今年4月,哥斯达黎加政府多个部门遭国际知名勒索组织Conti软件攻击,致使国家进入紧急状态。在这次攻击中,有数百个G的文件被窃取,并被要求支付1000万美元赎金。

据了解,这个来自俄罗斯的勒索软件组织去年一年的勒索赎金高达1.8亿美元。仅在今年4月,Conti的受害企业数量就达45家。

全球领先的边缘计算平台Akamai最近的研究显示,Conti通过对脆弱的应用和系统进行自动攻击尝试来获得对目标网络的初始访问权。这提示各个商业组织要特别注意针对网络应用和API(应用程序编程接口)的攻击。

在日益频繁和多样化的线上交易中,API通过整合第三方的服务能力,使开发者无需从零开始建立技术能力,也能加速新产品和服务的开发。目前,API已经在身份认证、电子支付、定位、语音转换等日常生活的基础服务场景中大显身手。

作为现代应用程序的基本和核心组件,API也成为了攻击者眼中的完美目标。

在企业对API需求暴增的同时,数字支付等领域针对API的各种形式的攻击也愈加频繁,并造成了严重的安全威胁。移动支付提供商需要不断提升自身的应对策略与技术能力,以抵抗电商等各种新兴支付场景中的API攻击,专业技术服务商也在其中提供着重要助力。

与应用如影随形的API攻击

随着数字经济不断深化发展,API越来越受到世界各地组织机构的青睐,其数量呈现出爆炸性的增长。近年来,许多实施数字化转型的组织机构开始利用API推动新的客户体验并创造新的收入来源,但这也扩大了恶意威胁主体的攻击面。

451 Research和Noname Security在一份API安全调研报告中指出,过去12个月内参与调研的企业在API增长方面高达201%,平均使用15564个API。他们指出,随着各组织对API的依赖增加,其相关的安全挑战也随之增加,例如身份验证、授权和意外泄露或数据泄露等安全挑战。

Gartner研究显示,截至2022年,原本属于低频攻击类型的API滥用将成为导致企业网络应用数据泄露的最常见攻击载体。

Akamai观察到,2022年上半年,全球网络应用和API攻击大幅增加。2022年以来,相关攻击尝试超过90亿次,比2021年上半年增加了3倍,是有史以来所观察到的最大增幅。

商业是受影响最大的垂直领域,占到近期攻击活动的38%。其中,零售业首当其冲,成为受到网络应用和API攻击次数最多的细分商业领域。酒店旅游业次之,高科技与金融服务并列为受API攻击次数第三位的行业。

由于疫情加快了商业转向线上,针对此领域的攻击自然会显著增加。虽然新冠疫情推动并加速了数字化转型,也吸引了企图发现和利用防御漏洞的网络犯罪分子。

文件注入攻击、SQL注入攻击以及跨站XSS攻击是针对API的三种最主要的攻击手段。

一般情况下,急于部署新技术和应用的组织无法从一开始就建立完善的安全系统,这使得零售商可能遭受攻击的漏洞增加,而诸如上述勒索软件组织等威胁主体可通过各种攻击载体和方法利用网络应用中的漏洞、通过数字资产牟利、破坏面向互联网的基础设施并窃取客户数据。

金融支付API安全不容忽视

API经济模式为金融机构获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统提供了一条快速而灵活的途径,也赋予了使用API的金融机构更多的创新动力,基于支付平台开放的基础设施、功能与数据,其他金融机构可以搭建自己的特色产品与服务,从而围绕着API开放平台形成了一个共赢的支付生态。

近年来,许多金融机构一直在增加对金融创新和开放式银行的投资。作为一种金融服务的开放式连接器,API已经成为这一过程中必不可少的核心能力。

API在数字支付中的使用日益增加,这显著扩大了受攻击面,尤其是在需要处理大量敏感数据的金融科技行业,针对API的安全威胁也成为当前数字支付领域的挑战之一。全球云基础架构和移动商务解决方案厂商VMware在其第五版《现代银行劫案》报告中指出,94%的金融机构(130家金融机构参与调研)表示他们正经历API攻击。

随着移动支付系统和数字钱包在全球的日益普及,针对电子支付系统的攻击载体也在相应增加。2021年,针对电子支付系统的金融网络钓鱼尝试总数从9月到10月期间增加了一倍,增幅达到208%。

API所带来的基于应用的接口使得支付行为具有高度的情境关联性,这与早期的人工支付有着本质的区别。因此,所需要的安全防护措施也与网页的行为识别和保护完全不同。

为有效降低开放银行建设的安全风险,2020年2月,中国人民银行发布了《商业银行应用程序接口安全管理规范》这一金融行业标准,从技术和管理两方面对银行通过API对接第三方机构的对接形式和应采取的安全措施做了详细规范,涉及银行业金融机构、集成接口服务的应用方等主体。

从技术角度讲,API安全应基于API的整个生命周期,这意味着从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。

对此,Akamai大中华区企业事业部高级售前技术经理马俊建议,数字支付提供商应识别并追踪API的位置及用途,测试并了解其中的漏洞;扫描储存库,寻找可被用于破坏API或相关程序的密钥并进行定期审核;在开发和上线期间充分利用现有的WAF基础设施与任何身份管理和数据保护解决方案以及任何专门的API安全工具;在API策略方面,尽量避免对每个API采取独特的策略,应该尽可能使用一套可以重复使用的“一揽子”策略。

此外,必须将API安全作为一项长期的流程,而不是开发过程中的一次性流程。新的漏洞和攻击层出不穷,单一实例检查将会让你暴露在攻击之中。

支付反欺诈道高一丈

长期来看,数字支付安全面临着多重挑战。

首先,作为全球移动支付技术的领先地区,移动支付频率的激增也大大增加了亚洲的安全风险。最新研究显示,2021年新加坡与数字支付有关的骗局增加了53%。

支付欺诈行为使得实体商家在建立安全数字和零接触支付生态系统方面面临着相当大的压力。《全球支付风险缓解》报告还估计,38%的在线商户因支付欺诈而损失了6%以上的营业额。

Deepfake身份欺诈在2021年激增并将在未来继续增长,给企业带来了身份验证方面的挑战。

加密货币等新兴技术也带来了另一项长期挑战。2021年,与DeFi有关的违规事件占所有重大黑客事件的76%,仅第三季度就造成了超过10亿美元的损失。

此外,从移动支付到先买后付,实时支付(RTP)让欺诈者能够轻而易举地将钱转换成加密货币等其他货币,再通过多个虚假账户洗钱来实现快速变现和套现。英国朱尼普研究公司预测,RTP在2020年至2025年期间将增加23%。

鉴于此,金融机构必须使用最先进的反欺诈控制手段来应对未来的网络威胁。

Akamai被Gartner评为2021年网站应用和API保护魔力象限的领导者。据马俊介绍,为了提高API的安全性、帮助客户应对API安全挑战,Akamai推出了App & API Protector解决方案。App & API Protector将网络应用防火墙、爬虫抑制、API安全和DDoS保护等技术整合到一个解决方案中,组织机构可以将其无缝集成到IT堆栈中。

此外,Akamai的Account Protector解决方案帮助客户识别边缘网络上的异常行为。

比如,一个通常在美国西海岸进行交易和支付的终端用户有一天突然出现在东南亚并准备进行动账金融交易,Akamai平台就会利用人工智能(AI)/机器学习(ML)技术立即识别这一异常情况并发出警报。

除了外部风险,支付领域还面临着许多来自组织内部的威胁。Akamai提供的企业安全解决方案通过智能分析企业内部网络的交互行为,为任何资源节点和终端设备提供安全和可见性,以便及时发现并阻断在内网中隐秘传播的恶意软件、木马与勒索病毒程序。从源头阻止威胁的传播,满足金融机构在内部信息安全防护上的法规与监管要求。