帮助客户有效利用Akamai的产品,解决实际问题。”(果青)
招行信用卡推出“618就要这么花”活动,笔笔返现促消费
北京车展重磅前瞻!创维汽车要发布这些
三星新款智能手表将至 或为平价版Watch 4 非FE版
第二代骁龙8+16GB+1TB,5500mAh+9140mm²散热,仅2340元起
7800mAh大电池+骁龙888+4800万像素,256GB版仅799元
1999元就能拥有旗舰体验?一加Ace 3V告诉你这不是梦
337米!中企中标迪拜超高层新地标
为啥湖北恩施有个地方被称为中国仙本那呢
柬埔寨七星海投资概览:未来前景与机遇
在线预订平台、目的地代表和旅行者告诉你
马耳他投资移民高性价比欧洲生活
阿姆斯特丹也不扛了,明确限制旅游大潮
共筑开放、互联的Web3生态系统
日本环球影城大金刚国度区域将延期至下半年开放
运鸿非洲布基纳法索金矿勘探大突破,环保先行
飞往泰兰德,提前过夏天
柬埔寨,作为“一带一路”倡议的关键合作伙
4月19日是谷雨,谷雨是二十四节气之一,春
一连三场《炎明熹Gi-FORCE演唱会2024》昨晚
越来越多人厨房装这种水槽,美观又实用,懊
一顿饭没有主食,不仅有吃不饱的感觉,热量