HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Bảo mật API trong dịch vụ tài chính: Ngành đang đối mặt với những thách thức nào?

23/05/2025
Ngành dịch vụ tài chính, vốn là huyết mạch của nền kinh tế toàn cầu, đang phải đối mặt với một mối đe dọa an ninh mạng ngày càng tinh vi: các cuộc tấn công API. Với sự phụ thuộc ngày càng tăng vào các giao diện lập trình ứng dụng (API) để kết nối khách hàng, đối tác và các dịch vụ quan trọng, việc bảo vệ những "cửa ngõ" kỹ thuật số này trở nên cấp bách hơn bao giờ hết. Nghiên cứu mới nhất của Akamai mang đến cái nhìn sâu sắc về những thách thức và tác động mà các tổ chức tài chính đang gánh chịu.

Thực trạng đáng báo động trong ngành tài chính

Bạn có biết, năm ngoái, gần 90% (88.7%) các công ty dịch vụ tài chính đã trải qua một cuộc tấn công vào các API của họ? Những cuộc tấn công này không chỉ là những sự cố đơn lẻ; chúng đang diễn ra với tần suất và mức độ tinh vi ngày càng cao. Kẻ tấn công liên tục đổi mới phương pháp để khai thác các lỗ hổng, nhằm mục đích đánh cắp thông tin cá nhân và tài chính nhạy cảm, bao gồm số dư tài khoản và lịch sử giao dịch.

Các đội ngũ bảo mật đang thực sự cảm nhận được áp lực. Đối phó với một vector tấn công mới như API có thể rất khó khăn, đặc biệt khi các lỗi cấu hình đơn giản hoặc lỗ hổng logic nghiệp vụ có thể dễ dàng bị kẻ xấu phát hiện và khai thác.

Chi phí khủng khiếp của sự cố API

Akamai đã khảo sát hơn 1.200 chuyên gia CNTT và bảo mật để hiểu rõ hơn về tác động của các mối đe dọa API. Điều đáng chú ý là trong ngành dịch vụ tài chính, tác động hàng đầu của các sự cố bảo mật API là "tiền phạt từ cơ quan quản lý" và "gia tăng căng thẳng/áp lực cho đội ngũ".

Hậu quả tài chính cũng vô cùng lớn. Các đồng nghiệp của bạn trong ngành đã ước tính chi phí trung bình để giải quyết một sự cố API lên tới 832.800 đô la (tương đương hơn 21 tỷ VND) — một con số cao hơn 40% so với mức trung bình của tất cả các ngành được khảo sát, và cao hơn bất kỳ ngành nào khác. Điều này cho thấy rõ ràng mức độ nghiêm trọng và thiệt hại mà ngành tài chính đang phải gánh chịu.

Thiệt hại tài chính ước tính của các sự cố bảo mật API ở các quốc gia
Thiệt hại tài chính ước tính của các sự cố bảo mật API ở các quốc gia

Khả năng hiển thị giảm, rủi ro tăng

Mặc dù bằng chứng về các mối đe dọa API đã quá rõ ràng, nhưng nghiên cứu của chúng tôi chỉ ra rằng nhiều đội ngũ dịch vụ tài chính vẫn chưa ưu tiên bảo mật API. Trên thực tế, bảo mật API chỉ xếp thứ chín trong số các ưu tiên an ninh mạng trong năm tới.

Một trong những thách thức lớn nhất là khả năng hiển thị. Mặc dù 73.5% các tổ chức tài chính có danh sách đầy đủ các API của họ, nhưng chỉ 28.5% trong số đó thực sự biết API nào xử lý dữ liệu nhạy cảm – từ thông tin cá nhân (PII) đến lịch sử tín dụng hay hồ sơ tài chính của khách hàng.

Hãy tưởng tượng một API bóng ma – một API được triển khai mà không có sự giám sát của đội ngũ IT hoặc bảo mật trung tâm. API này có thể:

  • Được xây dựng mà không có kiểm soát ủy quyền đầy đủ.
  • Đã lỗi thời nhưng không được gỡ bỏ, vẫn còn tiếp xúc với internet.
  • Trượt khỏi tầm kiểm soát của các công cụ truyền thống.
  • Bị tội phạm mạng khai thác để truy cập tài khoản và đánh cắp tài sản.

Đây không chỉ là lý thuyết. Theo LexisNexis® Risk Solutions, 50% tổn thất do gian lận có thể bắt nguồn từ việc lạm dụng API để mở tài khoản mới hàng loạt.

Tác động của sự cố đến tuân thủ và niềm tin

Theo Gartner® Market Guide for API Protection tháng 5 năm 2024, "mỗi vụ vi phạm API trung bình dẫn đến việc rò rỉ dữ liệu nhiều hơn ít nhất 10 lần so với một vụ vi phạm bảo mật thông thường." Điều này giải thích tại sao tiêu chuẩn PCI DSS v4.0 đã bổ sung các yêu cầu nghiêm ngặt về bảo mật API, yêu cầu các tổ chức phải xác thực mã API, kiểm tra lỗ hổng thường xuyên và đảm bảo sử dụng an toàn các thành phần dựa trên API.

Mất lòng tin của các cơ quan quản lý không chỉ dẫn đến tăng cường giám sát và tiền phạt tốn kém mà còn gây áp lực cực lớn lên các đội ngũ bảo mật vốn đã mỏng.

Giảm thiểu rủi ro bằng giải pháp bảo mật API 

Các cuộc tấn công API vào các công ty dịch vụ tài chính đang gia tăng về phạm vi, quy mô, mức độ tinh vi và chi phí. Điều này bao gồm cả các cuộc tấn công bot được hỗ trợ bởi AI tạo sinh (GenAI), vốn có khả năng thích nghi nhanh chóng để vượt qua các công cụ bảo mật API truyền thống.

Vậy giải pháp là gì? Hành động ngay bây giờ để bảo mật tốt hơn các API của bạn – và dữ liệu chúng trao đổi – có thể giúp tổ chức của bạn bảo vệ doanh thu và giảm bớt gánh nặng cho các đội ngũ bảo mật. Việc xây dựng kiến thức của đội ngũ về các mối đe dọa API nâng cao và khả năng phòng thủ là chìa khóa để bảo vệ niềm tin của khách hàng và ban giám đốc.

Akamai cung cấp các giải pháp mạnh mẽ được thiết kế để giúp các tổ chức giảm thiểu rủi ro liên quan đến các mối đe dọa này:

  • Akamai API Security: Giải pháp này giúp bạn khám phá các API, hiểu rõ tình trạng rủi ro của chúng, phân tích hành vi và ngăn chặn các mối đe dọa tiềm ẩn.
  • Akamai Account Protector: Giúp ngăn chặn việc lạm dụng mở tài khoản bằng cách giám sát hành vi người dùng trong thời gian thực và thích ứng với các hồ sơ rủi ro thay đổi.

Nguồn: 2024 API Security Impact Study: Financial Services Industry 

VietSunshine là nhà phân phối của Akamai tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.
Akamai
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm