網絡安全服務商Noname Security公司首席信息安全官Karl Mattson：開放銀行計劃通過設計使開發商和金融科技公司社區能夠創新并滿足新的金融服務需求。開放式銀行API處理從賬戶狀態到資金轉賬，以及到密碼更改和賬戶服務的所有事情。能夠訪問這些服務的網絡攻擊者也將獲得對這些功能和敏感客戶數據的訪問權限。客戶、賬戶和支付數據需要更高的精確度，以確保交易的完整性和數據的安全性。

隨著開放式API開發速度的加快，安全風險也越來越高。即使是治理良好、高度安全的企業也面臨著巨大的壓力，需要跟上變化的步伐，并應對API威脅。

此外，許多企業采用由多個客戶共享的第三方API代碼，其中可能包含漏洞。研究表明，第三方API代碼為網絡攻擊者在多個企業中重復使用針對第三方代碼的網絡攻擊提供了重要機會。

除了推動API使用的開放式銀行業務之外，API已成為現代應用程序開發的事實上的標準，企業經常為各種目的部署數千個API。這些API之間的每個連接點都代表一個潛在的攻擊向量。面對如此大規模擴展的攻擊面，許多企業(尤其是小企業)由于缺乏資源而難以保護它們。

為什么開放銀行中的API是網絡犯罪分子的共同目標?

Mattson：網絡犯罪分子將針對開放銀行中的API進行攻擊，因為它們能夠直接獲取資金。再加上API攻擊成為當今最常見和最有效的網絡攻擊形式之一的趨勢，這意味著開放銀行API面臨著特殊的風險。

雖然安裝API安全預防措施可以實現銀行應用程序和金融科技公司之間的集成，但這些眾多的接觸點也是網絡犯罪分子利用的易受攻擊代碼的地方。因此，網絡犯罪分子被授權針對開放銀行的API也就不足為奇了，因為正如人們最近看到的那樣，API通常是不安全的，而成功破解它們的回報是直接的收益。

金融服務機構可以做些什么來提高API的安全性?

Mattson：第一步是獲取所有API的完整清單，包括數據分類和配置詳細信息，以提供環境的整體視圖。如今，與保護API相關的主要挑戰之一是大多數企業都有數千個他們不知道的API——這些被稱之為影子API。API網關和WAF等現有基礎設施在不使用時無法解決API風險。對于高風險的開放式銀行API，誤差幅度為零。

憑借對所有API的狀態和配置的觀點，企業可以優先關注最高風險。這首先要識別運行時異常，或在過程中觀察到的濫用企圖。API非常適合行為分析模型，以識別每個API中的異常。

接下來，應該在上游識別配置和漏洞，以便網絡和應用程序團隊快速解決——通過防火墻更改、API策略實施和其他應用技術來降低API暴露的風險。

最后一步是在部署到生產之前和之后積極測試API以驗證完整性，特別是隨著環境通過定期發送代碼或持續集成/持續交付(CI/CD)部署而發展。

消費者可以信任開放銀行嗎?他們應該注意什么?

Mattson：消費者通過開放新的服務和利益來滿足他們的金融需求，從而從開放式銀行業務中受益。然而，消費者在了解如何評估其個人信息的風險方面處于明顯劣勢。例如，銀行客戶可能對其金融機構如何在后端提供這些服務幾乎沒有洞察力或控制力。

同樣，在評估新的金融科技服務產品是否真正安全時，消費者需要考慮的數據點也很少。消費者仍然在很大程度上依賴金融業監管機構的質量監督，并成為負責任的風險管理和數據保護的看門人。

如何在確保安全的同時擁抱創新?

Mattson：與傳統模式相比，開放式銀行創新不安全——但它確實顯著地加快了變革的步伐。即使API本身可以高度安全，不斷變化的環境都可能容易出現錯誤和人為或技術錯誤。網絡犯罪分子確實注意到了這一點。

API激增使安全團隊難以有效地觀察和充分解決這些問題。快速創新迫使開發人員在尋求以更快的速度交付軟件時可能放棄安全性。跟上創新的需求已經成為開發人員和網絡犯罪分子之間的競賽，這本身就會產生問題。