Akamai：金融服务业成DDoS攻击首要目标，零信任架构成关键

UT OF COMMON/不写平庸的故事/能用钱解决的问题，就不是大问题‍‍‍‍文/魏霞编辑/王芳洁结果不可避免。7月26日下午3点，东方甄选股东沟通会上，针对董宇辉离职一事，俞敏洪说。这话外界未必买账，否则消息公布次日，新东方和东方甄选不会双双大跌，其中东方甄选当日最大跌幅达到了28....

【环球网科技报道 记者 林迪】在数字化时代，金融服务业作为数字经济的核心驱动力，其安全问题日益凸显。近期，Akamai资深 方案技术经理马俊在采访中，深入剖析了当前金融服务业面临的安全威胁，并分享了Akamai的 观察与应对策略。

Akamai资深 方案技术经理 马俊

DDoS攻击：金融服务业的“头号敌人”

“DDoS攻击仍然是金融服务业面临的最大威胁之一。”马俊首先指出。

根据Akamai的 报告，金融服务行业在DDoS攻击事件中的占比高达34%，位居各行业之首。这一数字不仅远高于游戏行业（18%）和高科技行业（15%），显示出攻击者对该行业的特别“偏爱”。

报告进一步揭示，DDoS攻击的数量与金融活动的密集程度呈正相关。去年三四月份，随着北美地区报税活动高峰期的到来，DDoS攻击量也达到了显著高峰。针对大型金融机构的“撞库”攻击尤为引人注目，如某大型 在发布 季度财报期间就遭受了大规模攻击。

新威胁与老问题

随着金融服务的数字化转型，API的使用量急剧增加，这也为攻击者提供了新的切入点。

马俊对记者表示，API攻击已成为金融服务业面临的新兴威胁，其数量与DDoS攻击的增长趋势一致。特别是那些未被标记、未受保护的影子API，更容易成为攻击者的目标。

根据报告，在亚太地区，针对API的攻击占据了DDoS攻击近50%的比例，对当地金融机构造成了严重影响。马俊强调，针对API的攻击往往利用漏洞进行，且由于影子API的存在，传统WAF等防护手段难以有效应对。

除了DDoS和API攻击外，钓鱼和品牌滥用也是金融服务业面临的长期挑战。

报告指出，超过三分之一的钓鱼和假冒网站与金融服务相关，显示出该行业在欺诈方面的高风险性。攻击者通过假冒品牌LOGO、链接和特定话术等手段，诱导用户泄露敏感信息或进行不当操作。

马俊介绍称，Akamai设计了一个“中位威胁 ” 模型，通过综合考虑钓鱼事件的确信程度、影响等级以及发生频率等因素，量化不同行业面临的互联网安全威胁严重程度。根据该模型评估，金融行业的风险得分高达85分，仅次于公共网站领域。

之道：持续创新

面对金融服务业日益严峻的安全挑战，Akamai提出了一系列应对策略和技术创新。在DDoS防护方面，Akamai建议金融机构利用流量清洗服务和CDN进行流量控制和缓存部署，同时加强对DNS流量的监控和清洗。

针对API安全威胁，Akamai推出了高级API防护方案。该方案通过流量 梳理、实时检测和机器学习模型等手段，实现对影子API、漏洞API和API滥用的有效治理。Akamai还推出了原生连接器产品，帮助金融客户快速实现API的高级检测和防护部署。

Akamai还强调了零信任安全架构的重要性。通过集成零信任访问控制和微分段等功能，Akamai的Guardicore 为客户提供了一站式的安全防护 方案。该 利用AI技术实现智能发现和策略控制，有效遏制钓鱼网站和恶意软件的访问。

马俊表示，未来，Akamai将继续加大在API安全领域的投入和创新。随着API在金融业务中的广泛应用和风险的增加，Akamai将不断优化高级API防护方案，提升检测模型的准确性和效率。公司还将关注全球范围内的合规性要求，帮助金融客户在满足 要求的同时提升整体安全水平。

对于当前金融服务业面临的安全威胁演变趋势。马俊还认为，未知的“零日漏洞”攻击可能会成为未来的主要威胁形式之一。因此他建议金融机构采用零信任等先进的安全防护手段来应对这些未知风险确保业务连续性和数据安全。