金管会自2019年起推动开放银行,让金融机构可透过Open API方式,和第三方服务业者合作共享金融数据,发展更多创新金融服务。不过,当API成为了系统间交换数据与服务的重要桥梁,却也带来了资料外泄、服务中断等资安风险。「API是一个桥梁,当这个桥梁开启,等于开了一个口。」富邦金控资安长苏清伟在台湾资安大会中强调控管API的重要性。
API面临的威胁和挑战
苏清伟提到,企业管理API时,主要面临三大威胁与挑战。第一种挑战,企业可能因多种因素导致API脱离管控,例如已经弃用却仍被使用的僵尸API,或是正在使用但未受企业管理的影子API,又或是鲜少使用导致企业遗忘的API。这些不受管控和保护的API,都会产生不可见的风险。
第二种挑战,是资料外泄风险。企业常透过API进行资料传递,然而,API端点配置不当或采用未加密的资料传输方式,可能导致机敏资料外泄。第三种挑战,是难以侦测、发现的API攻击行为,因为骇客可以透过合法管道掩护非法行为,潜入企业内部伺机行动。
六项机制管控API安全
面临这些API管控威胁和挑战,财金公司曾修订Open API规范,增订三项金融业者应遵循的必要措施,分别是,第一,金融机构应建立API盘点机制,对网际网路有开启服务的API,也应建立认证机制,并针对API设计和安全建立妥适的防御机制。第二,金融机构传输内容若涉及机敏资料,要建立端点对端点的加密机制。最后,API在上线前,或API系统架构异动,又或是API既有功能异动时,金融机构需要依照OWASP公布的Top10 API Security Risks项目办理并通过检测,且由资安专责单位确认完成改善。
除了遵照这些规范管理API,富邦金控也额外建立六项机制,来管控API安全性。并且,富邦金控子公司皆遵循这些机制。苏清伟表示,第一项机制,是将API文件标准化,他们会规范要使用JSON或YAML格式来描述API的结构和行为,并采用OpenAPI Specification作为API文件标准。「定义清楚后,往后才更容易处理API维运工作。」苏清伟强调。
第二项机制,是自动化产生API文件。利用OpenAPI规范文件,自动生成API文件,并随著API版本迭代自动产生文件,让文件永远保持在最新版本。第三项是透明化机制,建立清晰的API文件让开发人员能快速上手,减少反复沟通的时间成本,并且,当API发生错误时,让开发人员能快速厘清问题。
苏清伟解释,API管理生命周期涵盖了从API的构思、设计、开发、测试、部署,到维运的过程,而富邦金控内部会将资安措施列入SOP文件,让IT人员在开发、设计API时,就遵循资安规范,避免后续检测才发现问题。例如,他们在文件中列出了遵循OWASP Top10 API Security Risks订定的设计标准、设定说明、设计场景、设计要点和测试要点,供IT人员参考每个要点对应的解决方案。
富邦在文件中列出了遵循OWASP Top10 API Security Risks订定的设计标准、设定说明、设计场景、设计要点和测试要点。
在上架Open API前,富邦金控内部会要求业务单位会同资安单位进行各项风险评估作业,并建立通报机制留存评估纪录,避免下架API带来的影响。而在API上架时,他们会先区分出API属于Open API或是内部使用等类型,再界定API的风险程度。若API属于Open API,则需上架至API管理平台。
富邦金控也针对API上下架订定了处理机制。
当后续要下架Open API时,苏清伟强调,务必要按照规定下架,避免产生被遗忘的API。富邦金控的作法是,资讯单位向业务单位确认API已无运作需求后,由资讯单位提前公告API预定下架日期,并通知受影响的单位和后续相关配合事项。最后,资讯单位也要留存下架过程的完整纪录。「资安实践像Case by Case,每一个Case都要到位。」苏清伟最后强调,无论是哪一项科技技术,都应该落实盘点动作,并且评估可能发生的威胁、可供参考的资料和解决方案,最后不断检视既有做法。
在富邦的API管理架构中,WAF作为重要角色,能对进出网路应用程式的流量进行检查过滤、监控和阻断,并针对攻击特征码进行防范,找出已知存在的恶意行为。WAF后方则部署API Security模组,即时监控和检视API威胁事件、针对API资料流进行解析,并建立完整可视性的API清单。