作者 | 董兴荣 丁梅琴
来源 |《财资中国》杂志 2022年1月刊

在数字技术的驱动下,企业以应用程序接口(API,Application Programming Interface)为资源连接器,实现场景联通、数据贯通、能力互通,构建共生共赢的价值网络。API经济模式也为金融机构获得互联网业务能力、捕捉互联网用户需求、融入互联网生态提供了更为快速和灵活的途径。

与此同时,金融业面临的安全挑战也将更加复杂。根据2021年2月底Akamai的数据,在针对金融服务业发起的撞库攻击中,高达75%的攻击直接以API为目标。近日,《财资中国》对话Akamai大中华区解决方案顾问经理马俊,解码API生态系统面临的不同挑战和威胁,探讨如何守护跨境支付以及开放银行过程中的数据安全Treasury China:随着线上交易行为日渐高频化和多元化,API作用愈加明显,如何防范API风险?

马俊:Akamai观察到从2018年开始,API的流量和访问频率已占到互联网的绝大部分,超过80%的请求都与API相关。然而,API的安全防护却比传统互联网的应用防火墙防护更有难度。具体而言,近年来,众多金融机构持续加大在金融创新和开放银行领域的投入。作为金融业务的开放连接器,API已成为开放过程中的必备核心能力。API带来的应用程序式接口让支付行为与场景密切相关,相比过去而言有着本质差异,因此其安全防护与Web页面的行为识别和保护也完全不同。对此,Akamai发布了全新解决方案“App & API Protector”,通过建立三层防护,帮助金融机构应对API安全挑战。首先,若API被多个分布式的攻击者用小流量汇聚成大流量攻击支付网关或支付服务,“App & API Protector”可就近拦截攻击,实现第一层防护。其次,应用层的防火墙可以通过“自适应检测”和“自我修正”实现第二层防护。一方面,它可自动查找API请求并检查请求是否包含恶意代码,并在边缘执行基于API语法和语义定义的安全控制,以激活正向API安全模型;另一方面,它使用机器学习和数据挖掘技术,不断分析大量的攻击数据,并自动更新保护措施,以应对最新威胁。此外,“App & API Protector”内置爬虫监测和抵御功能,允许金融机构创建和定义爬虫安全策略,以主动监测分析和预防来自僵尸网络或自动化工具的攻击。在支付网关上,金融机构可以通过这种分层次的识别能力、自适应的检测能力以及动态的自我调节能力,不断优化和保护API。同时,在当前疫情新常态下,除了外部风险,金融机构也要注意内部的安全防范,做到端到端、全链路的安全防护。

Treasury China:后疫情时代,支付行业呈现出哪些新特征?如何利用技术提升跨境支付服务水平?

马俊:在后疫情时代,终端用户早已习惯线上购物,全球互联网对于流量的需求越来越大,安全威胁也随之增加,因此对企业的基础设施、服务体验、安全性的考验仍将持续(如图)。
【对话】Akamai大中华区解决方案顾问经理马俊:筑牢数字金融API安全之网-财资一家图 支付行业在数字化转型中的关注点 (TechValidate调研数据)
具体来看,第一,后疫情时代的支付行业、金融机构会更加注重交易过程中的用户体验;第二,企业会愈发关注针对金融交易新出现的安全风险;第三,远程办公为数据安全、端点安全、身份与访问管理、云服务连续性等带来新的安全挑战。对此,支付平台一方面需要提升系统响应速度和支付流畅度,改善交易过程中的用户体验;另一方面需要及时构建自身Web防护体系,保护终端用户的交易不受安全威胁。无论用户体验提升还是用户安全保障,支付平台均可通过创新解决方案,构建起强大的“护城河”。具体而言,在提升跨境支付服务水平方面,支付平台可从三方面进行技术创新。一是边缘计算受物联网技术的影响,跨境支付在端侧对隐私保护、安全传输和应用时延提出了更高要求。当前,仅仅依赖云端数据中心提供的计算能力显然不够。边缘计算的主要形式是无服务器计算,可帮助企业构建边缘侧的计算和存储能力,满足日益增长的用户体验需求。边缘计算还可减少企业在云端的资源需求,同时增强边缘侧的安全防护能力。二是区块链。区块链技术在跨境支付领域的应用愈发普及。该技术能使银行和银行间直接打造点对点的支付方式,省去第三方金融机构等中间环节,实现全天候支付、实时到账、提现简便以及避免隐形成本,有效降低跨境电商的资金交易风险及便捷性需求。三是人工智能与机器学习。目前,各家支付平台均重视风险防控领域的技术投入,正利用人工智能和大数据能力建立风控平台,并通过机器学习不断优化和演进自身防护逻辑和体系,满足反欺诈、反洗钱及维护账户安全、数据安全、交易安全等需求。

Treasury China:随着API的不断发展,如何看待国内和国外开放银行的发展?相比国外开放银行的发展,国内银行呈现出哪些差异?

马俊:近年来,新加坡、澳大利亚、日本等国的金融监管机构都推出了Open Bank和API Bank,我国企业在金融创新和开放银行领域的投入也不断加大。国外开放银行主要由监管政策所驱动,而国内开放银行发展属于市场驱动型。尽管两种模式有所差异,但在数据安全和开放平台方面却有着共同诉求。一方面,重视平台数据安全。API技术使得数据、服务的调用更加方便,前端界面与后端服务器的数据交互更加便捷。但是,开放银行在提升金融服务效能的同时,也使得数据安全等风险的敞口更多。为此,国外大多通过建立行业标准、行为模式等强制性手段来实现对开放银行的监管。我国对于开放银行的发展,监管机构也日渐重视。例如,2020年2月,中国人民银行发布了《商业银行应用程序接口安全管理规范》。另一方面,关注平台的稳定性与健壮性。开放API之后,企业并不会限制调用合作机构或终端用户使用API,所以这种情况会产生突发流量。例如,双十一会造成很多用户在同一时间使用开放的API接口,所以对平台的稳定性、可靠性就提出了更高要求。金融机构需要部署强健的平台,去应对突发的大流量,从而保证用户的业务连续性。

Treasury China:随着数字支付的快速发展,以及各类技术的应用深化,如何看待技术与隐私的关系?

马俊:据最新统计,2021年中国数字支付产业占全球的46%。技术应服务于大众或企业的业务发展,让每个人更好、更安全地使用互联网。这就意味着技术必然要用于保证用户的数据安全。当前,不同国家和地区对隐私保护的要求不尽相同,跨境支付企业只有不断学习和迭代技术,才能保证自己的平台能够符合各个国家和地区的法律法规以及数据合规性要求。针对各种风险以及不同国家的监管要求,Akamai建议支付平台从以下三方面着手。第一,信息安全工作一定要获得业务主管、公司高层,甚至是董事会的关注,要将信息安全纳入金融风险管理体系内通盘考虑。第二,关注最新的威胁、安全事件与业内最佳实践,运用创新的技术手段解决新的问题。第三,采取积极的预防性安全策略,在金融产品设计过程中,就应该将信息安全作为考量点。