未來將是開放銀行的天下:保護您網路的 5 個方法
在不同的應用程式之間共用財務資料正在改變消費者儲蓄、管理與花費其金錢的方式。以下是金融機構如何保障新世代銀行的方法。
開放銀行正在改變金融服務版圖。這個詞彙已經成為透過應用程式開發介面 (API) 共享財務資料的簡稱,它也是一種環境劇變 (paradigm shift),實現了更多以人工智慧 (AI) 為技術後盾的消費者服務,例如行動支票、線上貸款支付以及數位預算編列助理。
這項突如其來的創新為金融機構帶來巨大的商機,讓他們得以根據消費者資料進行交叉銷售及量身訂做的金融商品。不過,開放銀行的開放架構也為銀行的資安團隊帶來的全新的安全挑戰。加上資料保護法強制規定的隱私要求,例如歐盟的一般資料保護規範 (GDPR),很顯然地,銀行產業的資安專業人員正面臨尋找有效的方法以捍衛其不斷擴大的攻擊破綻之艱巨任務。
開放銀行:保護您網路的 5 個方法
以下是金融機構可用來管理其開放銀行安全風險的 5 個基本原則。
- 不只查看傳統邊界,也會持續評估您整個環境。隨著愈來愈多機構採用最新的開放銀行計劃,他們也產生了攻擊者能夠利用的網路曝險。 攻擊者會掃描整個環境,以找出最容易進入內部的方式,然而大多數的舊型弱點管理方案都僅限於掃描傳統 IT 環境。也就是說,您的團隊看不到攻擊破綻中最動態的層面裡的弱點,例如雲端或操作技術 (OT) 資產。資安團隊可以透過採用可靠且彈性的弱點管理解決方案來改善能見度,因為這些解決方案能夠涵蓋所有資產類型進行持續評估,無論資產位在何處。
- 採取全方位的視野來保護您最重要的資產。 合規架構與零信任方式是不錯的起點,不過這兩者都無法提供一套完整的安全解決方案。 保護您的開放銀行計劃需要採取多管齊下的方式。策略性地使用特殊權限存取管理可協助您限制關鍵系統及重要內部資料的存取權。而解決 Active Directory 中的錯誤設定則可生攻擊者想要取得存取權限的情況下,協助中斷攻擊路徑。為管理員部署「跳箱」或安全工作站,讓您在特別的安全區域或非信任環境中管理裝置的存取與任務的執行。開放銀行會創造出一個更複雜且更分散的運算環境,這些防禦機制能限制攻擊者鎖定與竊取管理員憑證的能力,也可能可以讓您避免銀行產生巨大的損害。
- 優先專注於影響您最重要資產的最大風險上。 開放銀行環境會加劇已經令許多網路安全團隊疲於奔命的優先順序危機。資安主管經常無法有效地排定重大弱點的優先順序。根據 Tenable Research 指出,大約有 30% 的弱點從來沒被修復過,而存評估到修補所需時間的中位數為 60 天,即使是大型企業的重大弱點也是如此。充分運用威脅情報、弱點研究和機率資料,網路防禦者就能淬煉出整個分散式攻擊破綻中最重大的風險,專注於處理攻擊者最有可能利用的 3 % 的弱點。
- 主動管理第三方合作夥伴的風險。 您所做的每一項技術投資對您的安全都有著長遠的意義。在開放銀行環境中,保障連線及透過雲端存取安全中介程式 (CASB) 的軟體即服務 (SaaS) 應用程式的安全至關重要。這些強制執行點可管理整個銀行與外部廠商的合規與存取原則。它們也可支援監控設定、安全性以及預防資料遺失等工作,您可以利用額外的雲端安全掃描來驗證其效果。朝向將所有應用程式整合至單一集中身分與存取管理解決方案前進。如此可協助保護客戶資料,並提供一個監控合規的集中平台。
- 承諾更高的透明度,以提高信任感。在企業如何使用消費者的資料方面,開放銀行需要更高的透明度。這個概念也包含在近期的隱私法規中,例如:加州隱私權利法 (California Privacy Rights Act) 和巴西的 Lei Geral de Proteção de Dados。近期的法規均受到歐盟的 GDPR 和支付服務指令第二版 (Payments Service Directive 2,簡稱 PSD2) 啟發。最佳做法是透過公開資料如何收集、儲存與使用,建立消費者的信任,如此消費者就能在獲得充分資訊的情況下做出選擇。在這種方式下,消費者將獲得開放銀行帶來的好處,同時也能因為知道自己隨時都能掌控其私密資料而感到放心。
總結
開放銀行的時代提供了存取大量消費者資料前所未見的機會,但同時也成為網路罪犯的「開放目標」。要維持消費者的信任,並避免因資料洩漏可能產生的大筆罰鍰,金融機構必須建構一套有效的方法來管理日新月異的安全威脅。透過持續監控所有資產、嚴格評估安全弱點並減緩可能的攻擊媒介,金融機構就能制敵機先,並保護其企業經營的數位未來。
深入瞭解
- 隨選網路研討會:當今金融機構所面臨的安全挑戰
- 使用案例: 保障金融機構的安全 — 從開放銀行、雲端運算到明日的創新
- 解決方案概述:何以前 10 大金融服務企業改採 Tenable 解決方案進行風險型弱點管理
相關文章
- Financial Services
- Legislation
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning