Menü

Kiemelt témánk

Feliratkozás


Eseménynaptár

előző hónapkövetkező hónap
65_melv1n.jpg
Forrás: ITB

Nagy lehetőségeket rejt magában a lassan végső megvalósítási fázisába érő PSD2. A banki szolgáltatások piacát potenciálisan átrendezni képes szabályozás azonban nem kevés biztonsági kérdést is felvet.

Két szoftvert sokféle módon együttműködésre lehet bírni a weben keresztül. Jól látszik viszont, hogy a jelen, de még inkább a közeljövő legnépszerűbb módszere az alkalmazásprogramozási interfészek (API-k) használata lesz. Két évvel ezelőtt az újonnan alkotott webalkalmazások 15 százaléka használt API-t a kommunikációjához; 2019-re ez az arány 40 százalékra fog nőni. Már tavaly novemberben több mint 18 ezer internetalapú API-t tartott számon a szakma, és ez a mennyiség egyre csak nő.

 

API, de milyen?

Használat alapján többféle API-t különböztethetünk meg. Vannak külsők, amelyeket egy webes szolgáltatás fejlesztője hoz nyilvánosságra, hogy rendszeréhez minél több partner tudjon csatlakozni (lásd például Salesforce.com). Vannak belsők, amelyek egy-egy vállalat belső rendszerei között biztosítják az átjárhatóságot. Végül pedig a kettő metszetében ott vannak azok az API-k, amelyek révén belső vállalati rendszerek válnak elérhetővé külső felek, alkalmazások, szolgáltatások számára – a PSD2 kapcsán pontosan ilyen API-król beszélünk.

A webes API-k menedzsmentjére ugyan már külön iparág jött létre, de ezek gyakran nem foglalkoznak a biztonság kérdésével, inkább a belső szoftverfejlesztést támogatják. Pedig ahogy egyre több eszköz fér hozzá egyre több szolgáltatáshoz, úgy nő a különféle támadási formák veszélye. Különösen kulcsfontosságú a PSD2 szolgáltatások során a kimondottan érzékenynek számító pénzügyi adatok automatikus cseréjére használt API-k biztonsága. A pénzintézetek számos megoldandó problémával találják szembe magukat. Létezik-e egyáltalán az a felhatalmazás, amelyre hivatkozva a külső szolgáltató hozzá akar férni a banki rendszerhez és onnan adatokat akar kinyerni? Ha a felhatalmazás valódi is, hogyan lehet megbizonyosodni arról, hogy a tranzakció másik végén tényleg a kérdéses ügyfél áll? És ha még mindezekre megnyugtató választ is lehet adni, a kommunikációs session alatt is garantálni kell, hogy a külső fél nem fér hozzá jogosulatlan információkhoz, illetve nem tud káros tevékenységet folytatni a belső rendszerben.

 

Az ideális alkalmazástűzfal megtalálása

A különféle támadási vektorok ellen az egyik legbiztosabb megoldást az alkalmazástűzfalak – web application firewall, azaz a WAF-ok – jelentik (és nem csak a PSD2 kapcsán, hanem bármilyen webes API vagy alkalmazás használata esetén). Nagyon nem mindegy azonban, milyen alkalmazástűzfallal próbálja bebiztosítani magát a cég. Az eszköznek értenie és validálnia kell az XML-t és a JSON-t, illetve a PSD2 API-k által használt egyéb adatmodelleket, hogy ezek elemzésével védekezhessen az ismert támadások ellen. Képesnek kell lennie az API-hívások profilozására, hogy egy feltört webkameráról érkező üzenet (vagyis a mögötte lapuló támadó) ne lophassa el a banki adatainkat. Folyamatosan nyomon kell követnie a sessiont, hogy a külső fél az adatcsere folyamán ne kezdhessen számára nem engedélyezett tevékenységbe. Végül, de nem utolsósorban beépített automatizmusokkal kell szűrnie a nem kívánt botokat és a DDoS támadásokat – például észre kell vennie, hogy egy ügyfél másodpercenként nem 1-2, hanem 20-30 tranzakciót akar végrehajtani.

 

Kiszűri és megelőzi a csalást

Az Imperva SecureSphere védelmi rendszerének az alkalmazásrétegre specializált tagja, a SecureSphere WAF a világ legelterjedtebb és az elemzők által is nagyra értékelt megoldása. Sokáig egyetlenként szerepelt a Gartner mágikus négyzet jobb felső sarkában, és hosszú évek óta kiforrott megoldásként szolgálja a webes alkalmazások védelmét. A fenti követelményeken kívül elég sok speciális esetre is megoldást nyújt: fejlett analitikájának hála olyan kliensbiztonsági funkciót is kínál, amellyel kiszűrhető, megelőzhető a csalás kísérlete is. A SecureSphere rendszer másik két tagja, az adatbázis biztonsági és a file szerver biztonsági megoldásokkal a SecureSphere komplett lefedettséget tud nyújtani egy full stack számára is.

A Verizon friss riportja szerint (amely megtalálható a verizonenterprise.com oldalán) az incidensek által kompromittált elemek listáját az adatbázis szerverek jelentik, ezért a lehető legmagasabb védelmi szintre törekvés közben érdemes megfontolni a WAF-ok és a párhuzamosan, közös felületről menedzselhető adatbázis-védelmi megoldások bevezetését is.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2028 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Alföldi István

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4835 cég szerepel adatbázisunkban.
Az utolsó regisztrált:ALEF Distribution HU Kft.

A legkeresettebb cégek: