تقرير ربع سنوي تنشره منصة التطبيقات والأمان المتكاملة Wallarm يعطي اهتمامًا تفصيليًا لمخاوف أمنية لم تتم مناقشتها إلا قليلاً ولكنها مهمة بالنسبة لشركات التكنولوجيا المالية - واجهات برمجة التطبيقات الخاصة بها. يتم تطوير التقارير من المصادر المتاحة للجمهور.
Wallarm المؤسس المشارك والرئيس التنفيذي إيفان نوفيكوف وقال إن هدفه من التقارير هو تقدير نطاق التهديدات وتجميعها في أقسام معقولة. وهذا يساعد كبار مسؤولي أمن المعلومات ومديري الأمن السيبراني على قياس المخاطر وبناءها نماذج المخاطر. في كل ربع سنة، يقوم فريق Wallarm بتحليل كل حادث متاح، ودمجه مع معلومات إضافية وإثرائه.
وقال نوفيكوف إن التركيز ينتج تحليلاً في الوقت الفعلي مع رؤى أفضل من التقارير الأخرى التي يتم نشرها بشكل أقل تكرارًا. ويحدد أيضًا بعض مجموعات التهديد الجديدة التي من المحتمل أن تُعزى إلى انتشار استخدام واجهة برمجة التطبيقات (API).
تمثل التسريبات من واجهات برمجة التطبيقات تهديدًا ناشئًا
كانت الحقن هي القضية الأهم في هذا الربع إلى حد بعيد. وتمثل الأحداث الـ 59 المعروفة 25% من الإجراءات التي تم تتبعها والبالغ عددها 239. تحدث عمليات الحقن عندما يرسل شخص ما أوامر API خطيرة عبر حقل إدخال المستخدم. وتحتل عيوب المصادقة المرتبة الثانية بـ 37. وهذا يتضمن فشل التحقق من الهوية. القضايا عبر المواقع هي الثالثة مع 30.
تشكل تسريبات واجهة برمجة التطبيقات (API) أكثر من 10% من الحوادث. لقد ضربوا Netflix ومقدمي البرامج مفتوحة المصدر وشركات برمجيات المؤسسات. وقال نوفيكوف إن تسريبات واجهة برمجة التطبيقات (API) هي مشكلة تم اكتشافها مؤخرًا.
هناك نوعان من واجهات برمجة التطبيقات، ويؤثر أحدهما بشكل خاص على شركات التكنولوجيا المالية: واجهات برمجة التطبيقات المفتوحة للخدمات المصرفية. وقال نوفيكوف إن المؤسسات مهتمة بأمرين، الأول هو تتبع المكان الذي تنتقل إليه بياناتها المالية. يتضمن ذلك معلومات التعريف الشخصية ومعلومات الحساب المصرفي الداخلي. إنهم بحاجة إلى معرفة ما إذا تم سحبها من مكان ما ولا ينبغي لها ذلك.
وقال نوفيكوف: "إذا لاحظت أن أرقام الحسابات المصرفية الداخلية متصلة كرقم توجيه، فيمكن (للمجرمين) القيام بأشياء كثيرة". "يمكنهم تشغيل مخطط احتيال مختلف تمامًا. إذا كنت تتذكر أفلام جيمس بوند، يقولون لك: "أعرف رقم حسابك في سويسرا"، فهو بالضبط نفس الشيء".
يمكن أن تكون أجزاء البيانات هذه بمثابة وصول خاص إلى واجهة برمجة التطبيقات (API) الخاصة بك. يمكن أن تكون عبارة عن شهادات أصدرتها لبنك شريك وتم اختراقها. كل جهة تشارك معها مفتاحاً هي المسؤولة عنه، لكنك أنت المسؤول عن البيانات المفتوحة.
في حين أن البنوك لديها العديد من مسارات اللجوء لحماية نفسها في حالة اختراق كلمات المرور وبيانات اعتماد تسجيل الدخول، قال نوفيكوف إن واجهات برمجة التطبيقات لديها مفتاح واحد، وهذا كل شيء. يقبله البنك، وأنت شريك.
"ولهذا السبب نقوم ببناء حلول لحل هذه المشكلة لأن المشكلة ضخمة."
وتؤدي البنية التحتية القديمة إلى تفاقم المشكلة
يزيد عمر العديد من واجهات برمجة التطبيقات المصرفية من التحدي. مع كبار السن، من الصعب العثور على من حدد المفتاح. إنه في مكان ما في الكود. وقد شهد نوفيكوف أمثلة في كوبول يعود تاريخها إلى عام 1998.
وقال نوفيكوف: "إنه موجود في مكان ما في الكود، ويمكنك استخراجه من هناك". "إنه مفتاح مشفر وضعه شخص ما هناك. تواصل مع XML، وستكون جاهزًا للبدء. والآن نضع بوابة API رائعة فوق ذلك ونطلق عليها اسم الخدمات المصرفية المفتوحة. إنه مفتوح، لكنه مفتوح من منظور مختلف. إنها محفورة جدًا بالثقوب."
مراقبة شركائك
ونظرًا للمخاطر الكبيرة، يتعين على المؤسسات المالية التأكد من قدرتها على الثقة بشركائها. وقال نوفيكوف إن هناك المزيد من الراحة للبنوك، التي يمكنها تحديد المعايير التي يجب على مزودي البيانات اتباعها.
إنها أكثر مرونة قليلاً بالنسبة للتكنولوجيا المالية. يشجعهم نوفيكوف على وضع معاييرهم. قم بمشاركة المفتاح مع أحد ميسري التكنولوجيا المالية، وسيكون هو المسؤول عن ذلك.
وقال نوفيكوف: "باعتبارها شركة للتكنولوجيا المالية، فهي لا تخضع للتنظيم مثل البنوك". "يجب عليهم أن يفعلوا ذلك لأنفسهم. وفي هذه الحالة يعتمدون على (البنوك) وعليهم أن يعتمدوا على أنفسهم. هذه مشكلة كبيرة لأنني إذا كنت أرغب في ربط Robinhood الخاص بي بالبنك الذي أتعامل معه، فليس لدي خيار آخر.
مع عدم وجود معايير صناعية، يمكن لشركات التكنولوجيا المالية أن تقرر مقدار الأمان الذي يجب توظيفه. وعندما يقتصر عملك بالكامل على واجهات برمجة التطبيقات، فمن الأفضل أن يكون هذا الأمان جيدًا.
نائب الرئيس للتسويق جيريش بهات قال إن Wallarm تقوم ببناء منصة سحابية أصلية يمكن استخدامها أيضًا داخل الشركة. يمكنه اكتشاف الهجمات في الوقت الفعلي تقريبًا. يمكنه تقديم توصيات الإصلاح والقدرة على العلاج من خلال العمل مع الأدوات الأخرى في النظام البيئي للتكنولوجيا المالية.
وقال بهات: "هناك مليارات من مكالمات واجهة برمجة التطبيقات (API) التي تحدث". "يمكننا تحليل ذلك في الوقت الفعلي وتوفير القدرة الاستباقية للتخفيف منها."
تعتبر مشكلات بيانات الاعتماد والتشفير الضعيفة من العوامل المفاجئة في قائمة أهم 10 مشكلات. وقال نوفيكوف إن العديد من الشركات تستخدم المفاتيح القياسية والافتراضية.
وقال: "من الواضح للجميع أنه لا ينبغي عليك استخدام المفاتيح القياسية أو الافتراضية، ولكن هذا لا يزال يحدث أكثر فأكثر". "لسوء الحظ، ما زلنا غير قادرين على التخلص من هذا كصناعة لسبب ما."
كيف ساعد ChatGPT في تطوير نظام AAA الخاص بـ Wallarm
استخدم Wallarm ChatGPT للمساعدة في فرز التهديدات في نظام AAA (المصادقة والترخيص والتحكم في الوصول). المصادقة هي خط الدفاع الأول. ومن خلال عزلها، يستطيع Wallarm التركيز على الثغرات الأمنية التي تستغل ثغرات المصادقة على وجه التحديد.
عندما يتم فصل التخويل عن المصادقة، فإنه يساعد في تحديد متى تمنح الأنظمة أذونات غير ضرورية. يأخذ التحكم في الوصول في الاعتبار عوامل مثل الجهاز وعنوان IP والوقت من اليوم. فهو يساعد على القضاء على العيوب في آليات التنفيذ.
وقال نوفيكوف: "يمكننا تركيز واجهات برمجة التطبيقات المصرفية أو التطبيق المصرفي للتحقق على وجه التحديد مما إذا كان المدير يمكنه القيام بشيء خارج امتيازات التصميم". "ونرى مع تطبيقات المؤسسات أنه من الصعب تجاوز عناصر التحكم الأمنية والماسحات الضوئية وأي شيء متوفر لديها.
"ومع ذلك، من السهل نسبيًا ارتكاب بعض الأخطاء في عناصر التحكم في الوصول لأن التحكم في الوصول غالبًا ما يتم إدارته فقط؛ إنه ليس جزءًا من الكود. سيسمح لنا ليس فقط بالنقر فوق مربع الاختيار أثناء تشغيلنا في بعض تطبيقات الامتثال أو واجهات برمجة التطبيقات والتحقق. التحكم السيئ في الوصول مختلف، يجب عليك التحقق منه بشكل منفصل.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.fintechnews.org/apis-the-silent-fintech-security-concern/
