对话Akamai马俊：金融行业如何在安全防御方面稳操胜券？

  “API在金融行业的应用正变得日益广泛，与此同时，它所带来的安全挑战也日益严峻。Akamai将进一步利用平台能力和数据能力，并在未来强化机器学习和AI在平台产品上的应用，为客户提供便捷和创新的API防护产品。”马俊说道。

  近年来，随着企业数字化、智能化转型升级进程的加快，网络安全问题变得复杂多变，网络攻击事件频发，攻击范围不断扩大。其中，金融行业作为经济体系中的重要组成部分，掌握着大量的财务信息和客户信息，成为网络攻击的主要目标。

  近日，比特网采访到Akamai资深解决方案技术经理马俊。在采访中，他详细阐述了金融行业当前所面临的网络安全挑战，深入解析了Akamai的安全防护策略，并对未来的安全趋势进行了探讨。

Akamai资深解决方案技术经理 马俊

  五大攻击趋势不容忽视

  近日，Akamai发布的新一期标题为《应对安全威胁狂潮：金融服务业的攻击趋势》的《互联网现状》(SOTI)报告呈现出5大趋势：

  第一，金融服务机构经历的第三层和第四层DDoS攻击事件的占比达34%。报告显示，金融服务占DDoS攻击的34%，其次是游戏(18%)和高科技(15%)，前三名行业共占据总量的七成，表明攻击事件日益聚焦于金融行业，已成为显著特征。相较之下，制造业、医疗、健康及商业贸易等行业虽然也遭受攻击，但占比相对较小。

  纵观全年，DDoS攻击数量与频率呈现剧烈波动，与全球经济体金融活动呈正相关趋势。例如，在2023年3、4月间，攻击量显著攀升，与北美地区，尤其是美国报税高峰期相吻合。同时，金融行业遭受的DDoS攻击数量与金融活动密集程度呈正相关关系。此外，在去年4月，Akamai还发现一与服务定位协议相关的漏洞被大规模利用，利用此漏洞可发动约2200倍的DDoS放大攻击。

  需要注意的是，虽然许多DDoS攻击通常会利用多种攻击方式，但在Akamai观察的2023年和2024年时间段内，针对金融行业的DDoS攻击中，单一向量的攻击却占据了主导地位。

  “究其原因，主要在于金融行业普遍采用众多综合检测安全技术方案与手段，”马俊表示，“这些方案对于综合多向量攻击具备一定的联动与相关性检测能力，从而能更迅速地识别此类攻击。然而，今年我们观察到，单一向量攻击因针对性利用特定漏洞，往往能以较小资源投入和较低执行难度发起大规模DDoS攻击。”

  第二，随着DDoS攻击的增加，API的使用量也随之上升。除了常见的网络层(即第三层和第四层)攻击外，分布式拒绝服务(DDoS)攻击的另一显著特征是针对HTTP Web的第七层攻击的大幅增加。

  据Akamai观察，应用层(第七层)DDoS攻击的数量正不断攀升，其中，API，尤其是那些未被发现和识别的隐蔽API，成为了主要的关注点。这些隐蔽API往往未被正式记录，也未得到充分的安全保护，原因在于安全团队对它们的存在一无所知，因而无法采取有效的控制措施来防范可能的数据窃取、身份验证绕过或其他破坏性活动。

  第三，流量的急剧增加，凸显了根据DDoS攻击的频率和流量大小来评估应对方案的必要性。马俊指出，少量的高强度、大带宽攻击所造成的损坏，往往超过数量众多但规模较小的攻击事件，因此，对于各行业而言，应完善并妥善评估所面临的“拒绝服务攻击”威胁，同时综合考量自身的防护能力。此外，利用黑客软件漏洞或勒索软件对金融机构进行的攻击同样不容忽视。

  第四，针对金融行业进行欺诈的可疑域名占整个欺诈域名总数的36%。在金融服务行业，品牌欺诈和冒用现象最为严重。具体而言，超过36%的钓鱼网站及假冒网站都来源于金融服务行业，这凸显了该行业在网络欺诈方面面临的巨大挑战，需要特别加强数字品牌保护。

  第五，在30%的访问页面中，存在钓鱼行为或访问伪造、假冒网站的情况。报告指出，在整个访问欺诈或假冒的网站比例中，金融服务仍然占据了约1/3的体量。根据假冒网站的域名属性，Akamai将其主要场景划分为钓鱼攻击、品牌冒充、钓鱼与品牌冒充兼有属性、虚假社交账号和恶意应用5个不同类别，并针对假冒网站和钓鱼网站难以统一指标衡量的网络安全问题，专门设计了“中位威胁评分模型”。

  据介绍，该模型通过对钓鱼事件和钓鱼网站的确信程度、钓鱼网站或事件的影响等级，以及发生的频率、影响用户的数量和范围三个不同维度进行综合考量，采用“中位风险分”这一单一指标，量化不同行业当前面临的互联网安全威胁严重程度。结果显示，公共网站领域的风险得分最高，金融行业紧随其后，得分高达85分。

  由此可见，面对日益严峻的网络威胁，金融机构需要采取全面、有效的措施来加强自身的安全防护能力，确保用户信息的安全和业务的稳定运行。

  有何应对之策？

  值得一提的是，Akamai作为一家在网络安全领域深耕多年的企业，自成立以来的26年里，始终专注于构建一张全球性的连接云网络，不仅为客户提供卓越的用户体验，还为企业提供了基于边缘的强大安全防护。借助这张覆盖全球超过130个国家和地区的广泛分布的网络，Akamai能够满足金融行业对于运维和服务安全的具体需求。

  据悉，该网络长期积累的数据，涵盖了僵尸网络爬虫数据，针对应用层、网络层、DDoS攻击流量清洗方面的数据，以及包含大量安全情报，如攻击来源、攻击设备特征等数据。在此基础上，Akamai构建了一个包括零信任安全、应用安全和基础设施安全三个维度的安全防护体系，以支持金融客户的需求。

  其中，在API防护方面，当前普遍使用的WAF(Web应用防火墙)方案存在难以解决的问题，如影子API、存在漏洞的API和API滥用。为了有效应对这些问题，Akamai通过创新的API深度防护能力，提出了一个完整的治理框架，旨在全面解决API防护中的难点，确保API的安全性和稳定性。具体来看：

  第一步：发现与监控。通过全面梳理流量，识别并盘点出未知的影子API，同时运用运行时的保护机制，有效发现和拦截有漏洞或滥用的API所带来的风险。

  第二步：汇总与报告。定期汇总安全态势，将所发现的影子API及运行时安全事件统一呈现给安全团队、管理者和企业高层，为他们提供全面的API风险视图。

  第三步：建议与改进。基于API风险为安全和相关团队提供建议，并引入修正工作流程，让安全左移，即与开发团队联动有效应对潜在风险。

  第四步，测试与验证。强调测试的重要性，将API安全的“安全验证”和“安全测试能力”落实到金融企业的API开发生命周期里，确保API发布前的安全性和稳定性。

  为帮助金融客户快速落地API管控措施，Akamai提供了Akamai原生连接器，能够迅速将API的管控措施融入到企业的实际运营中，实现有效地治理、控制及阻断，从而确保API的安全性和稳定性。

  在马俊看来，Akamai原生连接器是连接Akamai既有用户与创新的高级API安全方案之间的关键环节。这一新的集成能力直接内嵌于Akamai的连接云平台中，能够无缝地将云平台中的流量副本传输至Akamai的高级API引擎。“通过这一设计，客户仅需几次简单地点击，甚至无须进行任何实体部署，就能迅速实现高级API的检测与防护功能。”

  在零信任方面，传统零信任方案涉及多种工具，如身份认证、流量管控、链路限制等，每种工具都需要单独进行选择和部署，而且在实际运用过程中，还可能存在相互之间的耦合以及兼容性问题。不仅增加了运维工作的复杂性，还导致了方案实际落地时间的延长。

  “理想的零信任安全方案应是一站式的，即通过一个代理便能够完成应用和用户访问控制、网络流量访问控制，以及企业内部东西向和南北向网络控制。这正是Akamai Guardicore平台的创新之处，也是业界首个通过平台实现端到端零信任的解决方案。”马俊说。

  在爬虫和欺诈防护方面，Akamai推出了多个相关方案，旨在帮助企业解决欺诈和爬虫问题。如品牌保护方案，能够检测和破坏假冒网站及应用所带来的潜在风险;爬虫管理方案具备对高级且隐蔽性较强的爬虫进行复杂识别与有效管控的能力，从而助力企业更加从容地应对爬虫所带来的各类威胁。此外，针对互联网上的“撞库攻击”，Akamai推出了账号管理器/账户保护器方案，以防止用户账号被滥用。

  采访最后，马俊强调：“安全防护与攻击是猫鼠游戏的过程，安全防护的演进与攻击者的能力、工具和技术的增长密切相关。通过Akamai的平台能力和数据，能够观察到许多新出现的安全威胁和场景，因此可以针对性地制定安全策略，帮助客户有效利用Akamai的产品，解决实际问题。”

  写在最后：

  当今时代，数据已然成为企业不可或缺的核心资产。特别是在金融行业，数据的价值不仅关乎业务运营，更涉及客户的隐私权益和企业的声誉。因此，确保这些数据的安全与隐私，比以往任何时候都重要。

  在这一背景下，Akamai积极构建了一套完整且高效的安全防护体系，不仅融合了创新的技术手段，更融入了丰富的实战经验和深入的行业洞察，无疑为金融行业的稳健发展提供了坚实可靠的支撑。