金融3.0即將上路，API盤點六大機制保護安全

台灣「開放API平台」執行至今，金管會分三階段推動開放銀行（Open Banking），今年將邁入最重要的第三階段「交易面資訊」，有效安全的API盤點議題再度成為焦點。

根據F5 CTO Office的研究報告，未來幾年產生的API數量將呈現指數級的成長。到2030年，API數量將達到5億至超過15億個。API 將成為最常受到攻擊的企業Web應用服務，並且每年攻擊事件將大幅度成長，過去我們認為透過API身份驗證足以威懾攻擊者，但現今有越來越多的數據顯示，攻擊來自看似合法的用戶，但實際上卻是惡意地通過了合法的身份驗證。

當複雜的網路犯罪、自動化程式威脅不斷發展，公司的資料、網路、應用和API面臨更高的風險。企業現階段真正關切的是API的安全問題，其中漏洞位居榜首，緊隨其後的是身份驗證問題，更令人擔憂的是很多企業經歷過敏感資料或隱私事件外洩，此類事件會造成巨大的成本和與企業聲譽的損害。

API氾濫造成的重大威脅與挑戰

造成API氾濫與安全的挑戰分別是：

第一分散API端點的激增與複雜管理， F5 SOAS報告發現，85% 的企業在跨越多個公有雲、本地端和邊緣的分散式環境中部署應用和 API，擴大了攻擊面。

第二是被遺棄API隱藏的風險，過時與殭屍 API是目前企業最關心的問題且表示高度關注，由於API的生命週期與客戶的商業行為有著密切的關係，但卻有很多人為或外在因素導致API脫離企業安全政策的管控，例如：未依正常程序將API服務結束、開發人員不小心將測試 API 暴露到網路上、安全團隊未發現安全控制之外的API服務，這也是OWASP 將不當的庫存管理列為十大API 安全風險之一的關鍵。

第三是不易偵測的API攻擊，複雜的攻擊行為已經讓駭客「合法掩護非法」，駭客透過合法管道前潛入企業內部，伺機而動。

如何強化API防護

因此企業安全團隊要盤點API，需強化與關注以下防護機制與新模型:

1. 確保公有雲、傳統資料中心、微服務三個空間的API安全基礎架構:
   在多雲與微服務環境裡，安全團隊需了解基礎設施是否有足夠的能力可以支撐全面的API攻擊防禦。
    
2. 建構API學習識別模型:
   基於AI/ML建立API模型基線和追蹤 API 行為，針對每個API資源提供錯誤、峰值、延遲和請求率指標識別異常情況。
    
3. 識別API請求驗證和授權：
   來源身份驗證及存取內容是保護 API 和實施身份驗證的關鍵。足夠能力查看所有API端點的身份驗證狀態、詳細資訊和風險評分。
    
4. 發現PII敏感資訊檢測：
   偵測和標記透過 API 公開的PII敏感資訊，包括自訂敏感資料偵測（姓名、地址、電話號碼和身分證碼）並具有隱藏敏感資料的屏蔽功能。
    
5. 強化API盤整機制與管控：
   建立完整API資源盤點學習監控與發現機制，確保安全管控範圍之API資源，並主動發現脫離安全管控範圍之影子(Shadow) API與殭屍(Zombie) API資源。
    
6. 建立API攻擊防禦機制:
   基礎設施應具備應用程式防火牆(WAF)，當API內容包含惡意語法或服務器觸及CVE弱點時，應提供立即阻斷之能力。

資料來源：F5官網