光大银行牟健君:金融API的安全问题和应对技术
移动支付网2020/11/6 9:09:09

11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。光大银行安全管理处处长牟健君以《构建API安全体系护航银行数字生态》为题进行了分享。

开放生态下的API及其安全问题

目前,许多应用、服务都已经线上化,银行则经历了“网点模式—App模式—API模式”的演进历程。现在,App已经进入了人们的生活,而App背后可能就是API。API使行业变成你中有我,我中有你,从而实现了开放,而开放离不开生态。API就是开放与生态技术的连接点,API模式与场景和生态的链接更加紧密。

与SDK相比,API最大的特点就是灵活性很强,可定制性更强。通过API定制,可以方便敏捷地部署各种应用。比如,用户可以在银行App一键呼叫不同平台的出租车、可以买咖啡。

但是,API开放也会带来问题。比如通过API开放后,共同服务用户的同时,数据共享是否会带来安全隐患?再者,开放生态里,不同的服务提供者安全水平是否一致。

牟健君认为,API安全方面,具有10大问题。

API安全具有两个突出的问题,分别是逻辑安全问题、技术安全问题。比如,调用API购买商品,会生成订单号,通过API,订单号、支付金额可能被篡改,这些就是逻辑安全问题;过渡依赖SSL通信则是技术安全问题。

总的来看,目前API安全形势严峻。2018年11月,国外研究人员发现美国邮政服务API漏洞可能导致超过6000万用户个人信息被窃取;2019年12月,Twitter公司发现大量虚假账户非法调用提供电话号码搜索用户功能的API接口;2020年3月,新浪微博因用户查询接口被恶意调用导致App数据泄露。

API安全规范及相关技术

针对安全问题,国标委、金标委分别提出了不同的国家标准和行业标准,促进了金融银行安全隐私保护和接口技术快速发展。但是,对于金融行业的API应用来说,《商业银行应用程序接口安全管理规范》(下称“规范”)更值得一提。

规范从安全设计、安全部署、安全集成、安全运维、安全下线流程、安全管理的角度提出全流程的安全管理。对于API来说,监测至关重要。可以把API看成一个安全保护对象,需要对API各种行为进行持续检测,包括API交易对象、API数据、API认证、API滥用都要进行监测。

要对API进行安全监测,在技术实现上,包括API智能识别、API安全动态防御、数据脱敏验证、API统一网关管理、API蜜接口、API安全态势监控。

如果把API当作安全资产,就要对API进行详细的资产登记。安全资产有很多独特属性,使用,要对API进行分类:API服务方是谁、API的监控手段是什么,进行识别资产属性。

通常,API资产识别有两类。一类是在被加密处,将API清点出来,通过数据还原监控API上的资产,通过大数据分析技术对这些资产变化和流动进行监控;另外一种技术用在WEB端。资产识别往往是整个API管理的起点。

目前,新型动态访问技术可以对于API进行混淆,可能导致无法识别API,避免API直接受到攻击,这是API动态访问技术。

此外,数据脱敏也很重要。对于数据脱敏,要注意是不是仅仅前台隐藏数据,只是看上去脱敏。API要非常关注数据安全,因此,验证数据是否真实脱敏极为重要。

App网关统一管理基于OPENLD CONNECT进行身份认证。App网关技术也是API现在发展的一个产物,一定程度上能够将一些技术集中在一个平台,在这个阶段API网关可以集中控制API交易风险,而且也可以解决API协议过于复杂、协议转换的问题。

对于API攻击,可以使用API蜜接口,对其持续监控,引诱捕捉恶意攻击。

最后,可以通过态势监控要发现API潜在隐患,对API全链条进行监控。

思考与建议

对于未来的API安全发展,牟健君认为,需要关注以下几点:

1、搭建基于全链条API纵深防御;

2、API安全与零信任安全架构深入结合;

3、API安全与业务规则和AI风控相结合,才能够真正探讨安全;

4、API数据安全与联邦学习、匿名化算法技术相结合。

最后,牟健君指出,API安全要做好必须做到三个全面:

1、全链条纵深防御;

2、全生命周期管理;

3、全生态共同协作。


展开全文
相关阅读
资讯查询取消