L'abuso delle API evidenzia i pericoli dell'implementazione non sicura dell'Open Banking (Andy Zollo)

Quest'anno ricorre il quinto anniversario dell'Open Banking nel Regno Unito. Il regolamento continua a guadagnare slancio tra i consumatori. Alla fine del 2022, erano più di

6.5 milioni di utenti regolari e attivi e quasi 250 fornitori di terze parti regolamentati nel Regno Unito, rispetto ai 338 nell'intero Spazio economico europeo. L'Open Banking ha creato una serie di vantaggi sia per i clienti che per le imprese, tra cui una maggiore flessibilità e personalizzazione, una migliore inclusione finanziaria e minori costi e commissioni. Questi vantaggi, insieme al sostegno del governo per le fintech, sono stati fondamentali per la crescita dei servizi di Open Banking e hanno ulteriormente consolidato il settore finanziario come leader nella trasformazione digitale. 

Tuttavia, le innovazioni e l'adozione di nuovi servizi digitali o fornitori di terze parti ampliano continuamente la superficie di attacco per gli istituti finanziari. Questa superficie di attacco in espansione, unita ai dati preziosi detenuti da banche e altre società finanziarie, spiega in gran parte il motivo per cui il settore è stato colpito da oltre un quarto di tutti gli attacchi informatici (28%) nel 2022, il doppio rispetto al numero successivo di attacchi informatici. settore mirato. 

In particolare, i ricercatori hanno scoperto che il volume del traffico non monitorato che scorre attraverso le API (Application Programming Interface) è salito alle stelle dell'89% nell'ultimo anno. Le API sono alla base dell'intera struttura dell'Open Banking e un'ampia percentuale di questo traffico contiene informazioni sensibili, quindi è essenziale che banche e fintech abbiano il controllo di questo traffico. Infatti, data l'importanza delle API per praticamente tutti gli aspetti della trasformazione digitale, consentire alle API di non essere monitorate è l'equivalente della sicurezza informatica di ignorare una bomba a orologeria. 

Salvaguardia delle fondamenta

Il motivo per cui le API sono così importanti per i servizi digitali è perché consentono a diverse applicazioni di condividere dati e "parlare" tra loro. Fondamentalmente, i dati che scambiano spesso provengono da database back-end, il che significa che le API funzionano come un percorso verso la risorsa più preziosa delle aziende: i loro dati. Oggi, l'Open Banking è responsabile di circa

1 miliardo di chiamate API nel Regno Unito al mese: un'enorme quantità di traffico digitale, gran parte del quale contiene informazioni altamente sensibili sui clienti, ognuna delle quali è resa possibile dalle API.

Il pericolo per gli istituti finanziari è che quasi un terzo (30%) di questo traffico passa attraverso le shadow API. Le Shadow API sono API di terze parti che un'azienda utilizza ma non tiene traccia o interne che non sono supervisionate, dimenticate o comunque al di fuori della visibilità dei team di sicurezza, secondo Imperva Threat Research. Le Shadow API possono causare tutti i tipi di problemi. Anche se non vengono scoperti e sfruttati da malintenzionati, possono causare problemi di governance se non vengono aggiornati per mantenere la conformità alle normative. E se vengono scoperti, i problemi possono essere molto più gravi. Poiché le API possono connettersi ai database back-end, rappresentano un percorso ideale per gli hacker per esfiltrare informazioni sensibili o compromettere le applicazioni aziendali. Già si stima che un incidente informatico su 13 sia correlato all'insicurezza delle API, quindi l'esistenza di API shadow rappresenta un difetto di sicurezza significativo che ogni azienda finanziaria dovrebbe cercare di affrontare immediatamente. 

Tre passaggi per assicurarti di essere al sicuro

L'eliminazione delle API shadow e la prevenzione dell'abuso delle API richiedono tre funzionalità principali: 

1. Piena visibilità su ogni API all'interno dell'organizzazione: Data la velocità con cui le API vengono prodotte e modificate, la scoperta e la classificazione manuale è praticamente impossibile. Invece, automatizzando il processo, gli istituti finanziari possono sviluppare un inventario API completo che viene continuamente aggiornato ogni volta che viene apportata una modifica nella produzione, fornendo visibilità ai team di sicurezza senza rallentare gli sviluppatori. 

2. Stabilire una buona governance per tutte le API: Ad esempio, l'applicazione di regole comuni e politiche di sicurezza per l'utilizzo delle API. Ciò non solo consente di risparmiare tempo e denaro grazie a una maggiore coerenza, ma una buona governance delle API consente anche un migliore processo decisionale relativo ai programmi API e migliora i processi di creazione, distribuzione e utilizzo delle API. Ciò è ancora più importante in settori fortemente regolamentati, come la finanza, per garantire la conformità a normative come l'Open Banking Implementation Entity (OBIE)
   Standard bancari aperti.

3. Visibilità sullo schema completo di ogni API: deve includere anche tutti i dati che li attraversano. Con la visibilità degli schemi, le aziende possono definire l'utilizzo previsto degli endpoint API, quindi confrontarlo con una linea di base di comportamento normale, semplificando l'identificazione e l'analisi delle anomalie. Ciò è strettamente correlato a una buona governance delle API in quanto implica la comprensione del payload sottostante e la garanzia che anche questo sia protetto. 

Affinché queste funzionalità di sicurezza siano efficaci, le aziende ne hanno bisogno per operare senza problemi in ambienti legacy, ibridi e cloud-native. In caso contrario, la protezione API rimarrà frammentata. Di conseguenza, le API rimarranno incustodite e il traffico potenzialmente sensibile non verrà monitorato. 

Prendere il comando

A causa delle rigide normative che riguardano gli istituti finanziari, il settore è stato a lungo un leader quando si tratta di sicurezza informatica e molte aziende sono state le prime ad adottare nuove tecnologie per migliorare la protezione dei dati o la sicurezza delle applicazioni. Ora, a causa della crescita dell'Open Banking e di altre iniziative di trasformazione digitale, le Shadow API sono diventate un'altra sfida da affrontare. 

Una forte protezione delle API è un problema complicato. Tuttavia, concentrandosi sull'assicurare la piena visibilità di ogni API in tutti gli ambienti, mappando lo schema e il payload sottostante per ciascuno e implementando buone pratiche di governance, le organizzazioni possono raccogliere i vantaggi dell'Open Banking proteggendo se stesse e i propri clienti.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.finextra.com/blogposting/23857/api-abuse-highlights-the-dangers-of-unsafe-open-banking-implementation?utm_medium=rssfinextra&utm_source=finextrablogs