網(wǎng)絡安全服務商Noname Security公司首席信息安全官Karl Mattson：開放銀行計劃通過設計使開發(fā)商和金融科技公司社區(qū)能夠創(chuàng)新并滿足新的金融服務需求。開放式銀行API處理從賬戶狀態(tài)到資金轉賬，以及到密碼更改和賬戶服務的所有事情。能夠訪問這些服務的網(wǎng)絡攻擊者也將獲得對這些功能和敏感客戶數(shù)據(jù)的訪問權限。客戶、賬戶和支付數(shù)據(jù)需要更高的精確度，以確保交易的完整性和數(shù)據(jù)的安全性。

 

隨著開放式API開發(fā)速度的加快，安全風險也越來越高。即使是治理良好、高度安全的企業(yè)也面臨著巨大的壓力，需要跟上變化的步伐，并應對API威脅。

 

此外，許多企業(yè)采用由多個客戶共享的第三方API代碼，其中可能包含漏洞。研究表明，第三方API代碼為網(wǎng)絡攻擊者在多個企業(yè)中重復使用針對第三方代碼的網(wǎng)絡攻擊提供了重要機會。

 

除了推動API使用的開放式銀行業(yè)務之外，API已成為現(xiàn)代應用程序開發(fā)的事實上的標準，企業(yè)經(jīng)常為各種目的部署數(shù)千個API。這些API之間的每個連接點都代表一個潛在的攻擊向量。面對如此大規(guī)模擴展的攻擊面，許多企業(yè)(尤其是小企業(yè))由于缺乏資源而難以保護它們。

 

 

Mattson：網(wǎng)絡犯罪分子將針對開放銀行中的API進行攻擊，因為它們能夠直接獲取資金。再加上API攻擊成為當今最常見和最有效的網(wǎng)絡攻擊形式之一的趨勢，這意味著開放銀行API面臨著特殊的風險。

 

雖然安裝API安全預防措施可以實現(xiàn)銀行應用程序和金融科技公司之間的集成，但這些眾多的接觸點也是網(wǎng)絡犯罪分子利用的易受攻擊代碼的地方。因此，網(wǎng)絡犯罪分子被授權針對開放銀行的API也就不足為奇了，因為正如人們最近看到的那樣，API通常是不安全的，而成功破解它們的回報是直接的收益。

 

 

Mattson：第一步是獲取所有API的完整清單，包括數(shù)據(jù)分類和配置詳細信息，以提供環(huán)境的整體視圖。如今，與保護API相關的主要挑戰(zhàn)之一是大多數(shù)企業(yè)都有數(shù)千個他們不知道的API——這些被稱之為影子API。API網(wǎng)關和WAF等現(xiàn)有基礎設施在不使用時無法解決API風險。對于高風險的開放式銀行API，誤差幅度為零。

 

憑借對所有API的狀態(tài)和配置的觀點，企業(yè)可以優(yōu)先關注最高風險。這首先要識別運行時異常，或在過程中觀察到的濫用企圖。API非常適合行為分析模型，以識別每個API中的異常。

 

接下來，應該在上游識別配置和漏洞，以便網(wǎng)絡和應用程序團隊快速解決——通過防火墻更改、API策略實施和其他應用技術來降低API暴露的風險。

 

最后一步是在部署到生產(chǎn)之前和之后積極測試API以驗證完整性，特別是隨著環(huán)境通過定期發(fā)送代碼或持續(xù)集成/持續(xù)交付(CI/CD)部署而發(fā)展。

 

 

Mattson：消費者通過開放新的服務和利益來滿足他們的金融需求，從而從開放式銀行業(yè)務中受益。然而，消費者在了解如何評估其個人信息的風險方面處于明顯劣勢。例如，銀行客戶可能對其金融機構如何在后端提供這些服務幾乎沒有洞察力或控制力。

 

同樣，在評估新的金融科技服務產(chǎn)品是否真正安全時，消費者需要考慮的數(shù)據(jù)點也很少。消費者仍然在很大程度上依賴金融業(yè)監(jiān)管機構的質量監(jiān)督，并成為負責任的風險管理和數(shù)據(jù)保護的看門人。

 

 

Mattson：與傳統(tǒng)模式相比，開放式銀行創(chuàng)新不安全——但它確實顯著地加快了變革的步伐。即使API本身可以高度安全，不斷變化的環(huán)境都可能容易出現(xiàn)錯誤和人為或技術錯誤。網(wǎng)絡犯罪分子確實注意到了這一點。

 

API激增使安全團隊難以有效地觀察和充分解決這些問題。快速創(chuàng)新迫使開發(fā)人員在尋求以更快的速度交付軟件時可能放棄安全性。跟上創(chuàng)新的需求已經(jīng)成為開發(fā)人員和網(wǎng)絡犯罪分子之間的競賽，這本身就會產(chǎn)生問題。

 

版權聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。