2025年保障开放金融： 金融机构的重要见解

API 是开放金融的核心。 它们促进银行、金融科技公司和第三方应用程序之间的金融数据共享，使消费者能够轻松访问创新服务。 然而，由于 API 是敏感系统的“前门”，因此也是攻击者的主要目标。

主要威胁：

• 保护不足的 API 可能会让攻击者拦截或窃取敏感数据。
• 注入攻击、破坏的对象级授权 (BOLA) 或不正确的身份验证等漏洞可能会允许未经授权的方访问客户帐户或金融系统。

摩根大通网站最近发布了一篇科技博客，题为《致第三方供应商的公开信》 ，该公司的首席信息安全官在博客中表示：“我们正处于一个关键时刻。 供应商必须紧急重新确定安全性的优先顺序，将其置于推出新产品同等甚至更高的位置。” CISO 所说的这些第三方提供商（TPP）网络正是开放金融所依赖的。 虽然TPP与金融机构之间的这些合作与伙伴关系推动了创新，但也为攻击者创造了额外的切入点。 单个合作伙伴系统中的一个安全漏洞——无论多小——都可能危及整个生态系统。

目前，许多金融机构在其网站上发布警示声明，建议消费者谨慎使用聚合器等 TPP，因为存在潜在的相关风险。 这些警告提醒消费者，共享他们的凭证违反了协议条款，金融机构不会对因共享凭证而造成的任何损害负责。

主要威胁：

• 审查不充分或不符合合规标准的供应商可能会引入漏洞，使用户容易受到系统内的攻击。
• 授予第三方开发人员的过度权限访问可能会暴露敏感的财务数据或功能。

跨多个平台共享敏感的消费者信息（例如金融交易历史和账户余额）是开放金融的基本要求。 虽然这种数据共享为新服务提供了支持，但也增加了违规和滥用等威胁的风险。 此外，消费者期望获得更高的数据隐私保护，并遵守欧盟通用数据保护条例 (GDPR)、支付服务指令 2 (PSD2) 等法规，以及金融数据交换 (FDX)等强大的开放金融相关 API 标准。

主要威胁：

• 由于加密不足或共享不当而导致的数据泄露。
• 未能保护消费者隐私而造成的法律和声誉损失。

由于 API 是开放金融的核心，因此保护它们应该是重中之重。 保护 API 可确保金融服务机构、第三方和最终用户之间的连接的完整性。

加强 API 安全性的可行步骤包括：

• 严格的身份验证策略： 使用开放身份验证的行业标准，例如 OAuth2.0、相互 TLS 或其他强协议来验证 API 用户并防止未授权访问。
• 实时监控： 使用解决方案在不规则 API 活动或潜在滥用升级之前识别它们。 考虑基于代码和基于流量的发现和检查以及外部攻击面评估（域扫描）的解决方案。
• 简化治理： 采用有助于 API 库存管理的解决方案，例如轻松地将新发现的 API 添加到库存中。 此外，结合 API 合规性分析并通过自动警报更好地跟踪合规性态势变化。
• 加密标准： 所有 API 流量都应使用 TLS 1.3 等协议加密，以确保数据在传输过程中的安全。
• 定期测试： 执行常规渗透测试以识别并修复 API 架构中的漏洞。 考虑在运行之前提供 API 测试的解决方案。

洞察力： API 可能促进开放金融背后的创新，但它们也提供了最大的开发机会。 像对待任何关键数字产品一样对待 API：持续监控、保护和优化它们。 考虑包含全面运行时保护的解决方案，例如 WAF、API 保护规则、速率限制和数据保护。

开放金融的第三方性质要求金融机构与与其系统和数据交互的供应商和开发商合作。 确保这些合作关系的安全对于降低整体风险至关重要。

确保第三方关系的可行步骤包括：

• 严格审查： 在引入金融科技合作伙伴或第三方供应商之前，进行全面的尽职调查。 评估他们的安全协议、合规历史和技术认证。
• 实时监控： 采用监控 API 生态系统中的第三方活动的工具，标记未经授权的操作或异常行为。
• 细粒度的访问控制： 将第三方限制在其功能所需的“最低必要”数据和访问级别，以降低过度许可的风险。
• 合同担保条款： 通过明确的合同协议来加强合作伙伴关系，这些协议要求定期审计、违规责任追究以及遵守安全标准。

洞察力： 您的开放金融生态系统的安全性取决于其最薄弱的环节——在许多情况下，这个最薄弱的环节是第三方合作伙伴。 对所有供应商关系应用“信任但要核实”框架。