网络安全服务商Noname Security公司首席信息安全官Karl Mattson:开放银行计划通过设计使开发商和金融科技公司社区能够创新并满足新的金融服务需求。开放式银行API处理从账户状态到资金转账,以及到密码更改和账户服务的所有事情。能够访问这些服务的网络攻击者也将获得对这些功能和敏感客户数据的访问权限。客户、账户和支付数据需要更高的精确度,以确保交易的完整性和数据的安全性。
随着开放式API开发速度的加快,安全风险也越来越高。即使是治理良好、高度安全的企业也面临着巨大的压力,需要跟上变化的步伐,并应对API威胁。
此外,许多企业采用由多个客户共享的第三方API代码,其中可能包含漏洞。研究表明,第三方API代码为网络攻击者在多个企业中重复使用针对第三方代码的网络攻击提供了重要机会。
除了推动API使用的开放式银行业务之外,API已成为现代应用程序开发的事实上的标准,企业经常为各种目的部署数千个API。这些API之间的每个连接点都代表一个潜在的攻击向量。面对如此大规模扩展的攻击面,许多企业(尤其是小企业)由于缺乏资源而难以保护它们。
为什么开放银行中的API是网络犯罪分子的共同目标?
Mattson:网络犯罪分子将针对开放银行中的API进行攻击,因为它们能够直接获取资金。再加上API攻击成为当今最常见和最有效的网络攻击形式之一的趋势,这意味着开放银行API面临着特殊的风险。
虽然安装API安全预防措施可以实现银行应用程序和金融科技公司之间的集成,但这些众多的接触点也是网络犯罪分子利用的易受攻击代码的地方。因此,网络犯罪分子被授权针对开放银行的API也就不足为奇了,因为正如人们最近看到的那样,API通常是不安全的,而成功破解它们的回报是直接的收益。
金融服务机构可以做些什么来提高API的安全性?
Mattson:第一步是获取所有API的完整清单,包括数据分类和配置详细信息,以提供环境的整体视图。如今,与保护API相关的主要挑战之一是大多数企业都有数千个他们不知道的API——这些被称之为影子API。API网关和WAF等现有基础设施在不使用时无法解决API风险。对于高风险的开放式银行API,误差幅度为零。
凭借对所有API的状态和配置的观点,企业可以优先关注最高风险。这首先要识别运行时异常,或在过程中观察到的滥用企图。API非常适合行为分析模型,以识别每个API中的异常。
接下来,应该在上游识别配置和漏洞,以便网络和应用程序团队快速解决——通过防火墙更改、API策略实施和其他应用技术来降低API暴露的风险。
最后一步是在部署到生产之前和之后积极测试API以验证完整性,特别是随着环境通过定期发送代码或持续集成/持续交付(CI/CD)部署而发展。
消费者可以信任开放银行吗?他们应该注意什么?
Mattson:消费者通过开放新的服务和利益来满足他们的金融需求,从而从开放式银行业务中受益。然而,消费者在了解如何评估其个人信息的风险方面处于明显劣势。例如,银行客户可能对其金融机构如何在后端提供这些服务几乎没有洞察力或控制力。
同样,在评估新的金融科技服务产品是否真正安全时,消费者需要考虑的数据点也很少。消费者仍然在很大程度上依赖金融业监管机构的质量监督,并成为负责任的风险管理和数据保护的看门人。
如何在确保安全的同时拥抱创新?
Mattson:与传统模式相比,开放式银行创新不安全——但它确实显著地加快了变革的步伐。即使API本身可以高度安全,不断变化的环境都可能容易出现错误和人为或技术错误。网络犯罪分子确实注意到了这一点。
API激增使安全团队难以有效地观察和充分解决这些问题。快速创新迫使开发人员在寻求以更快的速度交付软件时可能放弃安全性。跟上创新的需求已经成为开发人员和网络犯罪分子之间的竞赛,这本身就会产生问题。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号