第十一屆金融CIO高峰會春季場 會後報導
因應金融產業的蓬勃發展,Open Banking 已成為全球風潮。2019年底金管會也制定開放銀行的三階段策略,然而根據研究調查發現,由於 Open Banking 必須透過API交換才能創造經濟利益,而支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)修正案,簡稱PSD2,卻將導致 Open Banking 資安風險提高。根據《Radware 2020 Application Security Report》研究報告指出,有高達51%受訪企業擔心遭到APT攻擊,因此除有59%將APT防禦列為首要投資項目,而有55%企業會加強保護應用程序和API基礎結構。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
面對APT攻擊日益頻繁,Radware也公布API安全防護9大最佳實作規範,助企業保護API基礎結構,免遭駭客攻擊和濫用。9大規範分別為,對於自動化腳本(機器人)的API調用進行監控和管理、刪除或掩碼API內的原始身份驗證、「對於複雜且擬真機器人存取API的行為,須採取防禦措施」、強大的加密是必不可少的、「部署 Token-based 的速率限制功能,該功能可針對 IP/Session/ Token 單位時間發起的API存取進行限流」、全面記錄API請求和響應、掃描傳入的API請求中是否有惡意資訊或內容、部署 Clustered API 來達成容錯 (Fault Tolerance)、「稽核API調用的使用情況和過程,以查找API行為異常」。
[CIO都在讀: 七步驟扭轉接手的IT部門 ]
「許多金融企業或中小企業都採用與FinTech技術連接的程式設計介面(API),但卻缺乏安全機制。其次,由於各種形式訪問違規是最常見的威脅,而導致API安全性通常被忽略的關鍵,在於傳輸的資料不受檢查或驗證。」Radware亞太區雲端架構師詹凱富解釋:「Radware在APT防護的解決方案相當完整,其中在核心API防護部分,可提供API目錄檢測、針對漏洞利用的攻擊進行保護、JSON和XML格式合規檢查、API流量配額管理、防止資料洩漏、零時差攻擊防護等等。」
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
另外,Radware在惡意來源判別部分,也能提供API流量控制、API客戶端SDK、調用上下文分析、身份驗證流分析、基於意圖的深度行為分析、360度可見度等功能。
(文/林裕洋)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
