Menü
65_melv1n.jpg
Forrás: ITB

Nagy lehetőségeket rejt magában a lassan végső megvalósítási fázisába érő PSD2. A banki szolgáltatások piacát potenciálisan átrendezni képes szabályozás azonban nem kevés biztonsági kérdést is felvet.

Két szoftvert sokféle módon együttműködésre lehet bírni a weben keresztül. Jól látszik viszont, hogy a jelen, de még inkább a közeljövő legnépszerűbb módszere az alkalmazásprogramozási interfészek (API-k) használata lesz. Két évvel ezelőtt az újonnan alkotott webalkalmazások 15 százaléka használt API-t a kommunikációjához; 2019-re ez az arány 40 százalékra fog nőni. Már tavaly novemberben több mint 18 ezer internetalapú API-t tartott számon a szakma, és ez a mennyiség egyre csak nő.

 

API, de milyen?

Használat alapján többféle API-t különböztethetünk meg. Vannak külsők, amelyeket egy webes szolgáltatás fejlesztője hoz nyilvánosságra, hogy rendszeréhez minél több partner tudjon csatlakozni (lásd például Salesforce.com). Vannak belsők, amelyek egy-egy vállalat belső rendszerei között biztosítják az átjárhatóságot. Végül pedig a kettő metszetében ott vannak azok az API-k, amelyek révén belső vállalati rendszerek válnak elérhetővé külső felek, alkalmazások, szolgáltatások számára – a PSD2 kapcsán pontosan ilyen API-król beszélünk.

A webes API-k menedzsmentjére ugyan már külön iparág jött létre, de ezek gyakran nem foglalkoznak a biztonság kérdésével, inkább a belső szoftverfejlesztést támogatják. Pedig ahogy egyre több eszköz fér hozzá egyre több szolgáltatáshoz, úgy nő a különféle támadási formák veszélye. Különösen kulcsfontosságú a PSD2 szolgáltatások során a kimondottan érzékenynek számító pénzügyi adatok automatikus cseréjére használt API-k biztonsága. A pénzintézetek számos megoldandó problémával találják szembe magukat. Létezik-e egyáltalán az a felhatalmazás, amelyre hivatkozva a külső szolgáltató hozzá akar férni a banki rendszerhez és onnan adatokat akar kinyerni? Ha a felhatalmazás valódi is, hogyan lehet megbizonyosodni arról, hogy a tranzakció másik végén tényleg a kérdéses ügyfél áll? És ha még mindezekre megnyugtató választ is lehet adni, a kommunikációs session alatt is garantálni kell, hogy a külső fél nem fér hozzá jogosulatlan információkhoz, illetve nem tud káros tevékenységet folytatni a belső rendszerben.

 

Az ideális alkalmazástűzfal megtalálása

A különféle támadási vektorok ellen az egyik legbiztosabb megoldást az alkalmazástűzfalak – web application firewall, azaz a WAF-ok – jelentik (és nem csak a PSD2 kapcsán, hanem bármilyen webes API vagy alkalmazás használata esetén). Nagyon nem mindegy azonban, milyen alkalmazástűzfallal próbálja bebiztosítani magát a cég. Az eszköznek értenie és validálnia kell az XML-t és a JSON-t, illetve a PSD2 API-k által használt egyéb adatmodelleket, hogy ezek elemzésével védekezhessen az ismert támadások ellen. Képesnek kell lennie az API-hívások profilozására, hogy egy feltört webkameráról érkező üzenet (vagyis a mögötte lapuló támadó) ne lophassa el a banki adatainkat. Folyamatosan nyomon kell követnie a sessiont, hogy a külső fél az adatcsere folyamán ne kezdhessen számára nem engedélyezett tevékenységbe. Végül, de nem utolsósorban beépített automatizmusokkal kell szűrnie a nem kívánt botokat és a DDoS támadásokat – például észre kell vennie, hogy egy ügyfél másodpercenként nem 1-2, hanem 20-30 tranzakciót akar végrehajtani.

 

Kiszűri és megelőzi a csalást

Az Imperva SecureSphere védelmi rendszerének az alkalmazásrétegre specializált tagja, a SecureSphere WAF a világ legelterjedtebb és az elemzők által is nagyra értékelt megoldása. Sokáig egyetlenként szerepelt a Gartner mágikus négyzet jobb felső sarkában, és hosszú évek óta kiforrott megoldásként szolgálja a webes alkalmazások védelmét. A fenti követelményeken kívül elég sok speciális esetre is megoldást nyújt: fejlett analitikájának hála olyan kliensbiztonsági funkciót is kínál, amellyel kiszűrhető, megelőzhető a csalás kísérlete is. A SecureSphere rendszer másik két tagja, az adatbázis biztonsági és a file szerver biztonsági megoldásokkal a SecureSphere komplett lefedettséget tud nyújtani egy full stack számára is.

A Verizon friss riportja szerint (amely megtalálható a verizonenterprise.com oldalán) az incidensek által kompromittált elemek listáját az adatbázis szerverek jelentik, ezért a lehető legmagasabb védelmi szintre törekvés közben érdemes megfontolni a WAF-ok és a párhuzamosan, közös felületről menedzselhető adatbázis-védelmi megoldások bevezetését is.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2047 személy szerepel adatbázisunkban.

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4898 cég szerepel adatbázisunkban.

A legkeresettebb cégek: