Muitos de nós usamos produtos inovadores, como Mint, Chime ou Venmo, sem realmente saber que eles são construídos em APIs de Open Banking.
A iniciativa de Open Banking é impulsionada principalmente pela regulamentação europeia, a Diretiva de Serviços de Pagamento 2 (Payment Services Directive 2, PSD2), para abrir dados fechados e exclusivos de clientes bancários que recebem depósitos para terceiros (third-party providers, TPPs), de maneira segura, usando APIs disponíveis publicamente. O objetivo é estimular a inovação e aumentar a concorrência. Ao contrário dos bancos tradicionais, onde todos os dados do cliente são controlados pela matriz, no Open Banking, os dados do cliente são expostos com segurança aos TPPs por meio de APIs somente com o consentimento do cliente. A Gartner estima que até 2022 os ataques à interface de programação de aplicações (API) se tornarão o vetor de ataque mais frequente, causando violações de dados em aplicações web corporativas. O desafio de segurança da API requer cobertura de ameaças, fácil integração e visibilidade completa para APIs documentadas e não documentadas.
De acordo com um estudo da Celent, de 2018, o número de instituições financeiras (IFs) dos EUA que têm portais bancários abertos para facilitar o acesso de TPPs aos dados financeiros e a outros dados do consumidor deverá aumentar de 20 para mais de 200 até o final de 2021. No primeiro trimestre de 2020, havia mais de 300 TPPs registrados no Reino Unido. Outros países, como a Índia e a Austrália, seguiram a abordagem da UE e têm um próspero ecossistema bancário aberto.
APIs de Open Banking – O que poderia dar errado?
Antes do Open Banking, muitos provedores de FinTechs inovadores usavam o rastreamento para obter acesso aos dados do cliente, inclusive a credenciais do usuário, sem conhecimento do banco matriz. As APIs de Open Banking agem para simplificar as implicações jurídicas do compartilhamento de credenciais e informações do cliente por meio de APIs, consentimento e autoridade regulatória.
Embora as APIs tragam enormes benefícios, elas também apresentam questões de disponibilidade e segurança, como:
- Interrupção dos serviços:: Serviços de API indisponíveis devido a erros de configuração de segurança, rede e aplicação, ataques de negação de serviço de API ou falhas na infraestrutura de aplicação ou autenticação.
- Problemas de confiança: Muitas soluções para OB foram construídas na infraestrutura apenas na nuvem ou híbrida. No entanto, a migração para nuvens públicas cria problemas de confiança devido à incompatibilidade de soluções de segurança, desafios de configuração em diferentes ambientes, configurações incorretas e problemas com políticas e perfis de segurança de aplicações.
- Aumento da superfície de ataque: Ataques de API de vários tipos são bastante comuns. Uma pesquisa da Radware revelou que 55% das organizações sofrem pelo menos um ataque DoS contra suas APIs mensalmente, 48% sofrem pelo menos alguma forma de ataque de injeção mensalmente, e 42% sofrem pelo menos uma manipulação de elemento/atributo mensalmente. Outros ataques incluem autenticação e autorização de API, ataques incorporados, como injeção de SQL, script entre sites (XSS) e ataques de bots.
- Ataques de bots nas APIs: Os ataques de bots são programas automatizados com scripts para invadir contas de usuários, roubar identidades, fraudes de pagamento, rastrear conteúdo, preços, cupons ou dados, espalhar spam ou propaganda e impactar atividades de negócios.
- Roubo de dados: Muitas APIs processam informações de identificação pessoal (personally identifiable information, PII) confidenciais. A combinação de informações sensíveis e confidenciais com a falta de visibilidade de como essas APIs e aplicações de terceiros operam é um pesadelo de segurança em caso de violação.
- APIs não documentadas, porém publicadas: APIs não documentadas podem expor acidentalmente informações confidenciais se não forem testadas, e podem estar abertas a manipulações de API e explorações de vulnerabilidade.
Meu gateway de API e WAF não são suficientes?
Como as ameaças variam, a segurança da API requer uma combinação de controles de segurança, que incluem:
- Controles de acesso à API para autenticação, autorização e gerenciamento de acesso
- Proteção contra ataques de BOTs em APIs
- Prevenção de ataques DDoS e de disponibilidade
- Proteção contra ataques incorporados, vulnerabilidades de API e manipulações de API
- Prevenção de vazamento de dados PII e exposição excessiva de dados
- Proteção contra fraudes e golpes de phishing
Tradicionalmente, a proteção contra DDoS, WAFs e gateways API têm sido as principais ferramentas de segurança usadas para proteção de APIs. Embora os gateways de API ofereçam gerenciamento e integração de API com recursos de autenticação e autorização, seus recursos de segurança de API, proteção de bots e proteção de aplicações web são limitados ou inexistentes. A maioria dos WAFs não entende as diferenças entre APIs e aplicações web regulares. Mesmo que entendam a diferença, não inspecionam nem detectam os riscos reais de segurança relacionados às APIs.
[Você também pode se interessar por: 4 perguntas a fazer sobre conformidade com o Open Banking]
Os bots nem sempre são amigáveis ou visíveis!
As APIs também estão expostas a ataques de bots. De acordo com a Forrester, mais de um quarto de todas as solicitações da web se origina de bots ruins. Esses bots foram observados tentando ataques automatizados visando APIs, como controle de conta, negação de serviço, abuso de dados de pagamento e negação de inventário. A proteção de APIs contra ataques automatizados é diferente da proteção de aplicações web e móveis, simplesmente porque o comportamento do bot, o fluxo de navegação e os indicadores são diferentes.
A falta de ferramentas dedicadas de gerenciamento de bots na maioria das organizações coloca essas organizações em maior risco de possíveis maus agentes lançarem ataques bem-sucedidos por meio de APIs, como preenchimento de credenciais, força bruta e tentativas de rastreamento.
O que é necessário para proteger as APIs de Open Banking?
A solução da Radware foi desenvolvida para proteger as APIs contra hackers e ataques de estado-nação. A solução protege APIs de aplicações contra negação de serviço, ataques de aplicações e bots, protege APIs contra vulnerabilidades e manipulações, evita interrupções dos serviços e, ao mesmo tempo, resolve questões de confiança e segurança de clientes que migram para uma implementação híbrida ou multinuvem.
Conclusão:
Embora o Open Banking ainda esteja no início, ele está crescendo muito rapidamente. O Open Banking abre, por meio de APIs, os dados de clientes para provedores externos terceirizados para fornecer serviços inovadores. No entanto, isso também significa uma superfície de ameaça mais ampla que precisa ser protegida contra abusos e más intenções. Os bancos e fintechs que prosperam neste ambiente fornecerão soluções que incentivam a confiança do cliente por meio de soluções seguras. Para saber mais sobre como a Radware pode ajudar, acesse Segurança sem atrito no ritmo da inovação | Radware
[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo Premium da Radware.]