API-misbrug fremhæver farerne ved usikker Open Banking-implementering (Andy Zollo)

API-misbrug fremhæver farerne ved usikker Open Banking-implementering (Andy Zollo)

Tidsstempel: 8. marts 2023 kl. 9:24
API abuse highlights the dangers of unsafe Open Banking implementation (Andy Zollo) PlatoBlockchain Data Intelligence. Vertical Search. Ai.

I år er det fem års jubilæum for Open Banking i Storbritannien. Reguleringen tager fortsat fart blandt forbrugerne. Ved udgangen af ​​2022 var der mere end

6.5m almindelige, aktive brugere og næsten 250 regulerede tredjepartsudbydere i Storbritannien, sammenlignet med 338 i hele Det Europæiske Økonomiske Samarbejdsområde. Open Banking har skabt en række fordele for både kunder og virksomheder, herunder større fleksibilitet og personalisering, bedre finansiel inklusion og lavere omkostninger og gebyrer. Disse fordele, kombineret med offentlig støtte til fintechs, har været medvirkende til væksten af ​​Open Banking-tjenester og yderligere cementeret finansindustrien som førende inden for digital transformation. 

Innovationer og indførelse af nye digitale tjenester eller tredjepartsudbydere udvider imidlertid løbende angrebsfladen for finansielle institutioner. Denne ekspanderende angrebsflade, kombineret med de værdifulde data, som banker og andre finansielle virksomheder ligger inde med, forklarer i høj grad, hvorfor industrien blev ramt af mere end en fjerdedel af alle cyberangreb (28 %) i 2022 – det dobbelte af de næstflest- målrettet sektor. 

Forskere fandt især ud af, at mængden af ​​uovervåget trafik, der strømmer gennem Application Programming Interfaces (API'er), er steget med 89 % i det sidste år. API'er understøtter hele strukturen i Open Banking, og en stor procentdel af denne trafik indeholder følsom information, så det er vigtigt, at både banker og fintechs får kontrol over denne trafik. Faktisk, i betragtning af API'ernes betydning for stort set alle aspekter af digital transformation, er det at tillade API'er at forblive uovervåget cybersikkerhedsækvivalenten til at ignorere en tikkende tidsbombe. 

Sikring af fundamentet

Grunden til at API'er er så vigtige for digitale tjenester, er fordi de gør det muligt for forskellige applikationer at dele data og 'tale' med hinanden. Det afgørende er, at de data, de udveksler, ofte kommer fra backend-databaser, hvilket betyder, at API'er fungerer som en vej til virksomheders mest værdifulde aktiv – deres data. I dag er Open Banking ansvarlig for ca

1 milliard API-kald i Storbritannien om måneden – en enorm mængde digital trafik, hvoraf meget indeholder meget følsomme kundeoplysninger – som hver enkelt er muliggjort af API'er.

Faren for finansielle institutioner er, at næsten en tredjedel (30%) af denne trafik går gennem skygge-API'er. Shadow API'er er enten tredjeparts API'er, som en virksomhed bruger, men ikke sporer, eller interne, som er uden opsyn, glemt eller på anden måde uden for sikkerhedsteams synlighed, ifølge Imperva Threat Research. Shadow API'er kan forårsage alle mulige problemer. Selvom de ikke bliver opdaget og misbrugt af ondsindede aktører, kan de forårsage styringsproblemer, hvis de ikke opdateres for at opretholde lovoverholdelse. Og hvis de bliver opdaget, kan problemerne være langt mere alvorlige. Fordi API'er kan oprette forbindelse til backend-databaser, er de en ideel rute for hackere til at udslette følsom information eller kompromittere virksomhedsapplikationer. Allerede nu anslås en ud af hver 13 cyberhændelser at være relateret til API-usikkerhed, så eksistensen af ​​skygge-API'er repræsenterer en væsentlig sikkerhedsbrist, som enhver finansiel virksomhed bør søge at løse med det samme. 

Tre trin for at sikre, at du er sikker

Eliminering af skygge-API'er og forebyggelse af API-misbrug kræver tre kerneegenskaber: 

  1. Fuld synlighed over alle API i organisationen: I betragtning af den hastighed, hvormed API'er produceres og modificeres, er manuel opdagelse og klassificering praktisk talt umulig. I stedet kan finansielle institutioner ved at automatisere processen udvikle en fuld API-beholdning, som løbende opdateres, hver gang der foretages en ændring i produktionen, hvilket giver sikkerhedsteams synlighed uden at bremse udviklerne. 

  2. Etablering af god styring for alle API'er: For eksempel anvendelsen af ​​fælles regler og sikkerhedspolitikker for, hvordan API'er skal bruges. Dette sparer ikke kun tid og penge gennem øget konsistens, men god API-styring giver også mulighed for bedre beslutningstagning vedrørende API-programmer og forbedrer processer omkring opbygning, implementering og forbrug af API'er. Dette er endnu vigtigere i stærkt regulerede industrier, såsom finans, for at sikre overholdelse af regler, såsom Open Banking Implementation Entity (OBIE)'s
    Åbne bankstandarder    .

  3. Synlighed over det fulde skema for hver API: Dette skal også inkludere alle de data, der flyder gennem dem. Med synlighed i skemaer kan virksomheder definere forventet brug af API-endepunkter og derefter sammenligne med en basislinje for normal adfærd, hvilket gør det nemmere at identificere og undersøge uregelmæssigheder. Dette er tæt forbundet med god API-styring, da det involverer at forstå den underliggende nyttelast og sikre, at den også er beskyttet. 

For at disse sikkerhedsfunktioner skal være effektive, har virksomheder brug for, at de fungerer problemfrit på tværs af ældre, hybride og cloud-native miljøer. Hvis ikke, vil API-beskyttelse forblive fragmenteret. Som en konsekvens vil API'er blive efterladt ubevogtet, og potentielt følsom trafik vil forblive uovervåget. 

At tage føringen

På grund af de strenge regler, der dækker finansielle institutioner, har industrien længe været førende, når det kommer til cybersikkerhed, hvor mange virksomheder er tidlige brugere af nye teknologier for at forbedre databeskyttelse eller applikationssikkerhed. Nu, på grund af væksten i Open Banking og andre digitale transformationsinitiativer, er shadow API'er blevet endnu en udfordring, de skal håndtere. 

Stærk API-beskyttelse er et kompliceret problem. Men ved at fokusere på at sikre fuld synlighed af hver API på tværs af alle miljøer, kortlægge skemaet og den underliggende nyttelast for hver og implementere god forvaltningspraksis, kan organisationer høste fordelene ved Open Banking, mens de beskytter sig selv og deres kunder.

Tidsstempel:

Mere fra Fintextra