文 / 中国光大银行金融科技部 牟健君 李烨琦 刘馥源
应用程序编程接口(API)在现阶段金融业务开发中占据着重要地位。API与云技术相结合,推动了应用程序、容器、微服务之间的数据和信息交换,改变了传统的Web应用的工作方式,催生了大量数字商业模式,其对于数字经济的作用可谓十分重大。
随着金融科技的不断发展、内外部环境的不断变化,以客户端、单体架构形式的Web应用形态逐步轻量化、灵活化和原子化,可以说API是现阶段商业银行打开封闭体系,探索金融服务模式的主要方式。但在API技术蓬勃发展的同时,也引入了新的安全风险,伴随而来的是API成为了新型常见的攻击媒介,存在后台入侵、数据泄露、越权操作等大量新型安全风险,影响金融科技开放生态安全稳定。
为此,中国光大银行在API安全管理体系、API安全资产运营、API安全行为监控、API主动风险发现等领域持续研究,深耕细作,通过四重举措并举建设API安全防护体系,助力业务安全稳定发展。
API安全风险分析
1.面临攻击类型广
在传统的应用安全攻防中,攻击者较为依赖端口扫描、应用漏洞挖掘等“无差别”突破手段,但API作为开放式应用程序,面临针对性、应用程序级的攻击将会大大增加。
OWASP在2023年最新的“API Security Top10”中总结了多种API领域面临的新型安全风险,其中“资源消耗无限制”“对象属性级别授权失效”“功能级别授权失效”“缺少对自动化威胁的防护”“不安全的三方API”等风险均与传统的安全风险不同,很容易导致后台权限被恶意获取、发生用户数据泄露等风险。API作为业务与应用的有机结合,同样面临传统的Web安全漏洞,这也导致API面临的攻击面进一步增加,风险加大。
2.资产管控覆盖难
API使用范围广、涉及场景多、开发频次高,访问入口纷繁复杂,导致业务边界多样化程度大大增加,涉及传统Web应用、小程序、公众号、App及第三方平台等大量边界,暴露面持续走高。这也导致很多商业银行对已上线的存量API未能进行资产全生命周期管理,间接导致了部分API资产未得到有效防护,存在部分游离在管理体系之外或无人使用的陈旧API,一旦发生信息泄露、被非法攻击等安全事件,难以及时对受影响的API进行定位,导致错过最佳响应时间。
3.攻击行为监控难
在甄别API调用合规与否,访问是否正常业务行为时,非法攻击与正常业务的差异微乎其微,在此背景下靠传统的安全设备在边界防护、流量安全等方面难以全面覆盖。同时,与传统Web系统可以通过自身结构,对统一入口进行管控的模式不同,API多以独立个体的方式独立存在,导致企业对API调用行为越来越难以进行监控,对于异常调用访问、非法数据下载等行为不能及时发现,往往贻误了应急处置的最佳时机。
4.自动攻击成长快
近两年来,人工智能技术蓬勃发展,方兴未艾,随着人工智能技术为人们生活带来越来越多便利的同时,也为自动化攻击技术提供了更多可能。2023年上半年,更是出现了可用于勒索和网络诈骗的高级自动化GPT工具,具备特征隐藏、人机交互、验证码识别等高级对抗功能的自动化工具层出不穷,大大降低了犯罪分子、非法攻击者的技术门槛。不同类型的API功能,面临自动化攻击的程度也有所不同,其中公开数据查询、业务优惠、自动登录等领域,极易被批量自动化攻击。在此背景下,自动化攻击技术的不断发展也使得API安全防护面临新的挑战。
API防护体系构建思考
针对以上问题,光大银行通过四重举措并举,一是落地API安全标准,明确管理要求;二是建立API资产运营,不打无准备之仗;三是积极建设API异常行为监测机制,在API全生命周期内持续开展安全防护工作;四是查缺补漏,主动对“僵尸”API、低活动API进行风险发现,防微杜渐,全面提升API安全防护水平(如图所示)。
图 API安全防护体系
1.标准先行,建立API安全管理体系
“无规矩不成方圆”,制度标准作为理论基础为API的安全运营提供了指导和方法论。
一是为规范化API应用安全开发和部署,商业银行首先应从顶层明确API管理的重要性,金融科技管理部分、开发部门、业务运营部门等应明确分工、压实责任。
二是在明确责任的基础上应进一步制定金融级的API安全技术规范,对双向客户端认证、可信访问、元数据授权、发送授权请求、安全响应模式、加密机制等安全要点进行统一要求。
三是技术上为避免人为导致的API滥用,光大银行建设了统一金融开放平台将各类API集中注册、部署和输出。该平台通过安全网关内嵌API安全技术规范中的各项安全要求,避免因开发人员安全开发能力不足导致的API技术漏洞,从源头保证API安全。
2.摸清家底,开展API安全资产运营
摸清家底,明确API资产范围是API安全运营的必然要求。光大银行安全运营态势感知平台协同各方安全人员开展日常安全运营工作,在平台中建设API安全资产中心,通过内外部技术手段收集、明确API资产,为安全工作筑牢地基。
一是通过技术要求,业务研发部门在上线API前需要接入统一金融开放平台进行注册,通过主动同步统一金融开放平台资产信息,内部收集已注册的API资产。
二是在已有API资产的基础上,基于旁路部署于互联网区域的各类流量采集设备,识别API行为,通过流量采集与已注册的API资产进行比对,校准注册API,进一步丰富API资产。
三是通过自研探查工具在互联网侧自动扫描存活API,避免漏网之鱼。设置专人专岗针对API资产进行全生命周期安全运营,确保处置事件时可准确定位API,同时防止僵尸API长期暴露。
3.防微杜渐,开展API异常行为监测
在明确管理要求、建设API资产信息库之后,则要针对现有API行为进行常态化监控,及时发现异常行为、识别非法调用、恶意攻击等风险场景。
一是API异常行为发现。通过收集各API日常访问行为日志,通过机器学习算法绘制API行为基线,对运行情况进行持续监测,及时发现与基线偏离的高频调用、非认证调用等异常行为,并产生安全告警。
二是数据泄露识别。通过正则匹配、关键字等方式匹配识别各种场景中由内对外的敏感数据泄露风险,结合DLP数据防泄漏系统的防护经验与能力,针对高危敏感数据泄露风险场景进行安全告警。
三是依托光大银行自有的7×24小时安全团队,将API相关安全告警纳入日常安全运行防护体系,针对高危安全事件及时升级、快速汇报、即刻处置,避免产生安全、业务影响。
4.查缺补漏,开展API潜在风险探查
为避免“僵尸”API、低活动API难以被资产平台收录、被流量设备监控,从而处于风险未知状态,需要主动推动API潜在风险探查,通过主动扫描的方式与被动识别手段互为补充,并与“安全左移”相结合,让风险暴露于API开发测试阶段,从而实现未雨绸缪,提前收敛攻击面。
一是掌握API检测核心技术,通过“白盒”与“黑盒”相结合。首先,通过扫描主动获取网站前端代码,针对JS、HTML等代码进行智能分析,自动提取API接口信息。其次,通过智能渲染技术,模拟人工主动填写业务数据,解析关联页面响应内容,构造API请求参数,主动跟进业务功能。再次,通过参数构建、响应分析、跳转追踪等技术,结合传统安全风险发现手段对API路径进行模糊测试,及时发现安全风险。最后,参考API合规行为基线,通过参数明文传输、响应内容传输、请求协议及频率限制等合规检测,针对性发现安全缺陷。
二是安全部门应与开发、测试部门相协同,在API开发、测试阶段针对敏感路径、敏感文件、敏感信息进行自动化模糊测试,识别未鉴权API、数据过度暴露、OWASP常见安全风险等,变被动发现为主动发现。
总 结
综上所述,API作为新时代重要的安全风险面,需要商业银行各部门通力协作。光大银行通过落地统一API开放平台、API安全开发标准、持续API安全资产运营、异常行为监测、主动风险发现等手段,持续提升API安全防护能力,实现API资产、行为、数据流转可视化,使API异常行为可识别、可管控,API风险可发现、可处置,全面助力API生态环境安全稳定,促进业务开放转型和持续发展。
(此文刊发于《金融电子化》2024年11月下半月刊)
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
