开放银行创新:开发人员与网络犯罪分子之间的金融服务需求竞赛。OpenBankingAPI处理从账户状态到资金转账、密码更改和账户服务的所有事情。有权访问这些服务的网络攻击者也可以访问这些功能和敏感的客户数据。客户、账户和支付数据需要更高的准确性,以确保交易完整性和数据安全。随着开放API开发速度的加快,安全风险也随之增加。即使是治理良好、高度安全的企业也面临着跟上变化步伐和应对API威胁的巨大压力。此外,许多企业使用由多个客户共享的第三方API代码,其中可能包含漏洞。研究表明,第三方API代码为网络攻击者提供了一个重要机会,可以跨多个企业重复使用针对第三方代码的网络攻击。除了推动API使用的OpenBanking之外,API已经成为现代应用程序开发的事实标准,企业经常为各种目的部署数以千计的API。这些API之间的每个连接点都代表一个潜在的攻击向量。面对如此大规模扩展的攻击面,许多企业(尤其是小型企业)因缺乏资源而难以保护它们。为什么开放银行中的API是网络犯罪分子的共同目标?Mattson:网络罪犯将以开放银行中的API为目标,因为他们可以直接获取资金。这一点,再加上API攻击成为当今最常见和最有效的网络攻击形式之一的趋势,意味着开放银行API面临着特殊的风险。虽然安装API安全预防措施可以实现银行应用程序和金融科技公司之间的集成,但这些众多的接触点也是网络犯罪分子利用易受攻击代码的地方。因此,网络犯罪分子被授权以开放银行API为目标也就不足为奇了,因为正如最近所见,API通常是不安全的,成功破解它们的回报是立竿见影的收入。金融服务组织可以做些什么来提高API安全性?Mattson:第一步是获取所有API的完整清单,包括数据分类和配置详细信息,以提供环境的整体视图。当今与保护API相关的主要挑战之一是,大多数企业都有数千个他们不知道的API——这些被称为影子API。API网关和WAF等现有基础设施在未使用时无法解决API风险。对于高风险的开放银行API,误差范围为零。通过查看所有API的状态和配置,组织可以确定最高风险的优先级。首先是识别运行时异常,或在此过程中观察到的滥用尝试。API非常适合行为分析模型来识别每个API中的异常。接下来,应该在上游识别配置和漏洞,以便网络和应用程序团队快速解决——通过防火墙更改、API策略实施和其他应用程序技术降低API暴露的风险。最后一步是在部署到生产之前和之后积极测试API以验证完整性,尤其是随着环境通过定期代码传输或持续集成/持续交付(CI/CD)部署而发展。消费者可以信任开放银行吗?他们应该注意什么?Mattson:消费者通过开放新的服务和福利来满足他们的金融需求,从而从开放银行中受益。然而,消费者在理解如何评估其个人信息的风险方面处于明显的劣势。例如,银行客户可能对其金融机构如何在后端提供这些服务知之甚少或无法控制。同样,在评估新的金融科技服务产品是否真正安全时,消费者可以考虑的数据点也很少。消费者仍然严重依赖金融行业监管机构的质量监督,并充当负责任的风险管理和数据保护的守门人。您如何在确保安全的同时拥抱创新?Mattson:与传统模式相比,开放式银行创新并不安全——但它确实显着加快了变革的步伐。尽管API本身可以是高度安全的,但不断变化的环境可能容易出现错误和人为或技术错误。网络罪犯确实注意到了。API激增使安全团队难以有效观察并充分解决这些问题。快速创新迫使开发人员在寻求更快地交付软件时可能放弃安全性。跟上创新的需要已经成为开发人员和网络犯罪分子之间的竞赛,这本身就产生了问题。
