網(wǎng)絡(luò)安全服務(wù)商N(yùn)oname Security公司首席信息安全官Karl Mattson：開放銀行計(jì)劃通過設(shè)計(jì)使開發(fā)商和金融科技公司社區(qū)能夠創(chuàng)新并滿足新的金融服務(wù)需求。開放式銀行API處理從賬戶狀態(tài)到資金轉(zhuǎn)賬，以及到密碼更改和賬戶服務(wù)的所有事情。能夠訪問這些服務(wù)的網(wǎng)絡(luò)攻擊者也將獲得對這些功能和敏感客戶數(shù)據(jù)的訪問權(quán)限?？蛻簟①~戶和支付數(shù)據(jù)需要更高的精確度，以確保交易的完整性和數(shù)據(jù)的安全性。

隨著開放式API開發(fā)速度的加快，安全風(fēng)險(xiǎn)也越來越高。即使是治理良好、高度安全的企業(yè)也面臨著巨大的壓力，需要跟上變化的步伐，并應(yīng)對API威脅。

此外，許多企業(yè)采用由多個(gè)客戶共享的第三方API代碼，其中可能包含漏洞。研究表明，第三方API代碼為網(wǎng)絡(luò)攻擊者在多個(gè)企業(yè)中重復(fù)使用針對第三方代碼的網(wǎng)絡(luò)攻擊提供了重要機(jī)會。

除了推動API使用的開放式銀行業(yè)務(wù)之外，API已成為現(xiàn)代應(yīng)用程序開發(fā)的事實(shí)上的標(biāo)準(zhǔn)，企業(yè)經(jīng)常為各種目的部署數(shù)千個(gè)API。這些API之間的每個(gè)連接點(diǎn)都代表一個(gè)潛在的攻擊向量。面對如此大規(guī)模擴(kuò)展的攻擊面，許多企業(yè)(尤其是小企業(yè))由于缺乏資源而難以保護(hù)它們。

為什么開放銀行中的API是網(wǎng)絡(luò)犯罪分子的共同目標(biāo)?

Mattson：網(wǎng)絡(luò)犯罪分子將針對開放銀行中的API進(jìn)行攻擊，因?yàn)樗鼈兡軌蛑苯荧@取資金。再加上API攻擊成為當(dāng)今最常見和最有效的網(wǎng)絡(luò)攻擊形式之一的趨勢，這意味著開放銀行API面臨著特殊的風(fēng)險(xiǎn)。

雖然安裝API安全預(yù)防措施可以實(shí)現(xiàn)銀行應(yīng)用程序和金融科技公司之間的集成，但這些眾多的接觸點(diǎn)也是網(wǎng)絡(luò)犯罪分子利用的易受攻擊代碼的地方。因此，網(wǎng)絡(luò)犯罪分子被授權(quán)針對開放銀行的API也就不足為奇了，因?yàn)檎缛藗冏罱吹降哪菢?，API通常是不安全的，而成功破解它們的回報(bào)是直接的收益。

金融服務(wù)機(jī)構(gòu)可以做些什么來提高API的安全性?

Mattson：第一步是獲取所有API的完整清單，包括數(shù)據(jù)分類和配置詳細(xì)信息，以提供環(huán)境的整體視圖。如今，與保護(hù)API相關(guān)的主要挑戰(zhàn)之一是大多數(shù)企業(yè)都有數(shù)千個(gè)他們不知道的API——這些被稱之為影子API。API網(wǎng)關(guān)和WAF等現(xiàn)有基礎(chǔ)設(shè)施在不使用時(shí)無法解決API風(fēng)險(xiǎn)。對于高風(fēng)險(xiǎn)的開放式銀行API，誤差幅度為零。

憑借對所有API的狀態(tài)和配置的觀點(diǎn)，企業(yè)可以優(yōu)先關(guān)注最高風(fēng)險(xiǎn)。這首先要識別運(yùn)行時(shí)異常，或在過程中觀察到的濫用企圖。API非常適合行為分析模型，以識別每個(gè)API中的異常。

接下來，應(yīng)該在上游識別配置和漏洞，以便網(wǎng)絡(luò)和應(yīng)用程序團(tuán)隊(duì)快速解決——通過防火墻更改、API策略實(shí)施和其他應(yīng)用技術(shù)來降低API暴露的風(fēng)險(xiǎn)。

最后一步是在部署到生產(chǎn)之前和之后積極測試API以驗(yàn)證完整性，特別是隨著環(huán)境通過定期發(fā)送代碼或持續(xù)集成/持續(xù)交付(CI/CD)部署而發(fā)展。

消費(fèi)者可以信任開放銀行嗎?他們應(yīng)該注意什么?

Mattson：消費(fèi)者通過開放新的服務(wù)和利益來滿足他們的金融需求，從而從開放式銀行業(yè)務(wù)中受益。然而，消費(fèi)者在了解如何評估其個(gè)人信息的風(fēng)險(xiǎn)方面處于明顯劣勢。例如，銀行客戶可能對其金融機(jī)構(gòu)如何在后端提供這些服務(wù)幾乎沒有洞察力或控制力。

同樣，在評估新的金融科技服務(wù)產(chǎn)品是否真正安全時(shí)，消費(fèi)者需要考慮的數(shù)據(jù)點(diǎn)也很少。消費(fèi)者仍然在很大程度上依賴金融業(yè)監(jiān)管機(jī)構(gòu)的質(zhì)量監(jiān)督，并成為負(fù)責(zé)任的風(fēng)險(xiǎn)管理和數(shù)據(jù)保護(hù)的看門人。

如何在確保安全的同時(shí)擁抱創(chuàng)新?

Mattson：與傳統(tǒng)模式相比，開放式銀行創(chuàng)新不安全——但它確實(shí)顯著地加快了變革的步伐。即使API本身可以高度安全，不斷變化的環(huán)境都可能容易出現(xiàn)錯(cuò)誤和人為或技術(shù)錯(cuò)誤。網(wǎng)絡(luò)犯罪分子確實(shí)注意到了這一點(diǎn)。

API激增使安全團(tuán)隊(duì)難以有效地觀察和充分解決這些問題。快速創(chuàng)新迫使開發(fā)人員在尋求以更快的速度交付軟件時(shí)可能放棄安全性。跟上創(chuàng)新的需求已經(jīng)成為開發(fā)人員和網(wǎng)絡(luò)犯罪分子之間的競賽，這本身就會產(chǎn)生問題。