金融服务公司现在需要更好的API安全的4个原因

全球 API 生态系统正在蓬勃发展。作为当今数字服务的推动力，组织正在构建比以往更多的 API，而且它们构建的速度比过去快得多，变化的频率也比过去高得多。

超过四分之三的软件开发人员表示，参与 API 经济是或将成为其组织的首要业务重点。然而，在金融服务领域，这一数字甚至更高，超过 80%——高于所有其他行业。没有哪个行业的 API 交付速度能像金融服务领域那样快。利用 API，金融服务组织可以进行创新并快速将独特的客户体验和服务推向市场。

然而，API 的快速增长也扩大了攻击面并带来了新的安全风险。金融机构一直是攻击者的首要目标，因为成功的攻击利润丰厚，因此将安全风险降至最低一直是重中之重。在当今数字化金融服务领域，风险从未如此之大——以下四个现实推动了对更好的 API 安全性的迫切需求：

• 金融服务中的 API 使用量正在增加
• API 攻击威胁关键金融服务举措
• API 安全事件损害消费者信任
• 传统安全解决方案无法保护 API

API 的使用量将进一步增加

在金融服务领域，API 的高增长轨迹将继续上升。随着每个用例和新服务的出现，典型金融服务公司的 API 数量将不断增加。

API 提供所需的数据连接，以支持当今的移动金融应用程序和点对点支付系统。API 是开放银行业务的核心。API 使金融服务公司能够标准化其连接和交换数据的方式，从而允许消费者的财务信息在组织和第三方服务提供商之间即时共享。随着不同的合作伙伴和技术供应商的加入，API 连接正在不断添加到金融生态系统中。

此外，开放银行的增长才刚刚开始。根据 Simon Torrance 和贝恩资本的数据，到 2030 年，开放银行推动的新型嵌入式金融市场将达到 3.6 万亿美元的市场份额，而这一数字仅占美国市场。Simon Torrance 和贝恩资本的报告还补充道：

“从这个角度来看，嵌入式融资可能创造的业务价值将超过美国前 30 家金融机构在疫情之前的总价值。”

对于金融服务而言，这意味着需要更多的 API 和不断增长的攻击面，必须得到充分保护。

API 攻击威胁关键业务计划

开放银行为消费者提供了更多选择和便利，以满足他们的金融需求。同样重要的是，它增加了整个金融服务行业的竞争并创造了新的收入渠道。开放银行还为更多传统金融机构提供了与发展更快的金融科技公司竞争的机会。

新冠疫情加速了多个行业的数字化转型。在金融服务领域，它加速了移动和远程银行业务的采用；消费者希望获得综合服务，并能够随时随地连接他们的财务生活。这就要求银行和其他金融公司推出新功能，否则可能会过时并失去客户，从而失去收入。

数字化已成为一项关键的业务举措，在金融服务中也越来越重要。然而，如果无法保护这些服务中使用的数据，金融机构将完全失去这一机会。要利用这些业务机会的价值，就必须保护这些 API。

仅一次 API 攻击就有可能抹去组织数字化转型所取得的所有成果。

API 安全事件损害消费者信任

您是否曾与某家公司发生过纠纷并发誓再也不和他们做生意？您是否曾因糟糕的客户服务而更换供应商？一旦失去信任，就很难再恢复。

在金融服务领域，成本可能很高。Salt Security 的研究部门 Salt Labs 提供持续的 API 漏洞研究。在其最新报告中，Salt Labs 发现了一个大型金融科技平台上的服务器端请求伪造 (SSRF) 漏洞，该平台为数百家银行和数百万客户提供广泛的数字银行服务。

该漏洞可能会危及客户银行提供的每个用户帐户和交易数据。想象一下，客户的银行详细信息和金融交易以及用户的个人数据被泄露，或者更糟的是，未经授权的资金被转入攻击者的银行账户。

这些噩梦都没有发生，因为 Salt Labs 在恶意攻击者之前发现了问题，并且所有问题都得到了补救。但是，如果发生这种类型的漏洞，可能会造成无法挽回的声誉损害——更不用说财务损失、盗窃和欺诈了。

金融服务应用程序的本质是交换敏感的财务和客户数据，这使得 API 成为需要保护的高风险资产。

传统解决方案无法提供足够的 API 保护

大多数金融服务公司都拥有复杂的运行时安全堆栈，其中包含多层安全工具，例如机器人缓解、WAF 和 API 网关。这些传统工具为传统应用程序提供了基础安全功能和保护；但它们缺乏识别和阻止针对每个 API 独特逻辑的攻击所需的上下文。

对于传统工具（例如 WAF、API 网关和其他基于代理的解决方案）而言，攻击者活动看起来就像正常的 API 流量。该架构限制它们一次只能检查一个事务，并且不受速率限制。它们还依赖签名来检测众所周知的攻击模式。如果事务与已知攻击签名不匹配，WAF 将发送该事务。由于每个 API 都是独一无二的，具有独特的漏洞，因此签名无法帮助防止 API 攻击。

API 安全需要大数据来捕获所有 API 流量，以及人工智能 (AI) 和机器学习 (ML) 来持续分析大量 API 流量。如果不持续分析 API 流量，您就无法了解每个唯一 API 的正常行为，也无法获得确定攻击者所需的上下文。

此外，虽然开放银行定义了 API 的构建标准，以实现可预测的集成和通信，但开放银行并未提供满足大多数 API 安全要求的标准。此外，身份验证、授权和加密等基本控制措施不足以应对 API 安全挑战。

API 安全必须成为金融服务的重中之重

API 的使用正在增加。在金融服务领域，API 已成为满足不断变化的消费者期望和保持竞争力的必不可少的手段。与此同时，API 现在是最常见的攻击媒介。在过去 12 个月中，95% 的组织经历了 API 安全事件，API 攻击流量增长了 681% — 是整体 API 使用流量增长速度的两倍多。

财务数据泄露会使企业面临合规和监管罚款以及收入损失，并对组织的品牌造成无法弥补的损害。在竞争激烈的金融服务市场中，声誉至关重要。

金融服务机构必须将 API 安全放在首位，以保护这一不断增长的攻击面。要做到这一点，需要为整个 API 生命周期提供专用的 API 安全工具，以提供持续的攻击面可见性、早期攻击预防和自动化洞察，以持续改进 API。

原文链接：https://salt.security/blog/4-reasons-why-financial-services-companies-need-better-api-security-now