開放銀行第三階段已於年初正式上路,由於開放項目涉及客戶資金移轉,個資保護尤為重要,因此金管會特別針對金融業者提出 API 安全稽核規範,以防範資安事件發生。
API 是串接各種應用程式的關鍵,更是推動企業數位化的重要一環。Imperva 日前所發布的《The State of API Security in 2024》報告指出,API 呼叫佔所有網路流量的 71%,企業平均每年接受 15 億次 API 呼叫,顯見 API 在網路世界中的廣泛應用。
API 設計不良將為企業帶來三大阻礙
1. 擴充性有限:開發人員在設計 API 時,若沒有充分考慮到後續的擴充需求,API 將難以處理因使用者數量增加而產生的負載,導致回應速度變慢、停機等狀況發生。
2. 成本增加:不良的 API 設計也可能導致操作成本增加。例如,維護、管理已停用或是過時的 API 可能耗費大量且不必要的時間及資源。
3. 安全風險增加:開發者通常專注於 API 的功能設計,但過程中可能不小心產生漏洞。例如,開發人員未對 API 所接收的字串做長度驗證,使攻擊者有機會傳入超過緩衝區長度的字串,進而取得非法存取權限或執行未授權的操作。
企業的 API 安全挑戰
API 安全已成為企業風險控管的新挑戰,許多 API 在導入使用前若沒有經過適當審核,金融和電子商務領域便將成為駭客攻擊的首要目標。每個 API 都潛藏著成為駭客攻擊目標的風險,進一步導致憑證濫用、DDoS、資料竊取、安全配置錯誤等攻擊發生。2023 年有近一半的攻擊是針對 API 端點,這些攻擊對組織造成重大損失,包括機敏資料外洩、收入損失和合規風險增加。
為因應 API 的安全挑戰,企業需要更有效地管理、保護其 API 端點。Imperva 指出,影子 API、已停用和未經驗證的 API 是主要安全風險來源。這些 API 端點可能存在於系統中,但未受到適當的監控和管理,因而成為駭客的攻擊目標。定期審查、持續監控和更新 API 端點是降低、防範這些安全風險的有效方法。
如何確保 API 安全
為協助企業提升 API 安全性,Imperva 提供了五大建議,有助於企業應對不斷變化的 API 安全威脅:
1. 優先考量 API 設計:開發人員在設計 API 時,應妥善考慮可擴充性、安全性和後續長期維護,包含業務的潛在成長、API 可處理的資料類型,以及如何應用至其他APP或服務。一個設計良好的 API 可以減少未來成本,降低安全風險,並順利協助企業成功進行數位轉型。
2. 遵循 API 設計原則:雖然 API 設計可能沒有嚴格的標準,但仍應遵循最佳實踐(Best Practice)指引,包含對 Web API 使用 RESTful 原則、使用一致的命名慣例,以及使用像 OpenAPI 或 RAML 的 API 建模語言。同樣的,遵循 OpenAPI Specification 也能為規劃、設計、構建、測試和文件化 API 提供框架。實施這些最佳實踐可確保 API 易於使用和理解,從而降低設計錯誤的可能性,提升 API 的整體品質。
3. 了解並應對安全風險:在 API 設計中,「安全」絕不應在事後才納入考量,應確保 API 設計能應對各種潛在的安全威脅,無論是緩衝區溢位(buffer overflow)攻擊,或是 SQL 注入攻擊。因應措施包含驗證和刪除(sanitize)輸入資料、實施速率限制(rate limiting)以防止 DoS 攻擊,並使用 HTTPS 等安全協議。開發者也應採用 API 安全工具,以監控、最小化安全事件風險,同時保護 API 免於各種自動化和零時差攻擊(zero-day attack),即使是良好的 API 設計也無法避免這類攻擊。
4. 定期審視、更新 API:定期審視和更新有助於在 API 設計問題演變成重大事件前就進行辨識和修復,其中包括定期測試 API 的效能和安全漏洞,以及從用戶端蒐集而來的回饋,以找出潛在的改善之處。如果發現設計上的問題,不要抗拒重建新版本的 API,並確保遵循正確的 API 版本控制策略,儘管可能要花費額外的作業時間,卻可以確保 API 能持續滿足業務和用戶端的需求。
5. API 的演進規劃:API 並非一成不變,而是需要隨著業務目標和客戶需求而演進。因此,從一開始就必須為未來的改變提前規劃,包含在不影響既有功能的狀態下添加新功能的設計方式,以及舊版本的淘汰規劃。當新版本的 API 發布時,應確保向所有用戶發送更新通知,提供清楚的移轉路徑並在合理的時間內維持對舊版本的支援。同時,確立明確的淘汰政策並提前通知用戶所有 API 相關變更。
管理和保護 API 是一項長久且持續的責任。 隨著新技術、新標準和最佳實踐的出現,開發人員必須保持警覺。解決過去 API 的開發問題需要改變思維。雖然 API 的快速成長帶來了重大挑戰,尤其是在設計和長期管理上,但透過詳細規劃、了解安全風險以及採用前瞻性的 API 設計方法,可以成功因應這些挑戰,確保 API 的可擴充性、安全性,並支援企業未來的成長和發展。
Imperva API Security 支援傳統、混合及雲端原生環境,協助用戶發現所有 API 端點,並在 Gartner Peer Insights 中獲得最多客戶評選為最佳 API 防護工具。
