解决方案概述

F5 分布式云安全解决方案,实现符合 PSD2 标准的强客户身份验证

分布式云服务可帮助您提供顺畅的强大客户身份验证和安全性,从而降低第三方支付提供商的风险、增强客户体验并符合欧盟银行业 PSD2 指令。

银行 ATM WIFI

金融服务数字化转型推动消费者保护成为关注焦点

每个行业都面临着增加收入、降低运营成本和损失的压力。 在金融服务行业,开放银行的兴起以及聚合器为消费者提供的好处正在推动数字化转型。 虽然这些创新改善了客户体验,但同时也增加了可能被欺诈者攻击的攻击面。 为了解决这个问题,欧洲银行管理局 (EBA) 发布了《支付服务指令 2》(PSD2),通过跨银行、聚合器和其他金融服务提供商的强客户身份验证 (SCA) 来保护消费者。 具体而言,该指令第 4 条第 30 款提到需要“强客户身份验证” ,其定义如下:

基于使用两个或多个元素进行的身份验证,这些元素被归类为知识(只有用户知道的东西,例如密码、PINS、密码短语、记住的滑动路径、对质询的响应)、拥有物(只有用户拥有的东西,例如硬件或软件令牌生成器、SMS 文本、OTP)和固有性(用户本身的东西,例如生物识别、静脉识别、语音识别、击键分析、心率),这些元素是独立的,因为其中一个元素的泄露不会损害其他元素的可靠性,并且以保护认证数据的机密性的方式设计。

随着网络犯罪分子不断适应并试图领先于法规,重要的是确保消费者的安全,而不会在访问和使用应用和 API 时产生摩擦。 

多因素身份验证 PSD2 误区: MFA/2FA 够用吗?

从 PSD2 可以清楚地看出,EBA 需要强大的客户身份验证。 此外,必须允许聚合商和第三方支付提供商 (TPP) 访问客户的账户。 EBA 概述了实现合规性需要做的事情——基于使用两个或多个被归类为知识、占有和固有的要素进行身份验证。 虽然 PSD2 没有明确提及多因素身份验证或 2FA,但这些做法已经成为企业使用的两种最流行的身份验证方法的代名词:一次性密码 (OTP) 和短消息服务 (SMS)。 支付服务提供商必须确保支付服务用户在身份验证的所有阶段使用的个性化安全凭证和身份验证码的机密性和完整性。 然而,以明文形式传递的短信本身存在已知的漏洞(例如,旨在从用户设备窃取短信的移动恶意软件) 。 此外, Kr3pto等复杂的网络钓鱼工具包使经验丰富的威胁行为者能够实时拦截一次性密码。 根据这一证据,仅依赖 OTP 和 SMS 的企业实际上引入了安全风险,并有可能暴露其客户的账户。 分布式云服务利用 AI、机器学习和其他技术提供实时应用保护,从而增强了 SCA 要求。 

F5 分布式云平台如何提供无摩擦、符合 PSD2 要求的客户身份验证

F5 分布式云平台在安全、欺诈和身份功能方面提供严格的跨功能分析。 使用所有三个安全的身份验证元素(知识、所有权、继承)可以实现更高的保真度和更大的灵活性。 欧洲银行管理局承认“固有要素”是身份验证最令人兴奋和最具进步性的领域。 分布式云服务通过提供全面且易于操作的 Web、移动和 API 保护,帮助金融服务组织满足 PSD2 要求。 分布式云平台通过观察和学习每次交互来自动缓解不断演变的攻击。 我们来看下面的示例场景:

F5深度客户身份验证实践(三要素验证)

  • 步骤 1: 用户接近在线财产或应用。
  • 第 2 步: 用户名可以输入也可以预先填充(请注意,用户名本身并不是知识元素)
  • 步骤3: 用户输入密码或 PIN(合规知识元素
  • 步骤4: 分布式云机器人防御通过被动生物识别技术(例如设备 ID 遥测收集)执行运行时占有元素验证
  • 步骤5: 分布式云机器人防御通过行为生物识别技术执行运行时固有元素验证
  • 步骤6: 用户经过验证并顺利完成汇款。

分布式云服务通过实时行为、跨功能分析对 OTP 和 SMS 2FA 进行补充,根据 PSD2 的所有三个强客户身份验证要素对用户进行集体身份验证,实现合规性、提高安全性并消除用户摩擦。

安全团队需要了解有关第三方提供商和聚合器的知识

PSD2 通过要求金融机构向第三方提供商 (TPP) 授予客户数据访问权限来鼓励创新和开放银行业务。 TPP应用通过 API 连接到金融机构,以汇总数据并提供单一窗格可见性。 例如,他们可能会整合客户的银行余额、交易以及各个账户的资料。 应用程序和 API 安全对于降低用户信息风险和防止欺诈并满足客户期望至关重要。 以下是聚合器带来的威胁风险的几个例子:

聚合器冒充攻击
与信息来源有工作关系的聚合器通常被允许访问该机构的服务。 攻击者利用这种关系,通过针对聚合器而不是直接针对机构的撞库攻击来验证账户。

账户接管
金融聚合机构存储客户银行凭证(用户名和密码)以及长达 90 天的账户数据,这使得它们成为攻击者的诱人目标。 攻击者可以利用用户启用的金融科技应用窃取账户余额以及访问其他在线支付系统。

不可预测的流量负载峰值
聚合器占金融机构账户查询的很大一部分,每天向金融机构轮询更新消费者账户的信息多达数万次。 如果将这一数字乘以数千名客户,金融机构就不得不增加容量来处理聚合器流量。

屏幕抓取
消费者愿意向金融科技聚合商提供他们的凭证,而金融科技聚合商则使用自动化工具从金融机构的应用中抓取和抓取消费者的数据。 虽然这些数据的汇总可能会为消费者带来一些直接可感知的利益,但一些汇总器访问这些数据的方式可能违反数据合规性规定,并最终可能使消费者的数据面临欺诈风险。

F5 分布式云服务如何帮助金融机构管理聚合器

F5 提供可视性和控制力,帮助金融机构管理聚合器并防御攻击。 客户可以通过自己选择的应用程序随时随地完全访问自己的数据,同时还能防止撞库攻击和帐户接管 (ATO) 风险。

身份验证可见性
分布式云机器人防御会看到每一次登录尝试,并将流量标记为人工、自动或聚合器。 F5 可以阻止针对金融机构网络和移动资产的攻击,还可以检测攻击者何时通过聚合器进行账户验证撞库攻击。

入职协助
分布式云聚合器管理鼓励聚合器不再存储用户财务凭证,而是转向其来源金融机构支持的 API。 F5 与金融机构和聚合商合作实现这一转变。

最小权限访问
当使用 API 时,分布式云服务可以仅强制执行聚合器所需的权限,从而减少威胁面。 例如,可以强制事务只读访问,或者只摘要信息。

异常检测
分布式云服务帮助金融机构和聚合器进行异常检测。 F5 对每个攻击者框架(包括无头浏览器和手动攻击欺诈)进行指纹识别,并可以阻止或警告聚合器和金融机构。

与 F5 合作应对高级网络安全威胁
F5 分布式云服务在一个集成平台上提供一流的应用安全和欺诈预防解决方案。 F5 利用人工智能的精准度来实时准确检测攻击流量以及检测和消除欺诈行为。