任何技术革新都伴随着安全风险，开放银行也不例外。开放银行依赖于API将银行（及其基本服务）与其客户连接起来。虽然它极为便利，并为消费者提供了多项有价值的服务，但开放银行依靠API来运作。

API是您的客户网络体验和开放银行运营的关键组成部分。然而，它们带来了广泛的攻击面和独特的漏洞，您必须解决这些问题，以符合安全标准和法律。为了最大化API安全，可以考虑实施多因素认证、授权协议和其他工具。

开放银行API的监管合规性

许多银行正在采用开放银行API，这些API旨在为客户提供各种功能。通常，这些第三方API帮助客户轻松访问基本金融服务，如他们的支票和储蓄账户。

为了使银行与这些API的开发者合作，所有涉及的提供商都应遵守修订后的支付服务指令（PSD2）和强客户认证（SCA）等指南。尽管这些要求目前适用于在欧洲开展业务的公司，但它们是保护所有银行产品和服务的有用工具。

PSD2要求包括SCA。SCA要求组织使用多因素认证来控制对银行和财务信息的访问。要求如下：

• 基于知识的凭据。SCA要求客户使用三种不同类型的认证来使用数字钱包和支付平台。客户必须能够使用密码、密码短语或PIN等进行认证。
• 基于所有权的验证。客户应能够能过他拥有的东西来验证他的身份。这可以是一个设备，比如手机或智能手表。或者，一些消费者更喜欢使用令牌或智能卡。
• 生物特征验证。您的组织可以收集和存储指纹、声音录音和面部特征等数据，这些数据可以与识别程序一起使用来验证身份。客户在进行交易时应至少使用三种认证方法中的两种，尽管对于实体POS交易等事物有例外。

当第三方API位于客户和敏感信息之间时，必须优先考虑安全性。在处理银行和财务数据时，这一点尤其关键，因为任何违规行为都可能使客户面临重大的财务风险。数据保护措施至关重要，符合PSD2和SCA的隐私考虑提供了正确的指导，以锁定您的客户数据。

实施强认证和授权

对于敏感数据，尤其是财务信息，实施有效的安全性至关重要。开放银行是前进的道路，但它带来了必须缓解的安全风险。当用户尝试登录时，您的组织必须优先考虑准确的认证和授权，以确保不会给予不当的访问权限。

许多攻击者会试图通过社交工程攻击和受损的凭据来获取个人用户账户的访问权限。为了最小化这种风险，多因素认证是您可以实施的最简单和最有效的工具之一。多种验证方法可以防止攻击者通过破坏PIN或密码来访问用户的账户。

还应使用另外两个协议来保护为开放银行设计的API：

• OAuth 2.0。这为API添加了一层认证，以防止未经授权的用户非法访问消费者数据。客户端使用访问令牌来访问服务器资源，通常是在有限的范围内。
• OpenID Connect集成。这是一套单一登录协议，提供一组登录凭据，用于跨多个平台识别用户。一个常见的例子是使用您的Google账户登录到多个其他账户。

尽管这些协议都不是完美的解决方案，但实施它们可以帮助验证合法用户身份并限制未经授权的访问。对于第三方提供商的细粒度访问控制也是保护数据的重要组件。您的组织应实施零信任环境来限制未经授权的访问。

这意味着限制员工可以访问的数据量，并监控您环境中的活动。零信任还要求对所有连接到您网络的设备和API进行认证。

开放银行API的监控和威胁检测

虽然认证和授权工具至关重要，但它们只是开放银行有效安全的一部分。限制未经授权的用户首先到达访问点也同样重要。

通过在网络边缘或API访问点监控异常活动，可以检测到许多潜在的攻击。一般来说，立即发现问题会导致更快的响应时间，而更快的响应时间意味着您的基础设施不太可能遭受重大损害或严重数据泄露。

为此，请考虑实施实时异常检测工具。自动监控可以监控整个网络，并提醒您异常情况，节省您的时间并提高检测率。其中一些工具还执行访问控制策略，即使在攻击成功的情况下，也可以限制攻击者对您网络的访问。

此外，您的组织应使用人工智能和机器学习实施防欺诈机制。现代的轻量级Web应用程序和API保护（WAAP）解决方案可以帮助解决这个问题。WAAP解决方案通过检测和阻止异常活动模式，作为API周围的第一道保护线。

利用机器学习和AI的WAAP比传统解决方案更有效。这些先进技术使它们能够响应目前更喜欢的更微妙的攻击。此外，WAAP的历史弱点是未知攻击。

零日攻击没有已知的模式，因此有时可能逃避检测。有了机器学习，WAAP可以更有效地使用上下文线索。这和其他可用的工具提高了检测的准确性，并保护您的开放银行API免受威胁和未经授权的访问。