政大金融科技研究中心副主任陈恭在台湾信息安全大会的金融安全论坛专场，分析企业API安全面临的风险与挑战，以及该如何以新形态API防卫工具来应对，让企业的API可以更安全。

首先，陈恭提到，Web API是现今各产业的企业信息系统发展的重要方向，而RESTful APIs加上JSON，这种较为轻量级的API，则已成为主流，所以，这次的分享也聚焦在此主题。

API的价值有许多面向，他指出，包括企业内部应用系统再造与整合，以及企业与外部伙伴的串接，都是通过API。而有了API以后，企业还可发展更多创新产品与服务。甚至，企业在发展平台经济、API经济或生态系等，其实底层也得靠API。或像是金融业近年开始兴起的开放银行、开放金融，也是基于Open API。

然而，陈恭指出，随着API的广泛应用，信息安全议题也陆续浮现。而API安全基本上有两大作法，一是API威胁防护；二是API存取控制，他强调，所有API与应用系统还是要进行基本的认证、授权、分级管理、流量监控等。他强调，「从安全角度，不管是企业内部的API、Partner API 、Open API都要进行防护，谁都不能信任。」

而在基本的API防护配备上，他提到，企业应该都有采购网站应用程序防火墙（Web Application Firewall，WAF）作为应用层的管理。甚至，包括金融机构、科技产业也开始导入API管理平台（APIM），将企业内部所有API的发布、权限控管、流量、统计分析，都集中到APIM管控。

然而，陈恭提醒，企业做的这些API信息安全防护，可能还不足够。因为，企业可能会面对更加恐怖的威胁。根据Gartner前阵子发布Web API的安全报告显示，到了2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。企业内部遇到的，可能不是只有传统的攻击手法，黑客可能登堂入室，以合法方式进入企业，潜藏在企业的系统，到处寻找API漏洞来进行攻击。

企业要盘点API，依照其特殊性采用新防护工具

因此，陈恭强调：「企业得依照API的特殊性，来采用新的防护工具。」他更以先前台新金控信息长孙一仕提出的金融信息安全风险3大挑战，包括不可管、不可控、不可见的风险，来解释企业应注意的重点。

不可管的意思是，无法管黑客的攻击，像是社交工程、钓鱼邮件。不可控的风险则来自系统并非企业自行开发，所以只要系统厂商有需要修补的补丁出现时，企业得及时把信息安全漏洞补上。不可见则指看不到的风险，这类信息安全风险是最难被发觉。

根据42Crunch在2019年的调查，平均每家企业平均提供了400支以上的API。不过，陈恭提到，企业的信息安全相关部门，是否盘点过自家的API有多少？他坦言，如果企业不知道自家有几支API，遑论保护API，这就是所谓的不可见风险。

陈恭建议，可将不同项目的API进行盘点，建立一份目录，定义每支API的传输规格、资料格式、权限控管、维运监控、资料敏感度、风险等级、OSS补丁需求。不过，他也提醒，盘点工程会非常耗费时日，而且很难做得完整。因为，企业信息架构系统有叠床架屋式的信息系统问题，毕竟，罗马不是一天造成的。

此外，企业面临数字转型的挑战，在应用系统现代化的过程中，也很难一步到位，甚至可能导致多种技术世代并存，管理起来非常複杂。而在过程中，难免有很多API是没有注意到的。

API安全有2大挑战：不可见的风险、难以侦测的攻击

陈恭进一步指出，API安全有2大挑战。一是不可见的API，企业压根儿忘记这些API的存在，可能是鲜少使用或是已废弃不用的API，就躺在黑暗的角落。他提到，「这些API都是黑客的最爱。」又或者是以前员工写的API，但后续负责维运的人，并不了解API在安全上有何漏洞。Gartner也曾指出，企业得先找到这些有风险的API，否则让黑客先找到的话，企业就危险了。

而这些不可见的API，陈恭表示，可能存在企业中，不同技术世代开发的系统、既有Legacy系统的介接繁杂、外部伙伴与内部自用的API，以及该淘汰但未淘汰的各式旧系统。「内部API往往成为信息安全盲点」他举例，2019年澳洲最大房地产估价公司LandMark White发生API漏洞，本来只供内部使用的API，却可以从公司网域外调用，导致大量内部资料与客户资料外洩，该公司CEO更为此辞职。

陈恭提到，API安全的第二大挑战，跟不可管的风险有关，那就是企业不容易侦测到的攻击。他解释，很多时候黑客是从合法管道进来，在企业内部伺机而动，然而这些攻击没有经过特殊处理方式的话，其实难以察觉，甚至是过了很久以后企业才发现。而且，不只一般产业，即便是科技大厂也不能免于攻击。

陈恭强调：「API安全的关键点，在于API本身的安全。」他提到，现在的黑客是直接跳过App等用户端介面，直接锁定企业API，尝试各种攻击，API成了企业的弱点。好比美国邮政署网站发生API漏洞，让黑客得以用合法帐号进入，冒用他人帐号，窃取他人资料，恐使6000万用户资料外洩。因此，「企业需要直接在API层建立防护。」

陈恭表示，目前，国际间惯用的作法是采取OAuth 2.0委任存取管理方式，让TSP来存取客户资料。不管，他强调，委任存取管理流程复杂，涉及第三方业者、银行、消费者，有可能在委任存取过程中发生攻击，产生移花接木的状况。比如说，黑客预先取得一个授权码（Auth code），在使用者登入TSP业者的网站服务时，以钓鱼方式让使用者代为登入，让使用者代替黑客取得存取金钥（Access Token），接着黑客再以这存取金钥冒充使用者操作，来取得使用者的资料乃至存款。

在此情境下，使用者与黑客都是合法使用者，只是黑客是拿取他人的资料来操作，所以，企业并不容易侦测出来。陈恭认为，这牵涉到不可管的API，来自用户端的疏忽，包括社交工程、ATP等攻击手法，其实防不慎防，企业在管理自家的API要自求多福。

新形态API防卫工具出现，利用AI技术主动侦测异常API

面对日新月异的攻击手法，陈恭表示，新一代的API防卫工具也应运而生，专门针对API安全特性所设计，可主动归集API使用行为资料，运用人工智慧、机器学习技术，来发现未知的API路径（API endpoints），建立每支API使用行为模式，透过AI建模进行分析，来主动侦测异常的API使用。

他进一步提到，透过即时监控API，就能做到异常行为侦测、警示或暂停使用API。比如，当企业发现API流量发现异常，系统就能主动警示，甚至抢先阻断可能的黑客攻击，让黑客无所遁形。

不过，陈恭认为，即时监控并非长久之道，还是得朝向「预防胜于治疗」迈进，从API设计、开发、测试、上线，把安全的概念往前面带。他提到，应该是要API Security By Design，从一开始设计新的API时，把安全、隐私都摆进来。