第三方 API 的使用正在彻底改变客户与金融机构互动的方式。
但是,生成的大量 API 调用除了会增加遗留环境中的成本外,还会导致安全问题。 此外,确保遵守严格的法规(例如针对电子支付服务的欧洲 PSD2(支付服务指令 2)指令)变得越来越具有挑战性。
拥抱全球开放银行增长机遇
开放银行已经为 API 创新做好了准备。 了解成功的 8 大要素。
毫无疑问,如果没有高度的安全效力就不可能开展开放银行业务,但许多银行和金融服务机构都在担心他们当前的安全解决方案是否已准备好应对开放银行业务日益增加的风险。 2020 年对 BFSI 公司官员的调查强调了这一担忧。 当被要求对“与 API 集成之前要考虑的四个最重要的因素”进行排名时,安全性(71.0%)位居榜首。2
API 攻击的兴起及其对开放银行安全的影响
金融服务数据是网络攻击者最想获取的数据类型之一。 Gartner 预测,到 2022 年,API 滥用将成为针对企业 Webapplications最常见的攻击媒介,并导致数据泄露。 这就是为什么保护 API 以及applications和其中的数据比以往任何时候都更加重要——同时又不阻碍创新。
如何正确地保护 API?
F5 实验室进行的研究表明,API 极易受到网络攻击。 OWASP 甚至有一个针对 API 的十大漏洞列表,因为用他们的话来说,“没有安全的 API,快速创新就是不可能的。” 最常见的问题是 API 端点前完全缺乏身份验证,其次是身份验证中断和授权中断。
O'Reilly Media Webapplication安全电子书
此本 O’Reilly Media 电子书由 F5 提供,其中包含实用的安全提示,可为您的公司节省数百万美元的数据泄露损失,并为您的开发和安全团队提供了可以立即使用的建议。
开放银行监管挑战源于安全
虽然美国尚未在开放银行领域经历监管干预,但世界其他地区已经实施了此类举措。 在欧洲,欧盟颁布了第二支付服务指令(PSD2),要求银行创建机制(最常见的是 API),在客户同意的情况下向第三方提供商快速、安全、可靠地提供数据。 英国、加拿大、香港、日本、墨西哥和澳大利亚等其他国家同样也在推进开放银行标准。 应对监管挑战需要进行投资来降低可能导致高额罚款的合规风险。
Twimbit 的开放银行成熟度矩阵根据两个不同的标准(监管举措和市场举措)映射了 22 个主要国家的相对位置。
Twimbit 的全球开放银行信息图表系列
Twimbit 在 F5 的帮助下,研究了开放银行的世界——它的运作方式、可用的机遇、全球主要参与者、监管挑战等。
给开放银行业务带来压力的其他攻击媒介——OFX 和屏幕抓取
标准 API 并不是开放银行中唯一需要紧急关注的威胁面。 传统上,需要访问消费者数据的第三方和金融聚合商会利用两种机制:
- OFX(开放金融交换),最初是为了将消费者金融applications(例如 MS Money、Intuit QuickBooks)连接到用户的金融机构而建立的。
- 屏幕抓取,即消费者将其银行凭证提供给第三方,第三方登录并从金融服务网络渠道抓取该信息。
OFX 可以被用作攻击者进行大规模撞库攻击/账户验证和接管的渠道——既可以直接进行,也可以通过金融聚合器进行。
金融服务机构遭遇密码登录安全事故的比例最高,达到 46%。 其中, 5% 针对的是移动应用程序的 API , 4% 针对的是开放金融交换 (OFX) 接口。3
金融科技数据聚合器是金融服务领域一个令人兴奋的新兴领域。 它们为消费者带来更好的整体体验,甚至通过传统组织和金融科技的协同作用加强价值主张。
但随着金融服务中 API 使用的增加,它们也引入了安全漏洞,这可能会对应用性能产生负面影响。
向第三方提供屏幕抓取的凭据会将这些凭据暴露给第三方的安全状况。 这些机制没有为消费者提供细粒度的同意和对第三方可以访问哪些信息的控制,导致数十亿笔交易面临风险,并有可能导致代价高昂的安全漏洞
保护 FDX API 以保护开放银行中的数据
2022 年金融科技数据聚合器将如何影响金融服务
本电子书探讨了金融科技数据聚合器为金融服务提供的日益增长的价值,以及如何减轻它们带来的相关挑战。
开放 API 使银行能够与金融科技公司合作,打造新的、更好的数字体验。
这种做法也会产生安全问题。 在本光板课程中,您将了解正确的解决方案如何为开放银行计划提供安全性和效率。
观看视频
解释开放银行和 API 安全
您可以信赖的最佳开放银行安全解决方案
单独的 API 网关安全性对于暴露的 API 来说是远远不够的。 F5 的整体以 API 为中心的安全解决方案(包括高性能 API 网关)提供了 API 网关无法单独提供的 API 安全功效。 就像我们的 WAF 解决方案支持提取 OpenAPI/Swagger 文件以实现最精确的 API 安全控制。 此外,F5 安全解决方案对第三方提供商流量进行身份验证,这是欧盟 PSD2 的合规性要求,并且可以减轻通常与 OFX 和屏幕抓取相关的 API 欺诈和滥用以及其他非法机器人流量。
F5 开放银行安全有何独特之处?
无论基础设施如何,开放银行安全都是首要任务
F5 的开放银行安全解决方案可以有效地保护 API 及其用于托管的基础设施,而不受架构偏好的影响。 您永远不会受到任何单一环境的限制,无论是云托管还是内部部署基础设施。 我们的开放银行解决方案可扩展至未来,并支持安全且可扩展的 API 服务,满足您的所有财务需求。
开放银行方式在安全环境中增加客户价值
在寻找为其账户持有人创造新机会的方法时,非洲银行希望开放银行业务,但面临着安全性和允许始终可用的界面方面的挑战。 通过专注于构建微服务类型架构,他们能够最好地满足客户的需求。 他们的 API 驱动的开放银行方法为客户带来了额外收入和附加值。
详细了解
非洲银行客户故事
与欧洲的许多公司一样,希腊的一家公司也面临着新的 PSD2 要求,如果被发现不合规,将会被处以高额罚款。 他们向 F5 寻求解决方案。 借助 F5 BIG-IP APM(访问策略管理器),您的组织可以在访问您的 OpenBank API 之前对 TPP(第三方提供商)进行身份验证,并且可以将 QWAC(合格网站身份验证证书)转发到您的应用进行进一步处理,而无需对您的应用进行任何更改。
Pylones Hellas 利用 F5 的 APM 解决方案响应新的 PSD2 指令
想看看它是如何工作的吗?
了解如何使用 NGINX App Protect 保护开放银行 API 并防止 L7DoS 攻击。
[1] Allied Market Research,“预计到 2026 年全球开放银行市场规模将达到 431.52 亿美元”
[2] Postman,“ 2020 年 API 现状报告”
[3] F5 Labs,《 2021 年application保护报告》: 论赎金与救赎
免费试用
通过跨数据中心、云和架构的市场领先安全性保护您的applications和 API,无论它们在何处运行。 联系我们以了解有关开始免费试用的更多信息。
谢谢
我们收到了您的请求。 我们将尽快与您联系。