0
0
Mais de 9 em cada 10 setores financeiros aceitam que o open banking é vital para sua organização. A demanda por serviços bancários e financeiros rápidos, descomplicados e personalizados entre os clientes está impulsionando a rápida adoção do open banking. No entanto, quase 50% dos clientes bancários temem a segurança do open banking.
Para que o open banking funcione, as APIs são essenciais, pois ajudam a criar conectividade entre diferentes partes interessadas para a transferência de dados financeiros. Bancos e instituições financeiras fornecem a provedores de serviços terceirizados/empresas de fintech acesso aos dados pessoais e financeiros dos clientes para desenvolver serviços e produtos inovadores.
Apesar das estruturas regulatórias e dos requisitos de conformidade, o uso de APIs amplia a superfície de ataque e aumenta os riscos de segurança. Como você pode superá-los?
Este artigo lista as principais práticas recomendadas para segurança de API no open banking para ajudar a gerenciar e minimizar esses riscos.
As melhores práticas para segurança de API em open banking
Vá além dos métodos tradicionais e das melhores práticas de segurança da API
O open banking define diretrizes de segurança e práticas recomendadas para segurança de API. No entanto, essas medidas básicas, técnicas tradicionais e ferramentas legadas estão falhando. As diretrizes e estruturas básicas se concentram apenas na autenticação, autorização e criptografia, que são básicas para qualquer programa de segurança cibernética, e WAFs e API Gateways, que só podem atuar como barreiras de baixo nível.
Mas eles não fornecem segurança holística contra todos os tipos de ataques e são ineficazes contra os desafios de segurança do open banking cada vez mais complexos e em constante evolução.
Ao proteger APIs, as melhores práticas e métodos devem ser tão dinâmicos e sofisticados quanto as ameaças e desafios. Você deve aproveitar soluções e ferramentas de segurança de API totalmente gerenciadas que combinam o poder das tecnologias mais recentes, como:
- IA de autoaprendizagem
- Análise comportamental
- Análise de segurança
- Computação em nuvem
- Automação
A solução deve ser apoiada por profissionais de segurança certificados com experiência no domínio. Dessa forma, você pode proteger APIs de open banking contra todas as ameaças conhecidas, lógicas e emergentes.
Além disso, certifique-se de escolher ferramentas e soluções específicas da API e não apenas ferramentas de segurança gerais. Isso é importante porque vulnerabilidades de API, riscos de segurança e ameaças são únicos e complexos, exigindo ferramentas personalizadas para APIs.
Segurança por design
Bancos e instituições financeiras devem enfatizar a necessidade de desenvolver APIs seguras usando componentes e estruturas seguras. Ele deve incorporar as melhores práticas de segurança durante os estágios iniciais de desenvolvimento e testar continuamente as APIs para corrigir falhas.
Descoberta e inventário são fundamentais
Outra prática recomendada de proteção de API crítica é a descoberta e o inventário eficazes de APIs de open banking. Você deve ter visibilidade total e em tempo real de todos os seus endpoints de API e da infraestrutura para se proteger efetivamente contra ataques. Você precisa descobrir todas as suas APIs de sombra, zumbis e não autorizadas que são executadas sem o seu conhecimento para se proteger contra ataques de API que são orquestrados usando-as de forma eficaz.
Para isso, você precisa de um scanner de API automatizado que o ajude a descobrir todos os seus endpoints de API, independentemente do número crescente de APIs ou da complexidade de sua arquitetura. Mas não pare com a descoberta; continue documentando e atualizando seu inventário de API. Entenda, em um nível granular, se as APIs executam apenas as funcionalidades pretendidas, as permissões concedidas e assim por diante.
Adote uma abordagem de segurança baseada em riscos
Muitas vezes, as organizações não conhecem seu perfil de risco e tendem a se concentrar mais nos riscos promovidos – aqueles nas notícias ou popularmente falados nos círculos de segurança cibernética. Mas seus riscos reais podem ser completamente diferentes, e você pode não estar protegendo efetivamente suas APIs de open banking contra eles.
Portanto, você deve pensar como um invasor para entender seu perfil de risco exclusivo e criar seu programa, políticas e mecanismos de segurança de API de banco aberto de acordo.
Implemente políticas de confiança zero
Seja muito rigoroso com sua autorização, autenticação e controles de acesso. Implemente políticas avançadas, multicamadas e de confiança zero para garantir que apenas usuários autorizados e verificados tenham acesso aos seus serviços bancários e financeiros, mantendo os invasores afastados e protegendo seus usuários legítimos.
Identificando e protegendo vulnerabilidades, lacunas e configurações incorretas
Essa é outra prática recomendada importante para segurança de API no open banking. Vulnerabilidades, lacunas e configurações incorretas devem ser identificadas e protegidas proativamente usando patches virtuais instantâneos ou correções permanentes para evitar a exploração.
Ferramentas de digitalização inteligentes combinadas com WAAP (Web Application and API Protection) totalmente gerenciado /WAF de última geração ajudam você a fazer isso. Além disso, testes de caneta abrangentes ajudam a descobrir vulnerabilidades lógicas e desconhecidas que as ferramentas automatizadas geralmente deixam passar.
Interrompa ataques de API em tempo real
Outra prática recomendada importante para segurança de API no open banking é que você deve interromper todos os tipos de ataques de API complicados e sofisticados em tempo real.
Para isso, você deve aproveitar uma solução de segurança de API inteligente e totalmente gerenciada que combina CDN, prevenção avançada de DDoS, mitigação de bots mal-intencionados, WAF, proteção contra malware e assim por diante. Ele deve identificar comportamentos anômalos em tempo real e interrompê-los por meio de monitoramento e análise de tráfego granular.
Outras práticas recomendadas de proteção de API
- Verifique e acompanhe a conformidade
- Minimizar falso positivo
- Não se esqueça de registrar e monitorar
O caminho a seguir
Ao mesmo tempo em que estimulam a inovação e remodelam as experiências dos clientes no setor bancário e de serviços financeiros, as APIs de open banking também aumentam os desafios e riscos de segurança. Aproveite essas práticas recomendadas de segurança de API para fortalecer sua postura de segurança.
FONTE: HELPNET SECURITY