Az API-val való visszaélés rávilágít a nem biztonságos Open Banking megvalósítás veszélyeire (Andy Zollo)

Idén ünnepli az Open Banking ötödik évfordulóját az Egyesült Királyságban. A szabályozás tovább erősödik a fogyasztók körében. 2022 végén több mint

6.5 m rendszeres, aktív felhasználó és közel 250 szabályozott harmadik fél szolgáltató az Egyesült Királyságban, szemben a 338-cal az Európai Gazdasági Térség egészében. Az Open Banking számos előnnyel jár az ügyfelek és a vállalkozások számára, beleértve a nagyobb rugalmasságot és személyre szabást, a jobb pénzügyi integrációt, valamint az alacsonyabb költségeket és díjakat. Ezek az előnyök a fintech-nek nyújtott állami támogatással együtt hozzájárultak az Open Banking szolgáltatások növekedéséhez, és tovább erősítették a pénzügyi ágazatot a digitális átalakulás vezetőjévé. 

Az innovációk és az új digitális szolgáltatások vagy külső szolgáltatók bevezetése azonban folyamatosan bővíti a pénzintézetek támadási felületét. Ez a bővülő támadási felület, a bankok és más pénzügyi vállalatok birtokában lévő értékes adatokkal párosulva, nagyrészt annak tudható be, hogy 28-ben miért érte az összes kibertámadás több mint egynegyede (2022%) az iparágat – ez a duplája a következő legtöbb kibertámadásnak. megcélzott ágazat. 

A kutatók különösen azt találták, hogy az alkalmazásprogramozási felületeken (API-k) keresztül folyó nem felügyelt forgalom mennyisége az elmúlt évben 89%-kal megugrott. Az API-k alátámasztják az Open Banking teljes szerkezetét, és ennek a forgalomnak a nagy százaléka érzékeny információkat tartalmaz, ezért elengedhetetlen, hogy a bankok és a fintech-ek egyaránt kézbe vegyék ezt a forgalmat. Valójában, tekintettel az API-knak a digitális átalakulás gyakorlatilag minden aspektusában betöltött jelentőségére, az API-k felügyelet nélkülivé tétele a kiberbiztonsági egyenértékű a ketyegő időzített bomba figyelmen kívül hagyásával. 

Az alapok védelme

Az API-k azért fontosak a digitális szolgáltatások számára, mert lehetővé teszik a különböző alkalmazások számára az adatok megosztását és egymással „beszélgetést”. Lényeges, hogy az általuk kicserélt adatok gyakran háttéradatbázisokból származnak, ami azt jelenti, hogy az API-k a vállalatok legértékesebb eszközéhez – az adataikhoz – vezető útként működnek. Ma az Open Banking felelős kb

1 milliárd API-hívás az Egyesült Királyságban havonta – hatalmas mennyiségű digitális forgalom, amelynek nagy része rendkívül érzékeny ügyféladatokat tartalmaz – amelyek mindegyikét API-k teszik lehetővé.

A pénzintézetek számára veszélyt jelent, hogy ennek a forgalomnak közel egyharmada (30%) árnyék API-kon keresztül történik. Az Imperva Threat Research szerint az árnyék API-k vagy harmadik féltől származó API-k, amelyeket egy vállalat használ, de nem követ, vagy olyan belső API-k, amelyeket nem felügyelnek, elfelejtettek vagy más módon nem láthatók a biztonsági csapatok. Az árnyék API-k mindenféle problémát okozhatnak. Még ha nem is fedezik fel és nem élnek vissza rosszindulatú szereplők, irányítási problémákat okozhatnak, ha nem frissítik őket a szabályozási megfelelőség fenntartása érdekében. És ha felfedezik őket, a problémák sokkal súlyosabbak lehetnek. Mivel az API-k kapcsolódhatnak háttéradatbázisokhoz, ideális útvonalat jelentenek a hackerek számára az érzékeny információk kiszűrésére vagy a vállalati alkalmazások kompromittálására. A becslések szerint már most is minden 13. számítógépes incidens az API bizonytalanságával függ össze, így az árnyék API-k megléte jelentős biztonsági hibának számít, amelyet minden pénzügyi vállalkozásnak azonnal orvosolnia kell. 

Három lépés, hogy megbizonyosodjon a biztonságáról

Az árnyék API-k kiküszöbölése és az API-kkal való visszaélés megakadályozása három alapvető képességet igényel: 

1. Teljes láthatóság a szervezeten belül minden API felett: Tekintettel az API-k előállításának és módosításának sebességére, a kézi felderítés és osztályozás gyakorlatilag lehetetlen. Ehelyett a folyamat automatizálásával a pénzintézetek teljes API-leltárt készíthetnek, amelyet folyamatosan frissítenek, amikor változás történik a termelésben, így biztosítva a biztonsági csapatok láthatóságát a fejlesztők lelassítása nélkül. 

2. Jó kormányzás kialakítása az összes API esetében: Például az API-k használatára vonatkozó közös szabályok és biztonsági szabályzatok alkalmazása. Ez nemcsak időt és pénzt takarít meg a megnövekedett konzisztencia révén, hanem a jó API-irányítás az API-programokkal kapcsolatos jobb döntéshozatalt is lehetővé teszi, valamint javítja az API-k létrehozásával, telepítésével és felhasználásával kapcsolatos folyamatokat. Ez még fontosabb az erősen szabályozott iparágakban, például a pénzügyekben, hogy biztosítsák az olyan szabályozásoknak való megfelelést, mint az Open Banking Implementation Entity (OBIE)
   Nyílt banki szabványok.

3. Minden API teljes sémája látható: Ennek tartalmaznia kell a rajtuk keresztül áramló összes adatot is. A sémák áttekinthetőségével a vállalkozások meghatározhatják az API-végpontok várható használatát, majd összehasonlíthatják a normál viselkedés alapvonalával, megkönnyítve az anomáliák azonosítását és kivizsgálását. Ez szorosan összefügg a jó API-irányítással, mivel magában foglalja a mögöttes hasznos terhelés megértését és annak biztosítását, hogy ez is védett legyen. 

Ahhoz, hogy ezek a biztonsági képességek hatékonyak legyenek, a vállalkozásoknak szükségük van rájuk, hogy zökkenőmentesen működjenek a régi, hibrid és felhőalapú környezetekben. Ha nem, az API-védelem töredezett marad. Ennek eredményeként az API-k őrzés nélkül maradnak, és az esetlegesen érzékeny forgalom nem lesz megfigyelhető. 

Vezetni a vezetést

A pénzügyi intézményekre vonatkozó szigorú szabályozások miatt az iparág régóta vezető szerepet tölt be a kiberbiztonság terén, és sok vállalat korán alkalmazza az új technológiákat az adatvédelem vagy az alkalmazások biztonságának javítása érdekében. Most, az Open Banking és más digitális átalakulási kezdeményezések növekedése miatt az árnyék API-k újabb kihívásokká váltak, amelyekkel meg kell küzdeniük. 

Az erős API-védelem bonyolult probléma. Ha azonban az összes API teljes láthatóságának biztosítására összpontosít minden környezetben, feltérképezi a sémát és a mögöttes hasznos terhelést mindegyikhez, és bevezeti a helyes irányítási gyakorlatokat, a szervezetek kihasználhatják az Open Banking előnyeit, miközben megvédik magukat és ügyfeleiket.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.finextra.com/blogposting/23857/api-abuse-highlights-the-dangers-of-unsafe-open-banking-implementation?utm_medium=rssfinextra&utm_source=finextrablogs