API Security in Open Banking Ecosystems

在欧洲数字时代平衡创新与安全 执行摘要 2023年，欧洲、中东和非洲（EMEA）的银行实现了显著的盈利能力，并且预计将继续如此。持续到下一年。应用程序编程接口（APIs），占所有网络流量的31%，在这一增长中发挥了关键作用，促进了各种服务的发展，如银行交易、远程支票存款、GPS辅助自动柜员机位置以及第三方服务。然而，APIs的快速采用扩大了网络威胁的领域，促使金融机构投入大量资金用于网络安全。 分享客户授权的账户数据，并铺就更广泛“开放金融”解决方案的道路。这些开放金融解决方案的核心在于API。 EMEA金融服务业正在进行的数字化转型，由API驱动，展示了该行业的适应性和满足不断变化客户需求的承诺。然而，随着这一转型的展开，保持警惕对于加强网络安全、解决漏洞以及确保数字创新的益处战胜持续存在的网络攻击威胁至关重要。麦肯锡报告指出，大型银行计划将14%的预算分配给API项目，这反映了API使用量的激增，并促使大幅增加网络安全投资。金融机构现在优先考虑保护内部系统、保护客户数据和资产，强调对威胁检测、应对策略和协作的重视，以有效应对网络风险。 欧盟修订的支付服务指令（PSD2）和预期的PSD3在传统银行与金融科技公司间的数据交换中发挥了关键作用。监管技术标准(RTS) 强化安全的API使用，融合强大的客户身份验证（SCA）以及通用的和安全的开放通信标准（SCA-RTS）。尽管PSD2主要关注支付领域，但它推动了英国“开放银行”这一术语的发展，强调了对以下内容的重视： APIs 的重要性日益增长。 欧洲、中东和非洲地区正在经历一场基于提供更高效和定制化服务及产品的愿望而引发的数字革命。APIs在其中扮演着关键角色，为访问银行产品的客户提供无与伦比的便利、速度和安全。APIs允许第三方应用与银行的工具、服务和宝贵资产连接，简化了双方的连接过程。现在，客户可以享受广泛的金融活动，这已经改变了客户体验，并将金融行业推进到数字时代。从简单的通信工具演变而来，APIs已成为互联网交通的支柱，支持各种应用。 根据联合市场研究2020年，欧洲开放银行市场规模达到61.4亿美元，预计到2030年将增长至483.0亿美元，从2021年到2030年复合年增长率为23.18%。由柏林的TESOBE领导的“开放银行项目”加速了这一采用。全球范围内与超过40家银行合作，该开放银行项目通过开放API和应用商店使银行能够为客户提供服务。在法国，围绕由Systèmes technologiques d’échange et de traitement（STET）结算所提供的STET API的整合正在帮助开放银行支付的实施。API在全球欧洲、中东和非洲及全球范围内的快速金融版图中扮演着前沿角色。 与EMEA地区相关的API威胁 金融服务行业在EMEA地区成为第三大受攻击的领域；2022年1月至2023年6月期间，几乎10%的网络应用和API攻击都针对该行业。这相当于EMEA行业所有11亿网络攻击中的10亿，这表明 从2022年第二季度到2023年第二季度，同比增长了119%。进一步分析发现，英国以59.2%的网络应用攻击比例领先，年同比增长率最高，达到79%，其次是荷兰，占比16.2%，然后是德国，占比10.7%。 关键API安全风险 API可能容易受到各种安全风险的影响，这可能导致数据泄露、未经授权的访问和其他形式的滥用。关键API安全风险包括影子API、易受攻击的API、API滥用、敏感信息过度共享以及凭据填充攻击。 •阴影APIs在许多金融机构中，没有个人或团队能够管理所有API。这种监管缺失造成了巨大的安全漏洞。发现并归档组织内的API对于其治理和安全至关重要。弥合开发人员与安全团队之间的差距并检测其环境中的影子API非常重要。持续的发现可以让你了解新发现的API或对现有API的更改，从而消除影子API。 •易受攻击的API。一旦API被发现，金融机构必须评估其风险态势并确定漏洞，尤其是那些承载敏感数据的API。此步骤对于有效优先考虑安全努力至关重要。 •API滥用。随着数字化加速，EMEA地区的网络攻击数量持续上升。威胁行为者不断针对API，需要强大的安全措施来阻止滥用和误用。 •过度分享敏感信息。现代应用常常过度共享敏感数据，这构成了一种新的攻击向量。攻击者可以拦截流量并获取对敏感信息的非授权访问。 •凭证填充攻击。威胁行为者正在利用API针对金融机构进行自动化凭据填充攻击。 API安全挑战 API攻击的颠覆性影响 网络应用程序和API可用性的中断可能对客户满意度和品牌忠诚度产生重大影响。随着“数字优先”方法的日益普及，API对于金融机构的成功变得更为关键，尤其是在开放银行这一被金融科技公司与传统银行接纳的背景下。 API库存 根据最近SANS调查API库存仍然是金融机构的一个关键问题。金融机构甚至可能没有意识到其基础设施中所有的API，从而在治理和安全方面形成了一个盲点。这种缺乏可见性可能是导致API攻击往往未被发现和报告的关键因素之一。确保API安全的第一步是全面发现和编制它们的目录。 API流量快速增长 金融行业的API流量经历了快速增长，流量量级增加至三位数。这种增长对安全控制提出了挑战，需要跟上与API相关威胁不断变化的格局。 API攻击正在演变。 规范与安全 金融机构利用API和其他创新技术，发现自己处于公共政策与金融稳定目标交汇点。API在提高客户成果中的重要作用使得它们成为现代金融服务环境中默认的连接和数据交换方式，未来也将如此。总体目标是扩大金融选项的范围，促进竞争和可及性的增加，以及推动金融包容性。EMEA地区的监管机构正在努力扩大金融服务范围，这将惠及个人和组织。 API安全中法规的作用 法规如PSD2（以及不久的将来PSD3）通过规定传统金融机构与外部实体共享数据，优先考虑最终用户的数据、隐私和安全，来促进透明度。金融机构必须遵守这些法规，同时积极追求创新。 虽然法规促进了数据共享，但它们也规定了组织如何存储和保护数据。金融机构需要一位技术合作伙伴，以确保符合监管要求而不妨碍创新。这样的合作伙伴应解决关于API质量的担忧，并为监管部门提供评估银行和其他金融机构专用API接口的工具。 根据：欧洲银行管理局从实施PSD2中获得的经验突显了单一API标准的缺失，导致欧盟范围内API解决方案的多样性。这对第三方服务提供商构成了重大挑战，需要投入大量努力连接到不同的账户服务支付服务提供商的API，并适应不断演变的API。预期PSD3将纳入从PSD2中学到的经验。 六步构建稳健的API安全策略 5. 优先考虑OWASP前10项安全控制措施 金融机构应优先考虑以下内容：开放式全球应用程序安全项目（OWASP）顶级10 API安全风险为确保全面保护，这些控制涵盖了影响API的最关键漏洞和攻击向量。 防止基于API的攻击的策略，仅通过保护端点和检查凭证已不再足够。今天，一个稳健的API安全策略必须包括以下六个步骤。 1. 与合作伙伴合作 金融机构及其安全合作伙伴必须通过协调人员、流程和技术，紧密合作，以建立一个强大的防御机制来对抗API安全风险。这种合作包括开发团队、网络和安全运营团队、身份团队、风险管理员、安全架构师和法律/合规团队。 发现和编纂API 确保API安全的第一步是发现和在整个组织中对它们进行编目。这个过程使安全工程师能够了解攻击面的范围和敏感信息潜在的暴露。 测试漏洞并评估风险 一旦API被发现，金融机构必须进行漏洞测试和风险评估，以便及时识别和解决漏洞。此过程应整合到API开发和升级周期中，以确保持续的安全性。 6. 从同行中学习 金融机构应向其同行学习并分享最佳实践。加入金融服务信息共享与分析中心（FS-ISAC）使金融机构能够利用其情报平台、资源和专家的信任的点到点网络，以帮助预测、减轻和应对网络威胁。清楚地了解其他组织如何解决API安全挑战，有助于提高整个行业的安全措施。 4. 实施行为检测 API保护是整体应用安全框架的关键组成部分。行为检测是防止易受攻击的API被利用的关键策略。这种方法涉及对API行为的持续监控和分析，以识别潜在的威胁。 结论 在这个快速数字转型和API广泛应用的时代——这些API旨在促进广泛的软件、设备和数据源之间灵活、迅速且成本效益高的集成——对于EMEA地区的金融机构而言，保护API至关重要。尽管如此，API安全涉及到业务的各种功能、功能和需求，因此是一个复杂的平衡游戏。忽视API安全可能导致严重后果，包括网络攻击、数据泄露、违规监管以及损害机构的声誉。 我们的数据显示，API功能是持续发展和适应攻击方法的威胁行为者的主要目标之一。因此，API安全必须向边缘转移，远离组织的基础设施，更靠近客户与数据和应用程序互动的数字接触点。这种战略调整对于确保您的数字资产得到强大保护至关重要。 了解更多关于Akamai for financial services.或联系您的Akamai 联系方式进一步讨论此话题及其适用于贵组织的应用。 Akamai通过将安全嵌入到您创建的每一件事中，保护您的客户体验、劳动力、系统和数据——无论在何处。您构建它，并将它交付到世界各地。我们的平台对全球威胁的洞察力帮助我们适应并进化您的安全态势——以实现零信任、阻止勒索软件、保护应用程序和API，或抵御DDoS攻击——让您有信心持续创新、扩展和transform what’s possible. Learn more about Akamai’s cloud computing, security, and content delivery solutions atakamai.com和akamai.com/blog或关注Akamai TechnologiesX, 之前称为Twitter，和领英（LinkedIn）. 发布于01/24.