保护 FDX API 以保护开放银行中的数据

在最近的2021 年春季 FDX 全球峰会上，我作为代表 F5 的小组成员与来自 Cequence Security 和 Mastercard-Nudata 的其他小组成员一起参加了会议。 我们讨论了 FDX API 安全工作组的工作，该工作组将金融机构、聚合商和安全供应商聚集在一起，共同合作定义一个用于数据共享的安全和开放的银行标准。

金融数据交换（FDX）是一个非营利组织，专注于开发FDX API（application编程接口）标准，以创建通用的可互操作数据标准。 这使得消费者和企业能够可靠、安全地访问他们的财务数据，并为美国和加拿大的开放银行业务树立标杆。

开放银行为金融服务行业的更大创新和合作提供了一个激动人心的机会——为金融科技公司和其他授权第三方提供创新的机会，并利用消费者金融信息提供增值服务。 开放银行标准为消费者提供了同意并允许第三方对特定金融消费者数据（例如余额、交易）和功能（例如付款）进行安全的细粒度访问的能力。 第三方和金融科技公司可以提供令人兴奋的增值服务，其中包括：

• 将多个机构的账户/服务聚合到一个地方
• 付款启动
• 金融产品比较
• 提供该机构尚未提供的银行服务
• 根据财务数据提供决策/见解——例如身份验证、信用服务能力评估等。

F5 一直与全球金融服务客户密切合作，实施和保护开放银行 API。 F5 与 Twimbit 合作发布有关开放银行全球趋势的研究。

消费者财务信息的内在价值

消费者财务信息是一种在暗网市场上交易的商品，交易价格在 35 美元（对于余额较低的账户，可用作其他欺诈行为的骡子账户）到 150 美元以上（对于余额较大的账户）之间。 消费者金融信息交易价值相对较低，是因为被盗账户和凭证数量过多。 因此，对手利用自动化（API）来扩大其业务规模，交易数千个被盗账户；因此金融 API 已成为需要保护的主要威胁面。

攻击者专注于开放银行中的 API

近年来，针对金融服务业的网络犯罪分子开始将更多攻击重点放在应用编程接口（API）上。 应用已转向日益分布式和去中心化的模型，以API作为连接点。 F5 最新研究显示，API 安全事件的数量每年都在增长，过去两年中大部分 API 事件都与安全成熟度较低有关，而这往往是由于工具泛滥造成的。 负责多个应用的不同开发团队通常使用不同的工具集。 这意味着传统安全团队可能不拥有集中的控制点来实施安全措施。 这需要一套标准的工具来将正确的控制嵌入到 API 开发和管理流程中。

进化——OFX 和屏幕抓取

API 并不是唯一需要关注的威胁面。 传统上，需要访问消费者数据的第三方和金融聚合商会利用两种机制：

• OFX（开放金融交换）——最初是为了将消费者金融应用（例如 MS Money、Intuit QuickBooks）连接到用户的金融机构而建立的。
• 屏幕抓取——消费者将其银行凭证提供给第三方，第三方登录并从金融服务网络渠道抓取该信息。

OFX 可被用作攻击者进行大规模撞库攻击/账户验证和接管的渠道 - 既可以直接进行，也可以通过金融聚合器进行：

• F5 经常观察到 OFX 被攻击者用作进行大规模撞库攻击/帐户验证和接管的渠道——既直接进行，也通过金融聚合器进行。
• 向第三方提供屏幕抓取的凭证会将这些凭证暴露给第三方的安全态势。
• 这些机制没有为消费者提供细粒度的同意和对第三方可以访问的信息的控制，从而导致隐私侵犯。

OFX 已加入 FDX，并最终将合并为统一标准，这代表着实现安全控制现代化和应对过去的安全挑战的机会。 基于屏幕抓取的方法对于金融机构来说仍然是一个挑战。

提高安全性的建议

FDX 已发布全面的建议，说明应实施哪些控制措施以保护消费者账户信息和服务完整性免受威胁和风险。 这些控制包括：

• 软件安全——控制 OWASP 十大漏洞和其他软件漏洞——包括部署Web应用防火墙 (WAF)
• 网络和系统安全
• 运营安全
• 物理安全
• 业务连续性和灾难恢复
• 供应商安全
• authN/authZ 的设计模式，包括撞库攻击的控制
• 安全网关架构 (SGA) 的模式，包括嵌入到 API 网关中的 API 安全控制

最后， F5 开放银行解决方案指南提供了针对开放银行的 F5 解决方案的全面方法。