網(wǎng)絡(luò)安全服務(wù)商Noname Security公司首席信息安全官Karl Mattson:開放銀行計劃通過設(shè)計使開發(fā)商和金融科技公司社區(qū)能夠創(chuàng)新并滿足新的金融服務(wù)需求。開放式銀行API處理從賬戶狀態(tài)到資金轉(zhuǎn)賬,以及到密碼更改和賬戶服務(wù)的所有事情。能夠訪問這些服務(wù)的網(wǎng)絡(luò)攻擊者也將獲得對這些功能和敏感客戶數(shù)據(jù)的訪問權(quán)限??蛻簟①~戶和支付數(shù)據(jù)需要更高的精確度,以確保交易的完整性和數(shù)據(jù)的安全性。
隨著開放式API開發(fā)速度的加快,安全風險也越來越高。即使是治理良好、高度安全的企業(yè)也面臨著巨大的壓力,需要跟上變化的步伐,并應(yīng)對API威脅。
此外,許多企業(yè)采用由多個客戶共享的第三方API代碼,其中可能包含漏洞。研究表明,第三方API代碼為網(wǎng)絡(luò)攻擊者在多個企業(yè)中重復使用針對第三方代碼的網(wǎng)絡(luò)攻擊提供了重要機會。
除了推動API使用的開放式銀行業(yè)務(wù)之外,API已成為現(xiàn)代應(yīng)用程序開發(fā)的事實上的標準,企業(yè)經(jīng)常為各種目的部署數(shù)千個API。這些API之間的每個連接點都代表一個潛在的攻擊向量。面對如此大規(guī)模擴展的攻擊面,許多企業(yè)(尤其是小企業(yè))由于缺乏資源而難以保護它們。
為什么開放銀行中的API是網(wǎng)絡(luò)犯罪分子的共同目標?
Mattson:網(wǎng)絡(luò)犯罪分子將針對開放銀行中的API進行攻擊,因為它們能夠直接獲取資金。再加上API攻擊成為當今最常見和最有效的網(wǎng)絡(luò)攻擊形式之一的趨勢,這意味著開放銀行API面臨著特殊的風險。
雖然安裝API安全預防措施可以實現(xiàn)銀行應(yīng)用程序和金融科技公司之間的集成,但這些眾多的接觸點也是網(wǎng)絡(luò)犯罪分子利用的易受攻擊代碼的地方。因此,網(wǎng)絡(luò)犯罪分子被授權(quán)針對開放銀行的API也就不足為奇了,因為正如人們最近看到的那樣,API通常是不安全的,而成功破解它們的回報是直接的收益。
金融服務(wù)機構(gòu)可以做些什么來提高API的安全性?
Mattson:第一步是獲取所有API的完整清單,包括數(shù)據(jù)分類和配置詳細信息,以提供環(huán)境的整體視圖。如今,與保護API相關(guān)的主要挑戰(zhàn)之一是大多數(shù)企業(yè)都有數(shù)千個他們不知道的API——這些被稱之為影子API。API網(wǎng)關(guān)和WAF等現(xiàn)有基礎(chǔ)設(shè)施在不使用時無法解決API風險。對于高風險的開放式銀行API,誤差幅度為零。
憑借對所有API的狀態(tài)和配置的觀點,企業(yè)可以優(yōu)先關(guān)注最高風險。這首先要識別運行時異常,或在過程中觀察到的濫用企圖。API非常適合行為分析模型,以識別每個API中的異常。
接下來,應(yīng)該在上游識別配置和漏洞,以便網(wǎng)絡(luò)和應(yīng)用程序團隊快速解決——通過防火墻更改、API策略實施和其他應(yīng)用技術(shù)來降低API暴露的風險。
最后一步是在部署到生產(chǎn)之前和之后積極測試API以驗證完整性,特別是隨著環(huán)境通過定期發(fā)送代碼或持續(xù)集成/持續(xù)交付(CI/CD)部署而發(fā)展。
消費者可以信任開放銀行嗎?他們應(yīng)該注意什么?
Mattson:消費者通過開放新的服務(wù)和利益來滿足他們的金融需求,從而從開放式銀行業(yè)務(wù)中受益。然而,消費者在了解如何評估其個人信息的風險方面處于明顯劣勢。例如,銀行客戶可能對其金融機構(gòu)如何在后端提供這些服務(wù)幾乎沒有洞察力或控制力。
同樣,在評估新的金融科技服務(wù)產(chǎn)品是否真正安全時,消費者需要考慮的數(shù)據(jù)點也很少。消費者仍然在很大程度上依賴金融業(yè)監(jiān)管機構(gòu)的質(zhì)量監(jiān)督,并成為負責任的風險管理和數(shù)據(jù)保護的看門人。
如何在確保安全的同時擁抱創(chuàng)新?
Mattson:與傳統(tǒng)模式相比,開放式銀行創(chuàng)新不安全——但它確實顯著地加快了變革的步伐。即使API本身可以高度安全,不斷變化的環(huán)境都可能容易出現(xiàn)錯誤和人為或技術(shù)錯誤。網(wǎng)絡(luò)犯罪分子確實注意到了這一點。
API激增使安全團隊難以有效地觀察和充分解決這些問題。快速創(chuàng)新迫使開發(fā)人員在尋求以更快的速度交付軟件時可能放棄安全性。跟上創(chuàng)新的需求已經(jīng)成為開發(fā)人員和網(wǎng)絡(luò)犯罪分子之間的競賽,這本身就會產(chǎn)生問題。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號