https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

F5:金融3.0 即將上路,API 盤點六大機制保護安全

2024 / 01 / 05
編輯部
F5:金融3.0 即將上路,API 盤點六大機制保護安全
台灣「開放API平台」執行至今,金管會分三階段推動開放銀行(Open Banking ),今年將邁入最重要的第三階段「交易面資訊」,有效安全的API盤點議題再度成為焦點。
 
根據F5 CTO Office的研究報告,未來幾年產生的API數量將呈現指數級的成長。到2030年,API數量將達到5億至超過15億個。API 將成為最常受到攻擊的企業Web應用服務,並且每年攻擊事件將大幅度成長,過去我們認為透過API身份驗證足以威懾攻擊者,但現今有越來越多的數據顯示,攻擊來自看似合法的用戶,但實際上卻是惡意地通過了合法的身份驗證。
 
當複雜的網路犯罪、自動化程式威脅不斷發展,公司的資料、網路、應用和API面臨更高的風險。企業現階段真正關切的是API的安全問題,其中漏洞位居榜首,緊隨其後的是身份驗證問題,更令人擔憂的是很多企業經歷過敏感資料或隱私事件外洩,此類事件會造成巨大的成本和與企業聲譽的損害。

API氾濫造成的重大威脅與挑戰

造成API氾濫與安全的挑戰分別是:
第一分散API端點的激增與複雜管理, F5 SOAS報告發現, 85% 的企業在跨越多個公有雲、本地端和邊緣的分散式環境中部署應用和 API,擴大了攻擊面。

第二是被遺棄API隱藏的風險,過時與殭屍 API是目前企業最關心的問題且表示高度關注,由於API的生命週期與客戶的商業行為有著密切的關係,但卻有很多人為或外在因素導致API脫離企業安全政策的管控,例如:未依正常程序將API服務結束、開發人員不小心將測試 API 暴露到網路上、安全團隊未發現安全控制之外的API服務,這也是OWASP 將不當的庫存管理列為十大API 安全風險之一的關鍵。

第三是不易偵測的API攻擊,複雜的攻擊行為已經讓駭客「合法掩護非法」,駭客透過合法管道前潛入企業內部,伺機而動。

如何強化API防護

因此企業安全團隊要盤點API,需強化與關注以下防護機制與新模型:
  1. 確保公有雲、傳統資料中心、微服務三個空間的API安全基礎架構:
    在多雲與微服務環境裡,安全團隊需了解基礎設施是否有足夠的能力可以    支撐全面的API攻擊防禦。
     
  2. 建構API學習識別模型:
    基於AI/ML建立API模型基線和追蹤 API 行為,針對每個API資源提供錯誤、峰值、延遲和請求率指標識別異常情況。
     
  3. 識別API請求驗證和授權:
    來源身份驗證及存取內容是保護 API 和實施身份驗證的關鍵。足夠能力查看所有API端點的身份驗證狀態、詳細資訊和風險評分。
     
  4. 發現PII敏感資訊檢測:
    偵測和標記透過 API 公開的PII敏感資訊,包括自訂敏感資料偵測(姓名、地址、電話號碼和身分證碼)並具有隱藏敏感資料的屏蔽功能。
     
  5. 強化API盤整機制與管控:
    建立完整API資源盤點學習監控與發現機制,確保安全管控範圍之API資源,並主動發現脫離安全管控範圍之影子(Shadow) API與殭屍(Zombie) API資源。
     
  6. 建立API攻擊防禦機制:
    基礎設施應具備應用程式防火牆(WAF),當API內容包含惡意語法或服務器觸及CVE弱點時,應提供立即阻斷之能力。