[轉載] 【臺灣資安大會直擊】政大金融科技研究中心副主任陳恭：API有3大資安風險2大挑戰，靠AI即時偵測異常是新對策

政大金融科技研究中心副主任陳恭。

政大金融科技研究中心副主任陳恭在臺灣資安大會的金融安全論壇專場，分析企業API安全面臨的風險與挑戰，以及該如何以新形態API防衛工具來應對，讓企業的API可以更安全。

首先，陳恭提到，Web API是現今各產業的企業資訊系統發展的重要方向，而RESTful APIs加上JSON，這種較為輕量級的API，則已成為主流，所以，這次的分享也聚焦在此主題。

API的價值有許多面向，他指出，包括企業內部應用系統再造與整合，以及企業與外部通路夥伴的串接，都是透過API。而有了API以後，企業還可發展更多創新產品與服務。甚至，企業在發展平臺經濟、API經濟或生態系等，其實底層也得靠API。或像是金融業近年開始興起的開放銀行、開放金融，也是基於Open API。

然而，陳恭指出，隨著API的廣泛應用，資安議題也陸續浮現。而API安全基本上有兩大作法，一是API威脅防護；二是API存取控制，他強調，所有API與應用系統還是要進行基本的認證、授權、分級管理、流量監控等。他強調，「從安全角度，不管是企業內部的API、Partner API 、Open API都要進行防護，誰都不能信任。」

而在基本的API防護配備上，他提到，企業應該都有採購網站應用程式防火牆（Web Application Firewall，WAF）作為應用層的管理。甚至，包括金融機構、科技產業也開始導入API管理平臺（APIM），將企業內部所有API的發布、權限控管、流量、統計分析，通通集中到APIM管控。

然而，陳恭提醒，企業做的這些API資安防護，可能還不足夠。因為，企業可能會面對更加恐怖的威脅。根據Gartner前陣子發布Web API的安全報告顯示，到了2022年，API濫用將成為導致企業Web應用程式數據洩露的最常見攻擊媒介。企業內部遇到的，可能不是只有傳統的攻擊手法，駭客可能登堂入室，以合法方式進入企業，潛藏在企業的系統，到處尋找API漏洞來進行攻擊。

企業要盤點API，依照其特殊性採用新防護工具

因此，陳恭強調：「企業得依照API的特殊性，來採用新的防護工具。」他更以先前台新金控資訊長孫一仕提出的金融資安風險3大挑戰，包括不可管、不可控、不可見的風險，來解釋企業應注意的重點。

不可管的意思是，無法管駭客的攻擊，像是社交工程、釣魚郵件。不可控的風險則來自系統並非企業自行開發，所以只要系統廠商有需要修補的補丁出現時，企業得及時把資安漏洞補上。不可見則指看不到的風險，這類資安風險是最難被發覺。

根據42Crunch在2019年的調查，平均每家企業平均提供了400支以上的API。不過，陳恭提到，企業的資訊與資安相關部門，是否盤點過自家的API有多少？他坦言，如果企業不知道自家有幾支API，遑論保護API，這就是所謂的不可見風險。

陳恭建議，可將不同項目的API進行盤點，建立一份目錄，定義每支API的傳輸規格、資料格式、權限控管、維運監控、資料敏感度、風險等級、OSS補丁需求。不過，他也提醒，盤點工程會非常耗費時日，而且很難做得完整。因為，企業資訊架構系統有疊床架屋式的資訊系統問題，畢竟，羅馬不是一天造成的。

此外，企業面臨數位轉型的挑戰，在應用系統現代化的過程中，也很難一步到位，甚至可能導致多種技術世代並存，管理起來非常複雜。而在過程中，難免有很多API是沒有注意到的。

API安全有2大挑戰：不可見的風險、難以偵測的攻擊

陳恭進一步指出，API安全有2大挑戰。一是不可見的API，企業壓根兒忘記這些API的存在，可能是鮮少使用或是已廢棄不用的API，就躺在黑暗的角落。他提到，「這些API都是駭客的最愛。」又或者是以前員工寫的API，但後續負責維運的人，並不了解API在安全上有何漏洞。Gartner也曾指出，企業得先找到這些有風險的API，否則讓駭客先找到的話，企業就危險了。

而這些不可見的API，陳恭表示，可能存在企業中，不同技術世代開發的系統、既有Legacy系統的介接繁雜、外部夥伴與內部自用的API，以及該淘汰但未淘汰的各式舊系統。「內部API往往成為資安盲點」他舉例，2019年澳洲最大房地產估價公司LandMark White發生API漏洞，本來只供內部使用的API，卻可以從公司網域外調用，導致大量內部資料與客戶資料外洩，該公司CEO更為此辭職。

陳恭提到，API安全的第二大挑戰，跟不可管的風險有關，那就是企業不容易偵測到的攻擊。他解釋，很多時候駭客是從合法管道進來，在企業內部伺機而動，然而這些攻擊沒有經過特殊處理方式的話，其實難以察覺，甚至是過了很久以後企業才發現。而且，不只一般產業，即便是科技大廠也不能免於攻擊。

陳恭強調：「API安全的關鍵點，在於API本身的安全。」他提到，現在的駭客是直接跳過App等用戶端介面，直接鎖定企業API，嘗試各種攻擊，API成了企業的弱點。好比美國郵政署網站發生API漏洞，讓駭客得以用合法帳號進入，冒用他人帳號，竊取他人資料，恐使6,000萬用戶資料外洩。因此，「企業需要直接在API層建立防護。」

陳恭表示，目前，國際間慣用的作法是採取OAuth 2.0委任存取管理方式，讓TSP來存取客戶資料。不管，他強調，委任存取管理流程複雜，涉及第三方業者、銀行、消費者，有可能在委任存取過程中發生攻擊，產生移花接木的狀況。比如說，駭客預先取得一個授權碼（Auth code），在使用者登入TSP業者的網站服務時，以釣魚方式讓使用者代為登入，讓使用者代替駭客取得存取金鑰（Access Token），接著駭客再以這存取金鑰冒充使用者操作，來取得使用者的資料乃至存款。

在此情境下，使用者與駭客都是合法使用者，只是駭客是拿取他人的資料來操作，所以，企業並不容易偵測出來。陳恭認為，這牽涉到不可管的API，來自用戶端的疏忽，包括社交工程、ATP等攻擊手法，其實防不慎防，企業在管理自家的API要自求多福。

新形態API防衛工具出現，利用AI技術主動偵測異常API

面對日新月異的攻擊手法，陳恭表示，新一代的API防衛工具也應運而生，專門針對API安全特性所設計，可主動蒐集API使用行為資料，運用人工智慧、機器學習技術，來發現未知的API路徑（API endpoints），建立每支API使用行為模式，透過AI建模進行分析，來主動偵測異常的API使用。

他進一步提到，透過即時監控API，就能做到異常行為偵測、警示或暫停使用API。比如，當企業發現API流量發現異常，系統就能主動警示，甚至搶先阻斷可能的駭客攻擊，讓駭客無所遁形。

不過，陳恭認為，即時監控並非長久之道，還是得朝向「預防勝於治療」邁進，從API設計、開發、測試、上線，把安全的概念往前面帶。他提到，應該是要API Security By Design，從一開始設計新的API時，把安全、隱私都擺進來。文⊙李靜宜