當世界如火如荼進行網路資訊效率提升與創新兼具的驅動下,應用程式介面(Application Programming Interface,API),一系列串接各項應用程式的角色成注目的焦點。現今企業已經普及化的透過API進展串接系統、應用與服務,同時許多推動數位轉型或是開創新業務的產業,例如金融服務業、政府推動Open Banking的觀念、IoT物聯網到智慧城市,均透過API串接各項應用程式,我們幾乎可以說,凡是有聯網就有API的出沒。
不容小覷 API資安
自古以來有道是物極必反,當API成為企業營運重要介接的樞紐時,如果沒有透過監控API流量留意可疑行為,沒有要求遵循安全法規機制規範時,這樣狀況,反而讓網路應用程式成為企業敏感且重要的數據資料,外洩的元兇。再者近年來API程式應用的普及化,成為駭客新的攻擊目標機率更大。同時,Gartner也曾預測,到2022年企業機敏資料外洩最關鍵的攻擊,將會是API應用程式的破壞。
幾年來,我們可觀察到大量網路應用服務的企業單位,也開始關心API是否有可能會遭受殭屍網路與DDoS的攻擊疑慮。再者,國外的網站服務也發生過幾起重大損失的API漏洞事件, 2018年美國郵政署的一項Informed Visibility的網頁服務,恐暴露6千萬筆用戶的資料,Informed Visibility的網頁服務提供給企業、廣告商和大宗郵件的客戶,讓他們可以存取廣稿與追蹤郵件資料的服務API,但是在執行過程中,他們可以看到許多用戶的資料例如電子郵件、帳號、ID、用戶名稱等等。以及,2019年 LandMark White(澳大利亞最大的房地產估價公司)發生API漏洞,導致房產估價細節和客戶資訊外洩,因此從這幾個例子,對於企業強化API的資訊安全的正視,我們不應該忽視。
繁瑣的加密機制 索性不加密了
API 是一個開放的程式環境,大家只要依循既定的規則,即可進行資料、程式方面的交換與串聯,如果我們沒有做好資料、應用程式方面的安全防護,即便我們進行API加密,於加密過程中也會延伸資料安全的問題,例如重要客戶資料、交易資料遭有心人士透過API盜取。
一般API應用程式防護的作法是將資料加密,但是,大家都知道當資料進行加密的過程中系統會有延伸問題的瓶頸,例如機器效能不佳,造成營運效能降低;因為加密機制所需,企業需要增購設備,營運成本增加,這些均是當進行加密過程中所會遇到的問題瓶頸,有此狀況反而讓企業乾脆不加密,進而企業產生資安高風險的發生。