Akamai推出原生连接器方案，确保金融行业API的安全性和稳定性

11月13日消息，金融行业往往是网络攻击的重点目标，云服务提供商Akamai近日推出了Akamai原生连接器方案，用以API的安全性和稳定性，助力金融行业抵抗日益增长的API攻击。

Akamai发布的《应对安全威胁狂潮：金融服务业的攻击趋势》SOTI报告显示，金融行业已经连续二年成为各行业中遭受DDoS攻击最为显著的行业。其中，金融机构在第三/第四层DDoS攻击事件当中占比最高，达到了34%。

同时，针对HTTP Web应用层的攻击也大幅增加。其中，特别是那些未被标记、未被识别的影子API，成为了主要关注点。在亚太及日本地区（APJ），通过API的攻击最为频繁，占据了该区域DDoS攻击近50%的比例。

事实上，金融行业对API的使用和面临的风险持续增强，许多业态（如数字原生银行）全面利用API开展业务。因此，API在金融行业中的使用将更加广泛，面临的风险也会更加严峻。

Akamai资深解决方案技术经理 马俊

Akamai资深解决方案技术经理马俊介绍，在API防护方面，当前业内普遍使用的WAF（Web应用防火墙）方案存在三个难以解决的问题：

首先是“影子API”问题。这些API并未被安全团队充分识别，因此其流量没有得到足够的安全防护。由于没有明确的清单来梳理这些影子API，所以它们处于完全失控的状态。由于缺乏定义、范围和列表，企业难以利用现有的WAF或安全防护手段来保护它们。

其次，存在漏洞的API。这些漏洞主要体现在API的业务层面。例如，根据OWASP针对API提供的全球前十的漏洞列表，大量API漏洞与身份认证和访问控制有关。通过简单地改变API中的参数，攻击者可以跨用户、跨企业实体，甚至跨信息安全隔离的边界，访问其他用户或个人的敏感信息。这是传统WAF无法解决的漏洞问题。

第三是API滥用。这指的是未授权的调用者，尤其是合作伙伴，利用API的健全性（或未充分考虑调用次数、范围、场景、顺序等）进行的所谓“间谍活动”。攻击者可以通过API抓取敏感数据、修改后台配置，甚至进行“撞库”及更复杂的欺诈或渗透攻击。

为了有效应对上述问题，Akamai通过API深度防护能力，提出了一个完整的治理框架。这个框架旨在全面解决API防护中的难点，确保API的安全性和稳定性。同时，Akamai特别为金融客户提供了一项快速落地的解决方案——Akamai原生连接器。

马俊介绍，Akamai原生连接器是连接Akamai既有用户与创新的高级API安全方案之间的关键环节。这一新的集成能力直接内嵌于Akamai的连接云平台中，能够无缝地将云平台中的流量副本传输至Akamai的高级API引擎。通过这一设计，客户仅需几次简单的点击，甚至无需进行任何实体部署，就能迅速实现高级API的检测与防护功能。这一解决方案对客户来说极为友好和高效，能够在极短的时间内——几分钟甚至几秒钟内，帮助客户完成API的高级检测和防御部署。它涵盖了“发现、感知、运行时的监控”以及“测试”等关键能力，为客户的API安全提供了强有力的保障。

Akamai近年来在API安全方面的持续投入和创新。今年Akamai还收购了一家高级API防护公司Noname，通过该项收购，Akamai将能够帮助企业有效应对影子API漏洞及API滥用等安全威胁。

马俊强调：“安全防护与攻击是猫鼠游戏的过程，安全防护的演进与攻击者的能力、工具和技术的增长密切相关。通过Akamai的平台能力和数据，我们观察到许多新出现的安全威胁和场景，因此可以针对性地制定安全策略，帮助客户有效利用Akamai的产品，解决实际问题。”（果青）

生成海报

免责声明：本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。