數碼新時代來臨,API(應用程式介面)作為應用程式之間數據交換的主要渠道,使用量迅速增長,同時成為黑客主要攻擊目標。全球領先的雲端服務供應商 Akamai Technologies 亦預視到未來市場對 API 安全的需求,今年中以 4.5 億美元收購頂尖 API 安全公司 Noname Security。小編今次特意請來專家,詳細講解雙方整合至今,如何完善並擴充原有的產品功能及能力,為企業提供更安全可靠的 API 保護。
一個月多達48億次API攻擊
現時 API 在互聯網中廣泛被應用,物流快遞、網購、電子支付等平台都是常見的 API 應用例子。根據 Akamai Technologies(下稱 Akamai)的調查報告指出,API 攻擊每年增長 109%,而僅僅 2024 年 6 月就記錄了 48 億次攻擊。在 2023 年第一季度到 2024 年首季,香港亦遭受 15 億次 API 和 Web 應用程式的攻擊。API 作為目前數碼轉型的核心,負責傳輸重要敏感資料及數據,其安全性不容忽視。
強強結合 打造更完善API安全方案
Akamai 於去年收購 Neosec 後已初步完善了其 API Security 保護方案,為進一步加強對 API 的全面保護,Akamai 於 6 月再收購了 Noname Security(下稱 Noname),結合 Noname API Security 的技術,協助 Akamai 在 API 安全範疇上更上一層樓。
Akamai Technologies大中華區產品市場經理劉炅(John)指出,Noname 一直專注研發 API 安全方案,其技術專業程度以及產品化能力無容置疑,是次收購更能補足 Akamai API Security 跨供應商之間的集成和部署選擇,提供更大的靈活性和支援,能夠在 API 整個生命週期中,提供全面的安全檢測,並降低產品上線後的風險,在發現影子 API、尋找敏感資料、偵測漏洞和攻擊等能力亦得以擴充。
結合 Noname 的技術後,Akamai API Security 方案不僅提供靈活的部署選擇,不論雲端、在地、混合或是分散式環境都能全面覆蓋。此外,Noname 廣泛的第三方集成選擇亦幫助 Akamai API Security 無縫整合到客戶現有的產品服務當中,包括 AWS、Azure、CloudFlare、Kubernetes、Mulesoft、Oracle Cloud、F5 和 Palo Alto Networks 等平台,其集成選擇是現有 API Security 產品的 4 倍。
探查、測試、偵測及響應四大功能
Akamai API Security 的安全管理流程分為探查(Discover)、測試(Testing)、偵測(Detection)和響應(Response)四個主要部分。
從開發到生產的整個生命週期內,探查所有 API 並偵測休眠、舊版和殭屍 API,消除盲點並找出潛在的攻擊路徑,防止企業暴露安全風險之中;利用 API 安全性測試套件,自動執行超過 150 項模擬惡意流量的測試,包括 OWASP API 安全性十大威脅,在 API 上線之前發現漏洞,以降低被黑客攻擊的風險;在偵測方面,Akamai API Security 透過自動掃描基礎架構,找出錯誤配置和隱藏風險;更能即時偵測攻擊者和可疑行為、阻擋攻擊,在漏洞遭到利用前先行補救。
滿足行業標準 全面保障API安全
John 指出,API 不只是代表應用程式介面,而是企業的核心資產,當中包含數據安全問題,因此不同行業對 API 安全都有嚴格的法規要求,尤其金融行業對網上銀行交易轉賬的安全性要求更高。香港金融管理局(HKMA)在 2018 年亦制定銀行業 Open API 的框架,確保數據和交易的安全性。Akamai API Security 方案經整合後,符合 FFIEC、SOC、GDPR、HIPAA 和 PCI DSS 等針對不同地區及行業的標準,其安全性獲得認可,為客戶在不同領域上都有全面的保障。 大部分企業高度依賴於 API 的資料交互能力,特別是業務規模較大的企業,每月 API 請求數目有機會高達幾十億次。John 表示,當 API 架構漸趨複雜,卻沒有視覺化能力,很多隱藏 API 端點是整體業務的隱患。
香港曾有知名二手買賣平台於系統遷移過程中出現保安漏洞,令 32 萬名本港用戶個人資料遭洩露。個人資料私隱專員公署調查後,認為該平台未有採取適當措施偵測異常模式或活動,亦未有配置用於偵測潛在惡意使用應用程式介面的活動的警報。由此可見,企業必須持續加強對 API 的監控與保護,才能有效降低資料外洩和安全事件的風險。
事實上,Akamai 收購 Noname之前,客戶對 Akamai API Security 的需求增長率就已經高達 200%。大部分企業缺乏對 API 的安全弱點分析能力,John 表示,雖然企業都有使用不同的「手段」,如 WAF、API Gateway 以解決 API 安全問題,但企業網絡內東西南北向流量錯綜複雜,單靠 WAF 產品並未能防禦所有針對 API 的攻擊。Akamai API Security 方案則提供更全面的保護、更有深度的視野和分析能力,基於行為和邏輯檢測 API 濫用情況,有效保護企業的 API 免受攻擊威脅。