金融服务行业 API 安全：抵御风险并确保信任

降低风险并确保信任 执行摘要 在美国金融服务业快速发展的背景下，传统银行机构与新兴金融科技公司之间持续着一场微妙而至关重要的斗争。尽管开放式银行在全球范围内取得了显著增长，但美国在采用方面却落后，这主要是因为传统银行不愿意与金融科技公司合作。这种合作犹豫不决源于在未加密的网络中共享敏感银行信息所带来的实际欺诈风险。 美国金融部门迫切需要从屏幕抓取技术转向仅使用API的创新，并与全球开放银行整合的趋势相一致。当前的利用仅限于美国共有36个独特的API接口。与英国的196个和德国的80个相比，凸显了现有方法的不充分。 金融聚合器带来了重大挑战，一方面通过整合的金融数据吸引客户，另一方面同时带来网络安全风险。有必要转向安全的API，敦促金融机构提高对应用流量的理解和管理工作。北美金融机构必须优先考虑API安全，应对屏幕抓取的挑战，并采纳标准化实践以加强其网络安全防御。 金融科技公司为了应对感知到的风险，已将应用程序编程接口（APIs）视为安全高效交换消费者授权数据的关键。然而，美国银行基础设施中银行与第三方之间忠诚度推广有限，导致该行业依赖于不安全的屏幕抓取技术以及不协调的API景观。 APIs 的重要性日益增长。 APIs正在成为银行和金融技术日益重要的组成部分。如今，消费者更倾向于进行数字化银行交易，其中78%的美国人他们表示更愿意通过移动应用或网络浏览器进行银行业务。API在数字银行中扮演着关键角色，为客户访问银行产品提供无与伦比的便利性、速度和安全。API允许第三方应用连接到银行的工具、服务和宝贵资产，简化双方的连接流程。现在，客户可以享受广泛的金融服务，这改变了客户体验并推动金融业进入数字化时代。从简单的通信工具演变而来的API已经成为了互联网交通的支柱，支持各种应用。 API工作流聚合器 金融数据聚合器（FDAs）在金融服务行业中扮演着关键角色，通过安全地整合并从各种来源（如银行、信用卡公司和投资账户）提供客户的财务信息，从而为客户提供便利。这种聚合使得用户可以通过单一平台或应用程序全面了解自己的财务状况，简化了财务管理与规划流程。FDAs为顾客提供了便利和效率，已成为现代金融科技解决方案的不可或缺的一部分。 然而，FDA的兴起也带来了挑战，尤其是金融服务领域机器人流量的激增。被称为机器人的自动化软件程序越来越多地被网络犯罪分子用来针对FDA并利用其系统中的漏洞。这些恶意机器人试图 未经授权访问客户账户，提取敏感财务数据，并进行欺诈活动。大量机器人流量给FDA的基础设施造成了重大负担，导致性能问题、潜在的数据泄露以及对数据隐私和安全的担忧。随着机器人复杂性的持续进化，金融机构和FDA面临着一场不断进行的战斗，以有效检测和缓解这些攻击，同时确保 不间断为合法用户提供服务。在提供无缝客户体验和执行严格的安保措施之间取得合适的平衡，已经成为金融服务行业的首要挑战。合规性、客户信任以及金融机构的声誉都处于风口浪尖，这要求采取积极的措施，实施强有力的机器人检测和预防策略。 具体化聚合者策略 北美地区与API相关的威胁 监控滥用行为的缺失是一个关键问题，因为即使是看似完美的API也可能被利用。例如，滥用新账户凭证可能导致欺诈性账户创建或未经授权访问免费额度。API抓取对金融机构来说是一个重大风险，相当于现代数据泄露。这个过程通常低频且缓慢，给检测带来了挑战，并需要监控API的行为。 API滥用给金融机构带来了独特的挑战，这些挑战不仅超越了网络应用和API保护（WAAP），还包括在多样化的环境中发现API、确定风险态势、理解正常行为以及识别潜在的滥用。 金融领域的一个重大问题是缺乏对API生态系统的可见性和企业范围内的API库存。API网关，主要是为授权、认证和速率限制而设计，缺乏安全检测能力。 在通过WAAP产品和服务网关接受的API流量背景下，关于此类流量的监控问题应运而生。允许列表中的流量可以绕过WAAP或API网关的控制，可能导致配置不当的恶意API未经审查即暴露给互联网。内部东西向API流量也绕过了这些控制。API安全通过从任何WAAP或网关收集API活动数据并将其发送到集中式数据湖以便进行全面监控来解决这些挑战。它就像交通摄像头一样，记录所有API活动并执行行为分析以增强安全措施。 金融机构传统上专注于南北向（指挥与控制以及数据外泄）的流量，但APIs的区别在于它们通过向外暴露核心业务功能，消除了古典攻击链步骤的需求。由于API蔓延（包括影子API、僵尸API、遗留API、孤儿API和恶意API），识别和目录化API变得越来越复杂。机构必须根据业务影响、合规违规、行为监测以及严重滥用和犯罪活动缓解等方面，优先考虑重要API。 关键API安全风险 API 可能会受到各种安全风险的攻击，这些风险可能导致数据泄露、未授权访问和其他形式的滥用。关键 API 安全风险包括影子 API、易受攻击的 API、API 滥用、敏感信息过度分享以及凭证填充攻击。 • 阴影API在许多金融机构中，没有个人或团队负责管理所有API。这种监管缺失造成了重大的安全漏洞。在整个组织中发现和编目API对于治理和保障它们的安全至关重要。弥合开发人员和安全团队之间的差距，并检测其环境中的影子API至关重要。持续的发现使您能够了解新发现的API或现有API的变更，从而消除影子API。 • 易受攻击的API。一旦发现API，金融机构必须评估其风险态势并识别漏洞，尤其是对于携带敏感数据的那些。这一步骤对于有效地优先考虑安全工作至关重要。 • API滥用。随着数字化进程加速，北美地区网络攻击的数量持续上升。威胁行为者无休止地针对API，需要强有力的安全措施来阻止滥用和误用。 • 敏感信息的过度分享。现代应用程序常常过度共享敏感数据，这构成了 新的攻击向量。攻击者可以拦截流量并获取对敏感信息的未授权访问。 •凭证填充攻击。威胁行为者正在利用API针对金融机构进行自动化凭据填充攻击。 API安全挑战 API攻击的颠覆性影响 网络应用和API可用性的中断会对客户满意度和品牌忠诚度产生重大影响。随着以数字化为先导的方法的日益普及，API在金融机构成功中变得更加关键，特别是在被金融科技公司与传统银行采纳的开放银行背景下。 API攻击正在演变，当前的安全挑战包括对API库存缺乏可见性、破坏性API攻击的影响以及API流量的快速增长。 API库存 API流量快速增长 根据2023SANS调查API库存仍然是金融机构的一个关键问题。金融机构甚至可能并不了解其基础设施内所有的API，这造成了一个治理和安全的盲区。这种可见性的缺乏可能是导致API攻击往往被忽视和不报告的关键因素之一。确保API安全的第一步是全面发现和编目它们。 金融行业的API流量经历了快速增长，流量量级已增至三位数。这种增长对安全控制提出了挑战，要求其与不断演变的API相关威胁环境保持同步。 API攻击正在演变。 规范与安全 金融机构利用API和其他创新技术的力量，发现自己处于公共政策与金融稳定目标交汇的地方。API在提升客户体验方面的重要作用，使得它们成为现代金融服务环境中默认的连接和数据交换方式，并且在未来将继续如此。总体目标包括扩大金融选项范围、促进竞争和可及性增加，以及推动金融包容性。监管机构正努力拓宽金融服务范围，这将惠及个人和组织。 API安全中法规的作用 监管环境在塑造和保障金融行业API实践方面发挥着关键作用。美国消费者金融保护局拟议的规则体现了通过强制要求金融公司之间共享个人财务数据以实现免费访问，对促进竞争和消费者赋权的承诺。然而，缺乏全面的法规对美国开放银行的大规模采用构成了障碍。 被认可的标准，如开放式金融服务交换（OFX）和金融服务信息共享与分析中心（FS-ISAC）创建的金融服务数据交换（FDX），强调了在改进数据交换中结构化框架的重要性。像联邦金融机构监管机构办公室这样的监管机构在指导数据共享实践和确保金融数据的安全和完整方面扮演着关键角色。Akamai的解决方案作为一项关键使能器而出现，在遵守法规的同时同时解决API质量关注的问题。通过为金融机构提供评估专用API接口所需工具，Akamai既支持合规又支持金融行业的持续创新。 六步构建稳健的API安全策略 5. 优先考虑OWASP前10项控制措施 金融机构应优先考虑：开放全球应用程序安全项目（OWASP）顶级10 API安全风险为确保全面保护，这些控制措施涵盖了影响API的最关键漏洞和攻击向量。 防范基于API的攻击的策略，仅通过保护端点和检查凭证已不再足够。如今，一个健全的API安全策略必须包括以下六个步骤。 1. 与合作伙伴合作 金融机构及其安全合作伙伴必须通过协调人员、流程和技术，紧密合作，以建立对API安全风险的强大防御。这种合作包括开发团队、网络和安全运营团队、身份团队、风险管理人员、安全架构师和法律/合规团队。 发现和编目API 确保API安全的第一步是发现和编制组织中API的目录。此过程允许安全工程师了解攻击表面的范围和敏感信息的潜在暴露。 测试漏洞并评估风险 一旦发现API，金融机构必须进行漏洞测试和风险评估，以及时识别和解决漏洞。此过程应集成到API开发和升级周期中，以确保持续的安全性。 6. 从同行中学习 金融机构应该向同行业学习并分享最佳实践。加入FS-ISAC可以使金融机构利用他们的情报平台、资源以及专家间的可靠点对点网络，帮助预测、减轻并应对网络威胁。清楚地理解其他组织如何应对API安全性挑战，有助于提高整个行业的安保措施。 4. 实施行为检测 API保护是整体应用安全框架的关键组成部分。行为检测是防止易受攻击的API被利用的关键策略。这种方法涉及持续监控和分析API行为，以识别潜在威胁。 结论 在这个快速数字化转型和广泛采用API的时代——API旨在促进广泛软件、设备和数据源之间灵活、快速、成本效益高的集成——对金融机构而言，保护API至关重要。尽管如此，API安全涉及企业各种特性、功能和需求，是一项复杂的平衡任务。忽视API安全可能导致严重后果，包括网络攻击、数据泄露、违规监管以及损害机构声誉。 我们的数据表明，API功能是攻击者持续演变和调整其攻击方法时的主要目标之一。因此，API安全必须转向边缘，从您的基础设施转移到客户与您的数据和应用程序互动的数字触点附近。这一战略调整对于确保您的数字资产获得强大保护至关重要。 了解更多关于Akamai for financial services.或联系您的Akamai 联系方式进一步讨论此话题及其如何适用于贵组织。 Akamai通过帮助将安全性嵌入到您所创造的每一项内容中，保护您的客户体验、员工队伍、系统和数据——无论在何地。您构建它，并在任何地方交付它。我们的平台对全球威胁的可见性帮助我们适应并演变您的安全态势——以实现零信任，阻止勒索软件，保护应用程序和API，或抵御DDoS攻击——让您有信心持续创新、扩展和transform what’s possible. Learn more about Akamai’s cloud computing, security, and content delivery solutions atakamai.com和akamai.com/blog或关注Akamai TechnologiesX, 之前称为Twitter，和领英（LinkedIn）. 发布于 03/24.