誘人商機?駭人攻擊?企業如何安全擁抱API經濟?

隨著金管會訊推動的 Open Banking 即將進入第二階段,不同企業透過 API 串連組合出新商品情境、新數位服務即將進入戰國時代,此意味著新的 API 經濟商業模式已經到來。

隨著金管會訊推動的 Open Banking 即將進入第二階段,不同企業透過 API 串連組合出新商品情境、新數位服務即將進入戰國時代,此意味著新的 API 經濟商業模式已經到來。

根據全球知名產業調查研究機構 Gartner 的預估,財星(Fortune)前一千大企業中將有超過 75% 的公司會運用 API 來開創新業務或推動數位轉型,美國電信業巨頭 AT&T 更已經透過 API 服務創造 45 億台幣的營收,展望 2020 年 Gartner 推測全球將有 30 萬種以上的 API,且每天能帶來 800 億台幣以上的營收。

API 數位經濟模式亦能載舟也能覆舟,既可能帶來無限商機也可能帶來莫大威脅,根據 Gartner 的預測,在 2022 年 API 攻擊將會成為企業機敏資訊洩漏的最主要攻擊方式。也由於 API 潛藏安全隱憂,全球知名網路資安社群 OWASP 也在原有的網路資安調查外,於去(2019)年首度針對 API 資安漏洞發佈調查,呼籲各界需格外加強關注 API 風險。

F5 台灣區總經理張紘綱表示,企業發展數位商業模式、促成異業合作,乃至推動轉型等都需要借力 API,但在運用之前企業對 API 必須有一套清晰策略。

建立 API 事業的清晰策略

企業發展數位商業模式、促成異業合作,乃至推動轉型等都需要借力 API,但在運用之前企業對 API 必須有一套清晰策略。F5 台灣區總經理張紘綱開宗明義表示。API 需要開發、介接、防護、管理,特別是建立防護才能避免風險,而 API 防護的首要之務即是擁有完整的可視性(visibility,透析式的有價數據)。

如果不能盤點與掌握自身已擁有哪些 API?API 是閒置中或被運用?是內部運用或外部運用或兩者皆有?那就無從建立防護,能見度必然是防護的第一步,必須超前佈署。

確保資安後,在安全基礎下企業方能進一步發展 API 商業,F5 公眾事業部業務總監賴尚賢觀察所服務的客戶群,在發展 API 新數位商業模式時,可以歸納為七個角度切入,包含擴大接觸行動裝置存取者、豐富銷售通路、擴展市場份額、商業模式創新、締結新夥伴關係、智財數據加值、社群品牌經營等。賴尚賢進一步舉實例指出,金管會提出的 Open Banking/ OPEN API 即讓各金融業者的業務能進一步擴展延伸,例如許多新應用情境透過 Google Map API 即在於締結新夥伴關係,近期衛福部健保署開放 API 讓社群串接撰寫口罩 APP 即為政府提供智財數據加值於民眾的典範。

API 治理防護首重資料可視性當循序漸進落實

前面提到 API 安全首重可視性,根據木桶理論資安的破口往往是最低以及沒有防護的部分,仍需循序漸進才能讓防護完整避免資安破口。由於 API 牽涉層應用開發運維 (Dev-Ops)、網路運維 (Net-Ops) 以及資安運維 (Sec-Ops),企業可能缺乏起步頭緒,對此建議先自內部開始統合,而後擴展到介接的外部 (Internal API、Partners API and Public API),釐清 API 面向之後自資訊營運面開始落實,包含網路的進出口、企業內各的各種資訊裝置及設備,都必須有 API 防護,避免有未經身分驗證的不明 API 連線、或沒有加密的 API 訊息傳遞等。

F5 Networks 表示國內已有高達 90% 的金融業採用 F5 的防護方案,至於現階段開放的三家純網銀更是全面採用。圖由左至右為:公眾事業部業務總監賴尚賢、張紘綱總經理、資深技術顧問陳廣融。

營運面確立後進一步導入到資訊開發面。同樣是由內而外進行要求,短期內先要求企業內自主開發的程式能實現 API 防護,中長期而言也必須要求委外開發的程式採行一致的防護政策,最後落實「API 治理」工作。

在商業面由 Open Banking 的推動可知,我國 API 經濟的前導產業將以金融邁開第一步,而國內已有高達 90% 的金融業採用 F5 的防護方案,至於現階段開放的三家純網銀更是全面採用。除金融外,政府公部門第五期電子化政府講求積極釋出開放資料(open data),未來的第六期電子化政府我們預期 API 防護需求將不會缺席。

API 防護貴在全面性

了解 API 防護先於數位經濟創新的重要性後,防護是否具全面性成了評估選擇 API 防護方案的一大重點。F5 資深技術顧問陳廣融提醒企業在資安防護建置需要更全面性的思維,因為不同方案關注面向不同,例如有些防護方案僅限於網路的進出口,有些方案只適用於企業內的設備,有些則顧全資訊營運面卻忽略了開發面。局部或片面的防護容易產生破口,駭客依然有機可趁,因此 F5 提出一個全面防護的資安框架,從閘口的身份識別、透析所有 API 傳輸的交易而部署的資安策略以及終極目標 API 治理藍圖,不管是駭客透過 API 竊取企業機敏資訊,或是施以分散式阻斷攻擊(DDoS)來耗竭企業服務資源時,F5 的方案都能提供對應的緩解方案。F5 以全代理架構(Full Proxy Architecture)實現數位經濟的的 API 防護。

有了清晰的 API 策略,並循序落實 API 防護,並在中長期導入完整的 API 治理後,企業即能在無後顧之憂下全心拓展 API 經濟,使產品、服務、夥伴關係、銷售通路等各層面更具革新性及競爭力,進而迎向另一次事業高峰。