在最近的2021 年春季 FDX 全球峰会上,我作为代表 F5 的小组成员与来自 Cequence Security 和 Mastercard-Nudata 的其他小组成员一起参加了会议。 我们讨论了 FDX API 安全工作组的工作,该工作组将金融机构、聚合商和安全供应商聚集在一起,共同合作定义一个用于数据共享的安全和开放的银行标准。
金融数据交换(FDX)是一个非营利组织,专注于开发FDX API(application编程接口)标准,以创建通用的可互操作数据标准。 这使得消费者和企业能够可靠、安全地访问他们的财务数据,并为美国和加拿大的开放银行业务树立标杆。
开放银行为金融服务行业的更大创新和合作提供了一个激动人心的机会——为金融科技公司和其他授权第三方提供创新的机会,并利用消费者金融信息提供增值服务。 开放银行标准为消费者提供了同意并允许第三方对特定金融消费者数据(例如余额、交易)和功能(例如付款)进行安全的细粒度访问的能力。 第三方和金融科技公司可以提供令人兴奋的增值服务,其中包括:
F5 一直与全球金融服务客户密切合作,实施和保护开放银行 API。 F5 与 Twimbit 合作发布有关开放银行全球趋势的研究。
消费者财务信息是一种在暗网市场上交易的商品,交易价格在 35 美元(对于余额较低的账户,可用作其他欺诈行为的骡子账户)到 150 美元以上(对于余额较大的账户)之间。 消费者金融信息交易价值相对较低,是因为被盗账户和凭证数量过多。 因此,对手利用自动化(API)来扩大其业务规模,交易数千个被盗账户;因此金融 API 已成为需要保护的主要威胁面。
近年来,针对金融服务业的网络犯罪分子开始将更多攻击重点放在应用编程接口(API)上。 应用已转向日益分布式和去中心化的模型,以API作为连接点。 F5 最新研究显示,API 安全事件的数量每年都在增长,过去两年中大部分 API 事件都与安全成熟度较低有关,而这往往是由于工具泛滥造成的。 负责多个应用的不同开发团队通常使用不同的工具集。 这意味着传统安全团队可能不拥有集中的控制点来实施安全措施。 这需要一套标准的工具来将正确的控制嵌入到 API 开发和管理流程中。
API 并不是唯一需要关注的威胁面。 传统上,需要访问消费者数据的第三方和金融聚合商会利用两种机制:
OFX 可被用作攻击者进行大规模撞库攻击/账户验证和接管的渠道 - 既可以直接进行,也可以通过金融聚合器进行:
OFX 已加入 FDX,并最终将合并为统一标准,这代表着实现安全控制现代化和应对过去的安全挑战的机会。 基于屏幕抓取的方法对于金融机构来说仍然是一个挑战。
FDX 已发布全面的建议,说明应实施哪些控制措施以保护消费者账户信息和服务完整性免受威胁和风险。 这些控制包括:
最后, F5 开放银行解决方案指南提供了针对开放银行的 F5 解决方案的全面方法。
特别感谢为本文做出贡献的金融服务团队成员: Benn Alp、Chad Davis 和 Andy Franklin。