بهترین شیوه های امنیت API برای محافظت از بانکداری باز

استفاده از بانکداری باز از زمان شروع آن در سال 2018 به شدت افزایش یافته است. اکنون، با بیش از پنج میلیون کاربر فعال، پذیرش سریع آن حاکی از تمایل مصرف کنندگان برای کنترل بهتر بر ترجیحات مالی خود و تجربه مشتری دیجیتالی بهبود یافته است.  

بانکداری باز به مشتریان این امکان را می دهد که به راحتی خدمات بانکی رقیب را ارزیابی کنند. مصرف کنندگان می توانند به سرعت کارت های اعتباری را بر اساس نرخ بهره مقایسه کنند یا ببینند کدام نوع حساب پس انداز بیشترین سود را ارائه می دهد. برعکس، ارائه دهندگان خدمات مالی به داده های مالی مصرف کننده نیز دسترسی دارند، بنابراین می توانند مناسب ترین راه حل ها را برای شرایط خاص یک فرد ارائه دهند. بانکداری باز موارد استفاده جدید را برای مدیریت مالی شخصی، ارزیابی ریسک اعتباری، و پذیرش مشتری و غیره تسهیل می کند.  

بانکداری باز برای عملکرد به API نیاز دارد.

رابط های برنامه نویسی کاربردی (API) اتصال مورد نیاز برای انتقال داده های مالی به بانکداری باز را امکان پذیر می کند. بانک ها دسترسی به API های اختصاصی خود را در سیستم های بانکداری باز فراهم می کنند تا توسعه دهندگان شخص ثالث و ارائه دهندگان فین تک به داده های مالی دسترسی داشته باشند. سپس می توان از این داده ها برای ساخت برنامه ها و خدمات اضافی استفاده کرد و به طور مؤثر مشارکت ها را به جای رقابت بین سهامداران ایجاد کرد.  

برای استانداردسازی این ابتکارات، همه APIهای بانکداری باز برای پشتیبانی از مقررات بانکداری باز، از جمله پروتکل های احراز هویت و مجوز مانند OpenID Connect (OIDC) و OAuth 2.0، طراحی و مستند شده اند. نتیجه یک رویکرد مشارکتی و مرتبط تر برای تبادل داده بین ارائه دهندگان مالی است.  

با این حال، در حالی که این استانداردها نحوه ساختار APIها را برای فعال کردن یکپارچه‌سازی‌های قابل پیش‌بینی تعریف می‌کنند، اما در پرداختن به چالش‌های امنیتی کلیدی API کوتاهی می‌کنند. APIها به دلیل منطق منحصر به فرد خود، ایجاد مقررات برای نحوه ایمن سازی آنها را دشوار می کنند، که عاملی محرک در فقدان شیوه های امنیتی استاندارد برای API های بانکداری باز بوده است.  

افزایش حملات API، APIهای بانکداری باز را در معرض خطر قرار می دهد.

اتکای بانکداری باز به APIها آنها را به اهداف اصلی حملات سایبری تبدیل کرده است. تهدیدات امنیتی API در فرکانس و پیچیدگی افزایش یافته است. گزارش امنیت API Salt Labs در سه ماهه اول 2022 نشان داد که ترافیک حمله API در 12 ماه گذشته 681 درصد افزایش یافته است - بیش از دو برابر میزان ترافیک کلی API. ارزش بالقوه بانکداری، خدمات مالی و داده های فین تک این موارد را ایجاد می کند. موسسات طعمه ای مطلوب برای مهاجمان هستند.  

با در خطر بودن امنیت اطلاعات مالی حیاتی، این سازمان‌ها باید به طور فزاینده‌ای نسبت به بهترین شیوه‌های امنیتی API آگاه باشند تا مستقیماً نیازهای امنیتی را برطرف کنند تا زمانی که الزامات استاندارد شوند.  

ابزار امنیتی قدیمی مانع کم برای حملات بانکداری باز است.

اکثر سازمان‌ها در اکوسیستم بانکداری باز جهانی برای ایمن نگه داشتن اطلاعات حساس و قابل شناسایی شخصی (PII) به فرآیندهای امنیتی اساسی احراز هویت، مجوز و رمزگذاری متکی هستند. با این حال، کنترل دسترسی تنها یکی از جنبه‌های محافظت از APIها است، که مانع کمی برای دسترسی هکرهایی است که از حملات brute force و فیشینگ برای شکستن پروتکل‌های احراز هویت استفاده می‌کنند. هنگامی که یک هکر به یک حساب احراز هویت شده دسترسی پیدا می کند، رمزگذاری کمک چندانی به محافظت از داده ها نمی کند زیرا وظیفه اصلی آن محافظت از داده ها در برابر دسترسی غیرقانونی است.  

در این سناریو، با مجوز (یا حتی احراز هویت چند عاملی) به عنوان آخرین خط دفاعی، هکرها می‌توانند حملات Man-in-the-Middle یا Broken Object Level Authorization (BOLA) را برای نقض یک سیستم و به دست آوردن اطلاعات ارزشمند خود راه اندازی کنند. به دنبال آسیب‌پذیری‌هایی که در این مرحله یافت می‌شوند اغلب نتیجه منطق منحصر به فرد و پیچیده APIها، همراه با به‌روزرسانی‌ها و عملکردهای مکرر و متغیر آنهاست که امنیت API را به چالش می‌کشد.  

سیستم‌هایی که بر ابزارهای امنیتی قدیمی متکی هستند، مانند فایروال‌های برنامه کاربردی وب (WAF) و دروازه‌های API، در محافظت از APIهای بانکداری باز نیز ناکارآمد هستند. این راه‌حل‌ها از معماری پراکسی استفاده می‌کنند که به دنبال حملات شناخته‌شده می‌گردد و تنها می‌تواند تراکنش‌های API را یک‌بار اعتبارسنجی کند، و توانایی آن‌ها را برای مرتبط کردن فعالیت‌های شناسایی در طول زمان محدود می‌کند. بازیگران بد تمایل دارند برای یادگیری منطق تجاری منحصر به فرد یک API و انتشار یک حمله موفقیت آمیز API، تعدادی حملات کاوشگر ظریف را در شناسایی راه اندازی کنند که باعث می شود ابزارهای قدیمی در ارائه امنیت جامع API ناتوان باشند.  

APIهای بانکداری باز نیاز به امنیت هوشمند و خودکار دارند.

پذیرندگان بانکداری باز می توانند با رویکردی جامع به امنیت API که برای محافظت از معماری های مدرن مناسب تر است، وضعیت امنیتی خود را در برابر حملات آینده به طور موثرتری سخت تر کنند. با استفاده از فناوری‌های هوشمند، مانند هوش مصنوعی (AI) و یادگیری ماشین (ML)، APIها می‌توانند در کل چرخه عمرشان ایمن شوند.  

قابلیت‌های هوشمند برای اکتشاف می‌تواند تیم‌های امنیتی را قادر به کشف و مشاهده همه APIها، از جمله Shadow و Zombie APIها کند.  

مواردی که بدون اطلاع آنها اجرا می شوند و می توانند مستعد آسیب پذیری های نادیده گرفته شوند. برای کشف قوی API ها، ادغام اتوماسیون کلیدی است، زیرا سازمان ها (به ویژه در حوزه SaaS) اغلب API های بیشتری نسبت به مدیریت و به روز رسانی دستی ایجاد می کنند. هنگامی که API ها کشف شدند، می توان آنها را درک کرد، که به نوبه خود می تواند از سیستم ها در تعریف عملکرد مورد نظر هر API پشتیبانی کند. این عمل همه چیز را کامل می کند و تیم های امنیتی را از آنچه برای سیستم آنها "عادی" است آگاه می کند. فناوری Cloud و SaaS می تواند بانکداری فراگیر را هدایت کند.  

چرا زمان آن رسیده است که ارزهای دیجیتال بانک های مرکزی را جدی بگیریم؟

چگونه همکاری در صنعت فین‌تک می‌تواند قفل رشد دیجیتال را باز کند.

این فرصت‌های بزرگی را برای بهتر کردن بانکداری ایجاد می‌کند، به‌ویژه راه‌حل‌های شخصی‌سازی‌شده و شخصی‌شده برای هر حوزه از مدیریت پول. این شامل، زمانی که جامعه از همه‌گیری ویروس کرونا بهبود می‌یابد، پیشگیری از تقلب برای افراد آسیب‌پذیر است. و همچنین کمک به کسانی که درآمد غیر قابل پیش بینی در مدیریت امور مالی خود و گرفتن وام مسکن دارند.  

یکی از محرک های مهم این تغییر "بانکداری باز" است، که در آن مصرف کنندگان به ارائه دهندگان شخص ثالث اجازه می دهند تا از اطلاعات مالی نگهداری شده توسط بانک خود برای اطلاع رسانی محصولات و خدمات جدید با استفاده از فناوری موسوم به رابط های برنامه نویسی کاربردی (API) استفاده کنند.  

با هوش مصنوعی و ML، این خط پایه نیز می‌تواند به صورت خودکار نظارت شود، با بینش‌هایی که برای فعالیت‌هایی که خارج از آن (یک مهاجم بالقوه) است، حتی در دقیق‌ترین سطح ارائه می‌شود. هنگامی که سازمان‌ها می‌توانند حملات را به درستی شناسایی کنند، همچنین می‌توانند اسناد را برای ارجاع به سهامداران کلیدی در هر نقطه از زمان به‌روز نگه دارند یک جزء حیاتی برای بانکداری باز، که معمولاً شاهد کاهش اسناد دقیق در این زمینه است.  

به عنوان آخرین توصیه، هیچ جایگزینی برای تست سیستم وجود ندارد. در حالی که توسعه دهندگان تمام تلاش خود را برای کدنویسی صحیح و ایمن برنامه ها انجام می دهند، اما انسان هستند و آسیب پذیری ها می توانند خود را نشان دهند. به همین دلیل است که حفاظت در زمان اجرا بسیار حیاتی است، و همراه با بینش های دنیای واقعی از AI و ML، تجزیه و تحلیل عمیق و آزمایش سلامت سیستم باید به طور مداوم انجام شود تا شکاف های امنیتی پیدا شده از بین برود.  

آینده بانکداری باز چیست؟

برای "بانکداری باز"، که در آن مصرف کنندگان به ارائه دهندگان شخص ثالث اجازه می دهند از اطلاعات مالی نگهداری شده توسط بانک خود برای اطلاع رسانی محصولات جدید استفاده کنند، در حال افزایش است.  

پیشرفت در این بخش برحسب منطقه متفاوت است، اما تقاضا برای خدمات بانکداری باز و استفاده از آن به دلیل همه‌گیری COVID-19 تسریع شده است.  

با این حال، برای موفقیت و پایدار کردن بانکداری باز، بانک‌های بیشتری باید از معماری دیجیتالی سرتاسر استفاده کنند.  

در سال های اخیر، فناوری گشایش تدریجی صنعت بانکداری را تسهیل کرده است. این دوره همکاری نه فقط رقابت بین بانک های فعلی و فین تک را آغاز کرده است.  

نتیجه گیری:  

هدف‌گیری APIها اکنون بر چشم‌انداز تهدید مدرن امروزی غالب است، با عوامل بدی که حملات ذکر شده در لیست ۱۰ برتر امنیتی OWASP API و سایر سوء استفاده‌ها را تبلیغ می‌کنند. با ماهیت ارتباطی و شخصی که به استفاده از داده های مالی در بانکداری باز گره خورده است، سخت شدن APIها برای مشاغل و مصرف کنندگان به طور یکسان ضروری است. استفاده از بهترین شیوه‌ها در کنار فناوری‌های هوشمند می‌تواند به آماده‌سازی سازمان برای پاسخگویی مطمئن به خواسته‌های امنیتی برای حملات مبتنی بر API، محدود کردن آسیب‌پذیری‌هایی که مهاجمان به دنبال یافتن آن هستند، و رفع شکاف‌های امنیتی با کشف و آزمایش فعال API برای رویکرد محافظت‌شده‌تر برای بانکداری باز کمک کند. خود ارائه دهند.