【Akamai技術擴展】專家分析API安全方案最新優勢　「可集成產品數量增四倍」

數碼新時代來臨，API（應用程式介面）作為應用程式之間數據交換的主要渠道，使用量迅速增長，同時成為黑客主要攻擊目標。全球領先的雲端服務供應商 Akamai Technologies 亦預視到未來市場對 API 安全的需求，今年中以 4.5 億美元收購頂尖 API 安全公司 Noname Security。小編今次特意請來專家，詳細講解雙方整合至今，如何完善並擴充原有的產品功能及能力，為企業提供更安全可靠的 API 保護。

一個月多達48億次API攻擊

現時 API 在互聯網中廣泛被應用，物流快遞、網購、電子支付等平台都是常見的 API 應用例子。根據 Akamai Technologies（下稱 Akamai）的調查報告指出，API 攻擊每年增長 109%，而僅僅 2024 年 6 月就記錄了 48 億次攻擊。在 2023 年第一季度到 2024 年首季，香港亦遭受 15 億次 API 和 Web 應用程式的攻擊。API 作為目前數碼轉型的核心，負責傳輸重要敏感資料及數據，其安全性不容忽視。

強強結合　打造更完善API安全方案

Akamai 於去年收購 Neosec 後已初步完善了其 API Security 保護方案，為進一步加強對 API 的全面保護，Akamai 於 6 月再收購了 Noname Security（下稱 Noname），結合 Noname API Security 的技術，協助 Akamai 在 API 安全範疇上更上一層樓。

Akamai Technologies大中華區產品市場經理劉炅（John）指出，Noname 一直專注研發 API 安全方案，其技術專業程度以及產品化能力無容置疑，是次收購更能補足 Akamai API Security 跨供應商之間的集成和部署選擇，提供更大的靈活性和支援，能夠在 API 整個生命週期中，提供全面的安全檢測，並降低產品上線後的風險，在發現影子 API、尋找敏感資料、偵測漏洞和攻擊等能力亦得以擴充。

結合 Noname 的技術後，Akamai API Security 方案不僅提供靈活的部署選擇，不論雲端、在地、混合或是分散式環境都能全面覆蓋。此外，Noname 廣泛的第三方集成選擇亦幫助 Akamai API Security 無縫整合到客戶現有的產品服務當中，包括 AWS、Azure、CloudFlare、Kubernetes、Mulesoft、Oracle Cloud、F5 和 Palo Alto Networks 等平台，其集成選擇是現有 API Security 產品的 4 倍。

探查、測試、偵測及響應四大功能

Akamai API Security 的安全管理流程分為探查（Discover）、測試（Testing）、偵測（Detection）和響應（Response）四個主要部分。

從開發到生產的整個生命週期內，探查所有 API 並偵測休眠、舊版和殭屍 API，消除盲點並找出潛在的攻擊路徑，防止企業暴露安全風險之中；利用 API 安全性測試套件，自動執行超過 150 項模擬惡意流量的測試，包括 OWASP API 安全性十大威脅，在 API 上線之前發現漏洞，以降低被黑客攻擊的風險；在偵測方面，Akamai API Security 透過自動掃描基礎架構，找出錯誤配置和隱藏風險；更能即時偵測攻擊者和可疑行為、阻擋攻擊，在漏洞遭到利用前先行補救。

滿足行業標準　全面保障API安全

John 指出，API 不只是代表應用程式介面，而是企業的核心資產，當中包含數據安全問題，因此不同行業對 API 安全都有嚴格的法規要求，尤其金融行業對網上銀行交易轉賬的安全性要求更高。香港金融管理局（HKMA）在 2018 年亦制定銀行業 Open API 的框架，確保數據和交易的安全性。Akamai API Security 方案經整合後，符合 FFIEC、SOC、GDPR、HIPAA 和 PCI DSS 等針對不同地區及行業的標準，其安全性獲得認可，為客戶在不同領域上都有全面的保障。 大部分企業高度依賴於 API 的資料交互能力，特別是業務規模較大的企業，每月 API 請求數目有機會高達幾十億次。John 表示，當 API 架構漸趨複雜，卻沒有視覺化能力，很多隱藏 API 端點是整體業務的隱患。

香港曾有知名二手買賣平台於系統遷移過程中出現保安漏洞，令 32 萬名本港用戶個人資料遭洩露。個人資料私隱專員公署調查後，認為該平台未有採取適當措施偵測異常模式或活動，亦未有配置用於偵測潛在惡意使用應用程式介面的活動的警報。由此可見，企業必須持續加強對 API 的監控與保護，才能有效降低資料外洩和安全事件的風險。

事實上，Akamai 收購 Noname之前，客戶對 Akamai API Security 的需求增長率就已經高達 200%。大部分企業缺乏對 API 的安全弱點分析能力，John 表示，雖然企業都有使用不同的「手段」，如 WAF、API Gateway 以解決 API 安全問題，但企業網絡內東西南北向流量錯綜複雜，單靠 WAF 產品並未能防禦所有針對 API 的攻擊。Akamai API Security 方案則提供更全面的保護、更有深度的視野和分析能力，基於行為和邏輯檢測 API 濫用情況，有效保護企業的 API 免受攻擊威脅。