後疫情時代應用經濟 F5：API 安全最重要

肺炎疫情席捲全球，傳統商場及零售店人流大減，各行各業紛紛轉戰手機應用程式 (Apps)，開拓網購市場。不過，Apps的安全與效能往往成為致命傷，令消費者存疑而卻步。今次特別訪問到了榮獲『2020至尊品牌大獎 – 至尊API 安全解決方案』的F5 公司香港及澳門總經理麥國棟，他指出：「安全是香港消費者進行任何數碼活動的首要考慮，企業絕不能忽視而錯失龐大商機。」

應用程式主導經濟

F5是全球著名應用安全及網絡技術供應商，也是支撐應用程式經濟（App Economy）的網絡安全守護者之一。麥國棟表示：「今天我們日常生活無論衣食住行，甚至朋友通訊聯宜均透過Apps進行，而裝置上每個Apps連接大量網上內容、消費行為及金融服務，構成電子商務的世界。」事實上，用戶透過手機App與瀏覽器上網所需要的安全機制完全不同，這使許多企業未能好好照顧應用安全的問題，從而影響業務。

他指出，Apps正在改寫消費者與產品和服務的互動模式，由於疫情影響，足不出戶，用戶大量使用手機購物，這使香港消費者在使用手機Apps時，更加重視個人私隱與安全問題。

隨著全球企業加快數碼轉型，大量以Apps為主的電子商務、營運工具大行其道，而負責各種Apps之間連繫的API (Application Programming Interface) 安全保護至為重要，企業有迫切需要加強API安全。

API肩負公司收入來源

究竟API安全有多重要？麥國棟指出，今天互聯網上有80％以上的流量是API流量，而API流量對公司收入的貢獻更可見其重要性，舉例如下：

• Google MAP API每年產生約80億美元收入；
• Expedia收入的90％來自API相關服務；
• eBay收入的60％來自API相關服務；
• Expedia和eBay的年收入均超過1000億美元；

從上述數據可見，API直接影響公司收入，因此市場上對相關API技能的人才十分渴市。例如，在Linkedin香港網站搜索API技能，會發現超過400多個相關或必需API技能的工作，可見API的重要性，也引證API安全有多重要。

傳統網絡安全不合時宜

作為全球應用系統傳輸網絡的領導廠商，F5所推出的解決方案能夠確保安全、迅速且實用的應用系統存取。對於現今應用安全問題，麥國棟指出，Apps安全跟瀏覽器上網的安全機制完全不同，許多企業只有傳統網絡安全方案，卻忽略Apps安全背後有雲、容器、微服務、身份認證及API夥伴連繫等元素。對企業來說有三點安全必須考慮，第一，擔心黑客入侵偷取資料；第二，保護假用戶登入；第三，慎防應用漏洞被濫用，如炒賣黃牛門票等。

F5是經營Web應用防火牆起家，因應各種進階威脅，推出可在企業內部與雲端服務環境部署的Advanced Web Application Firewall (Advanced WAF)，提供以應用為中心的安全、分佈式拒絕服務 (DDoS)、應用基礎架構保護、Web應用和API保護、SSL可視化及Bot管理，有效保護Web應用安全及API安全。

麥國棟指出，許多企業沒有IT人手或資源針對上述各個安全範疇提供保護，也難以管理及整合多個不同網絡安全品牌的產品。F5致力簡化這些要求，以單一介面統一管理簡化應用安全的複雜性，同時透過雲、就地部署及托管模式以滿足不同企業的需求。F5 Silverline網絡應用防火牆是以雲端為基礎的安全服務，建基於獲NSS實驗室推薦的F5 BIG-IP Application Security Manager，設有專業的安全專家提供24/7支援，以幫助組織保護網絡應用和數據，並確保符合行業安全標準。

為了符合本地法規要求及確保應用流量速度，所有香港安全托管服務均在香港數據中心進行，訊息流量不用走出海外互聯網。此外，該公司還採用開源系統，作為發展多雲保護的核心策略，在堵塞客戶的軟件漏洞防護上，更快更新。

機器學習緩解先進攻擊

今天網絡攻擊走向多元化及針對性，特別是來自DDoS及Bot機器人程式攻擊上，令企業防不勝防。麥國棟表示，F5在網絡安全技術上加入更多機器人行為規則的邏輯判斷，可以透過動態或靜態分析比對，更準確判斷網站上發生的行為是不是機器人程式所為，並將它排除在外。他舉例，透過點擊多組圖像來回應安全提問的身份辨識方法，已被械人程式所攻破，因此該公司網絡安全技術結合機器學習，能從日常網頁行為活動中，找出潛藏的黑客攻擊的前兆，透過分析黑客攻擊流量、大量log資料，持續不斷訓練、學習以建立預測模型。今天F5的網絡安全技術已經可以根據網路活動和行為來判斷，更快找到攻擊源頭，以及防範帳號密碼遭到濫用，將損害減到最低。

守護香港金融界開放API平台

麥國棟透露，F5在香港參與了大型金融界開放API項目，保護接駁不同銀行與金融機構的訊息交換流量，抵禦API攻擊，確保安全。

購併不斷防護實力倍增

近年F5 Networks圍繞應用安全為中心，不斷向外購併網絡安全公司壯大網絡及應用安全業務。在2019年3月收購應用交付服務技術領導者NGINX，NGINX專注於支援容器及微服務技術，NGINX API網關 (API Gateway) 是全球使用量最多的API網關之一，提供一整套用於開發和交付現代應用的技術，加上F5的世界級應用安全性和豐富的應用服務組合，為客戶提供領先的軟件應用交付和API管理解決方案，能在多雲協作環境下滿足DevOps需求。

針對新式網絡安全防護，F5於今年2月收購預防網絡欺詐及惡意使用預防方案領導商Shape Security，加強對自動攻擊、殭屍網絡和定向欺詐的防護。Shape所具備的洞察力，能夠通過複雜的AI技術，以及基於雲的分析和反欺詐技術，可緩解每日高達10億次的對應用程序的攻擊。

通過上述兩項重要收購，F5構成了一個端到端的應用程序安全解決方案，在降低基礎架構複雜性的同時，保護「從代碼到客戶」的全流程在各個方面都免受攻擊，確保公司聲譽及服務不會中斷。麥國棟總結，全球經濟有上有落，疫情打擊經濟卻不會影響F5的長線投資，繼續加大投資於應用安全領域上，協助企業提高Apps質量與安全性，令客戶得益。

F5 Networks

電話：2827 1818
網址：https://go.f5.net/hk