随着全球数字经济加速发展，应用程序编程接口（以下简称API）作为企业数字化转型的重要基础设施越来越受到世界各地组织机构的青睐。特别是对于金融行业，API是连接不同来源数据和承载业务逻辑的重要通道，通过开放API实现金融业务线上办理和查询、移动支付、业务融合等已成为许多银行转型数字化、生态化和形成竞争力的关键措施。与此同时，API也正成为恶意攻击的重点目标，巨大的流量和访问频率让API的风险面变得更广、影响更大。

金融行业数字化转型加速   API威胁暴涨

随着亚太地区的金融机构持续加速并采用数字优先战略，API将越来越成为该战略成功的核心。API对于希望采用开放式银行业务的金融科技公司和银行至关重要。

当前，由API传输的核心业务数据、个人身份信息等数据的流动性大大增强，因此这些数据面临着较大的泄漏和滥用风险，是数据保护的薄弱一环，外部恶意攻击者会利用API接口批量获取敏感数据。从金融生态开放角度看，目前数据的交互、传输、共享等过程往往有多方参与，涉及到交易方、用户、应用方等多个主体，由此使得数据泄露风险点激增，风险环境愈发复杂。针对API的安全威胁成为当前数字支付领域的挑战之一。

Akamai发布的《2022上半年网络应用和API威胁报告》显示，全球网络应用和API攻击大幅增加，今年迄今为止的攻击尝试超过90亿次，比2021年上半年增加了3倍，这是Akamai有史以来所观察到的最大增幅。

据Akamai观察，整个亚太地区的凭证盗窃、帐户接管和API滥用事件正在增加，印度、澳大利亚、新加坡、日本、中国和印度尼西亚是首要目标国家。

Gartner此前预测，到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介；到2024年，API安全问题引起的数据泄露风险将翻倍。相比于Web应用程序攻击，针对API的撞库攻击需要的工作量更少，所以其攻击速度也要更快。随着攻击面不断扩大，金融机构亟需解决API安全问题，需要通过制定全面的计划来及时发现、测试和保护API，并将API安全纳入其整体应用程序安全策略。

API安全已成为数字金融企业首要任务

随着我国《网络安全法》、《数据安全法》和《个人信息保护法》的正式施行，数据安全与隐私保护问题越来越引起国家、社会以及企业的重视。国务院新闻办公室于近日发布的《携手构建网络空间命运共同体》白皮书中也再次强调了构建健康网络环境、保障数据安全的必要性。而API作为数据泄露的主要来源之一，API安全应当被提到重要位置。

在网络安全领域，金融行业也因其业务安全的重要性被严格监管。中国人民银行于2020年发布的《商业银行应用程序接口安全管理规范》规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求，贯穿API的整个生命周期；2021年发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界，应使用API防护技术”，要求“对API数据的外发与回传进行审计”，在通过API接口方式向特定平台提供数据的数据应用交换场景中要求使用脱敏等数据安全技术。

金融服务行业的高利润和有吸引力的客户隐私数据导致其成为恶意网络攻击活动前五个目标行业之一。随着API持续为数字银行和支付提供动力，服务可用性和任何中断都将极大地影响客户满意度及其品牌忠诚度。

众多金融科技企业已逐渐开始构筑安全屏障来抵御繁杂的网络攻击。据最新的调查数据显示，在金融服务领域，有28%的受访者将提高应用程序API的安全性作为首要任务。此外，70%的金融机构已经部署了API安全的相关措施，16%计划在12个月内采用相关措施。

加持API安全性，多维深度防护

Akamai大中华区企业事业部高级售前技术经理马俊在Akamai数字银行业的API安全报告中表示，API是现代移动和Web应用程序的关键部分，为更好的数据集成和个性化的客户体验提供了机会。但就其本质而言，API 会暴露应用程序逻辑和敏感数据，例如个人身份信息，并已成为易受攻击的攻击目标。

Akamai大中华区企业事业部高级售前技术经理 马俊

如何创建API深度安全防护？马俊建议金融科技企业从以下几个方面着手：

1.定位API并进行盘点跟踪

API在逐渐普遍的同时，也带来更多漏洞。许多企业甚至不清楚自身API应用范围和潜在漏洞。如果不了解这些API，那么防护API安全更是无从谈起。所以对于企业来说，了解自身API及其用途是必不可少的。对此，我们建议企业需要对内外部所有的API进行识别和保护，那些被记录为潜在风险的项目更应得到必要的评估。

2.定位API后，测试以查探是否存在漏洞

如今，业界越来越多地意识到API安全防护应贯穿整个API生命周期，将API置于安全控制的前端和中心。这不仅需要测试工具并加强开发人员培训，也需要与现有的安全团队紧密配合，针对风险承受能力制定相应计划，并尽早修复漏洞。

3.开发及发布期间使用专业的API安全工具

在开发和发布期间，充分利用现有WAF基础架构、身份管理和数据保护解决方案，以及专门的API安全工具，同时，新的漏洞和攻击源源不断，一次性的检查只会让API暴露在风险中，因此确保API安全是一个持续的事情，而非在开发过程中的一劳永逸。传统的基于签名的网络安全工具，例如入侵防御系统 (IPS)，基于签名的Web应用程序防火墙(WAF)和传统网络防火墙无法有效保护API。我们推荐企业使用现代Web应用程序和API保护(WAAP)解决方案，该解决方案能够提供强大的API发现、保护和控制功能，以缓解API漏洞并减少攻击面。

4.使用“一揽子”策略并协同API开发相关团队

企业应尽量避免为每种API使用单一策略，而是应尽可能使用一套可复用、组合式“一揽子”策略，围绕 API 安全建立长期的防御流程。一个好的经验法则是将任何资源的默认访问级别设为空或拒绝。 这种零信任方法强制执行最小权限，并使身份验证成为一个不变的要求。同时，API开发中需要协同各种利益相关团队，如开发团队、网络和安全运营团队、身份团队、风险管理师、安全架构师和法律/合规团队等，以确保产品能够遵循所有监管的法律法规。