Sichern Sie die FDX-API, um Daten im Open Banking zu schützen

Am jüngsten FDX Global Summit Spring 2021 nahm ich als Vertreter von F5 zusammen mit anderen Diskussionsteilnehmern von Cequence Security und Mastercard-Nudata als Diskussionsteilnehmer teil. Wir haben die Arbeit der FDX API-Sicherheitsarbeitsgruppe besprochen, die Finanzinstitute, Aggregatoren und Sicherheitsanbieter zusammenbringt, um gemeinsam einen sicheren und offenen Bankstandard für den Datenaustausch zu definieren.

Financial Data Exchange (FDX) ist eine gemeinnützige Organisation, deren Schwerpunkt auf der Entwicklung des FDX-API-Standards (Application Programming Interface) liegt, um einen gemeinsamen interoperablen Datenstandard zu schaffen. Dies ermöglicht Verbrauchern und Unternehmen einen zuverlässigen und sicheren Zugriff auf ihre Finanzdaten und wird den Maßstab für Open Banking in den USA und Kanada setzen.

Open Banking bietet eine spannende Chance für mehr Innovation und Zusammenarbeit in der Finanzdienstleistungsbranche, indem es FinTechs und anderen autorisierten Drittparteien den Zugang ermöglicht, Innovationen voranzutreiben und Mehrwertdienste mit Finanzinformationen von Verbrauchern anzubieten. Open-Banking-Standards bieten Verbrauchern die Möglichkeit, Dritten einen sicheren, detaillierten Zugriff auf bestimmte finanzielle Verbraucherdaten (z. B. Guthaben, Transaktionen) und Funktionen (z. B. Zahlungen) zu erlauben und zu gestatten. Für Drittanbieter und FinTechs ergeben sich spannende Möglichkeiten, Mehrwertdienste anzubieten, darunter:

• Zusammenführung von Konten/Diensten mehrerer Institutionen an einem Ort
• Zahlungsauslösung
• Vergleich von Finanzprodukten
• Bereitstellung von Bankdienstleistungen, die das Institut nicht bereits anbietet
• Stellen Sie Entscheidungen/Erkenntnisse auf der Grundlage von Finanzdaten bereit, beispielsweise zur Identitätsprüfung, zur Beurteilung der Kreditwürdigkeit usw.

F5 hat bei der Implementierung und Sicherung von Open-Banking-APIs eng mit unseren Kunden aus dem Finanzdienstleistungssektor weltweit zusammengearbeitet. F5 und Twimbit haben zusammengearbeitet, um eine Studie zu den weltweiten Trends im Open Banking zu veröffentlichen.

Inhärenter Wert von Finanzinformationen über Verbraucher

Finanzielle Informationen von Verbrauchern sind eine Ware, die auf Darknet-Marktplätzen für Beträge zwischen 35 US-Dollar (für Konten mit geringen Guthaben, die als Maultierkonten für andere Betrugsfälle missbraucht werden können) und 150 US-Dollar aufwärts (für Konten mit höheren Guthaben) gehandelt wird. Dieser relativ geringe Handelswert der Finanzinformationen von Verbrauchern ist eine Folge der überwältigenden Menge an kompromittierten Konten und Zugangsdaten. Angreifer nutzen daher Automatisierung – APIs – um ihre Operationen zu skalieren, bei denen mit Tausenden gestohlener Konten gehandelt wird. Finanz-APIs sind daher zu einer primären Bedrohungsfläche geworden, die geschützt werden muss.

Angreifer konzentrieren sich auf APIs im Open Banking

In jüngster Zeit konzentrieren Cyberkriminelle, die es auf den Finanzdienstleistungssektor abgesehen haben, ihre Angriffe verstärkt auf Anwendungsprogrammierschnittstellen (APIs). Anwendungen haben sich in Richtung eines zunehmend verteilten und dezentralen Modells entwickelt, mit APIs als Verbindungspunkten. Aktuelle Untersuchungen von F5 zeigen, dass die Zahl der API-Sicherheitsvorfälle jedes Jahr steigt. Die meisten API-Vorfälle der letzten zwei Jahre waren auf eine geringe Sicherheitsreife zurückzuführen, die häufig durch die zunehmende Verbreitung von Tools verursacht wird. Verschiedene Entwicklungsteams, die an mehreren Anwendungen arbeiten, verwenden häufig unterschiedliche Tool-Sets. Das bedeutet, dass herkömmliche Sicherheitsteams möglicherweise nicht über eine zentrale Kontrollstelle zur Gewährleistung der Sicherheit verfügen. Dies erfordert einen Standardsatz an Tools, um die richtigen Steuerelemente in die API-Entwicklungs- und Verwaltungsprozesse einzubetten.

Eine Weiterentwicklung – OFX und Screen Scraping

APIs sind nicht die einzige Bedrohungsoberfläche, die Aufmerksamkeit erfordert. Traditionell nutzen Drittparteien und Finanzaggregatoren, die Zugriff auf Verbraucherdaten benötigen, zwei Mechanismen:

• OFX (Open Financial eXchange) – wurde ursprünglich entwickelt, um Finanz-Anwendungen für Verbraucher (z. B. MS Money, Intuit QuickBooks) mit den Finanzinstituten eines Benutzers zu verbinden.
• Screen Scraping: Verbraucher geben ihre Bankdaten an Dritte weiter, und diese Dritten melden sich beim Webkanal des Finanzdienstleisters an und greifen auf die Daten zu.

OFX kann von Angreifern als Kanal für groß angelegtes Credential Stuffing/Kontovalidierung und -übernahme genutzt werden – sowohl direkt als auch über Finanzaggregatoren:

• F5 beobachtet regelmäßig, dass OFX von Angreifern als Kanal für groß angelegtes Credential Stuffing/Kontovalidierung und Kontoübernahme genutzt wird – sowohl direkt als auch über Finanzaggregatoren.
• Wenn Sie Dritten Anmeldeinformationen für das Screen Scraping zur Verfügung stellen, werden diese Anmeldeinformationen der Sicherheitslage dieser Dritten ausgesetzt.
• Diese Mechanismen geben dem Verbraucher keine Möglichkeit zur detaillierten Zustimmung und Kontrolle darüber, auf welche Informationen der Dritte Zugriff hat, was zu Verletzungen der Privatsphäre führt.

OFX hat sich mit FDX zusammengeschlossen und wird letztendlich zu einem einheitlichen Standard verschmelzen. Dies bietet die Möglichkeit, Sicherheitskontrollen zu modernisieren und die Sicherheitsherausforderungen der Vergangenheit anzugehen. Auf Screen Scraping basierende Ansätze stellen für Finanzinstitute weiterhin eine Herausforderung dar.

Empfehlungen zur Verbesserung der Sicherheit

FDX hat umfassende Hinweise zu den Kontrollen veröffentlicht, die zum Schutz vor Bedrohungen und Risiken für die Kontoinformationen und die Serviceintegrität von Verbrauchern implementiert werden sollten. Zu diesen Steuerelementen gehören:

• Softwaresicherheit – Kontrolle der OWASP Top 10 und anderer Softwareschwachstellen – einschließlich der Bereitstellung einer Web Application Firewall (WAF)
• Netzwerk- und Systemsicherheit
• Betriebssicherheit
• Physische Sicherheit
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferantensicherheit
• Entwurfsmuster für authN/authZ einschließlich Kontrollen für Credential Stuffing
• Muster für eine sichere Gateway-Architektur (SGA), einschließlich in das API-Gateway integrierter API-Sicherheitskontrollen

Schließlich bietet der F5 Open Banking-Lösungsleitfaden einen umfassenden Ansatz zu F5-Lösungen für Open Banking.