来自 资讯 2021-07-18 15:11 的文章

香港ddos防御_防cc攻击拦截代码_零误杀

香港ddos防御_防cc攻击拦截代码_零误杀

我们介绍JonScheele,咨询师和培训师,与金融机构合作,建立基于API的合作关系。他正在开始一系列博客,旨在金融机构和金融科技公司,帮助他们应对新兴技术和监管驱动的欧盟市场格局。对于本系列的下一个,ddos防御开发,请遵循文章底部的链接。金融机构(FI)和FinTech(金融技术初创企业)之间的合作关系必须超越客户价值主张。严格的法规,如EIDA,用于保护电子交易,PCI DSS,规定如何捕获、存储和组织支付数据,以及GDPR关于客户隐私,要求将网络安全嵌入客户旅程的所有阶段。为了对客户信息和金融资产提供端到端保护,所有合作伙伴系统必须包括身份验证和授权、数据保护、系统完整性以及主动检测和应对网络安全事件。由于应用程序编程接口(API)是伙伴连接的关键,因此实现高级别API安全是当务之急。那么,这一切都是谁负责的?无论你是以FI还是FinTech公司的身份阅读这篇文章,ddos基础防御怎样开通,都有一个平衡的行为需要做。让我们考虑以下问题:机会普华永道英国公司和开放数据研究所联合报告预测,到2022年,开放银行将创造72亿英镑的收入机会。这包括新产品和服务的增量收入,cc防御公司,以及如果新产品和服务的现有收入无法适应,则存在风险。在目标市场细分市场向FinTech合作伙伴开放API,可以扩展银行获取、参与和与客户进行交易的能力。普华永道2017年对17个国家39家主要银行的调查发现,"92%的银行表示,与非银行的伙伴关系在未来将非常重要或重要","71%的银行同意或完全同意,合作伙伴/合作将需要跟上创新步伐"。调查受访者描述FinTech的优势是带来新技术和改进客户体验,而FIs的优势是其安全基础设施、现有客户基础、客户知识和数据可用性。风险但风险不会消失,金融机构也不负责监管机构和客户,以保持客户敏感信息和资金的安全。金融机构需要提高警惕,以防止客户信息、未经授权交易或其系统或账户被用于洗钱或违反制裁的损失或盗窃。威胁当合作伙伴系统添加到FI的数字生态系统中时,病毒、恶意软件、中间人、钓鱼和拒绝服务(DOS)攻击的威胁会被放大。最近发生的两起事件表明,FIs合作伙伴的客户数据的脆弱性增加:英国Ticketmaster的数据泄露了4万名客户的个人和支付卡详细信息。当Ticketmaster的ChatBot提供程序Inenta创建的Javascript代码应用到Ticketmaster的payments页面时,会创建该漏洞。虽然有消息称黑客组织Magcart感染了Inpenta的脚本,但发行这些卡的是银行,需要处理受影响的客户。澳大利亚新的数字房地产交易服务PEXA的违约突出了如果非银行合作伙伴系统受到损害,客户可能会遭受的损失。在这起事件中,一名黑客通过截获一封密码重置电子邮件给一名转让代理,建立自己的用户账户,并将资金重新定向到自己的银行账户,从家庭财产结算中抽取25万美元。对此,PEXA正在实现多因素认证、密码重置方面的附加控制以及客户保证。然而,此次违规造成的名誉损失正值培xa、银行和政府试图建立公众对新的数字系统的信心,以取代一个150年历史的纸质程序之际。管理保护免受威胁需要采取全生态系统的网络安全方法,包括:在授予FI生产系统访问权之前,高防cdn设备,审查合作伙伴;合作伙伴对API使用情况的细粒度监控;验证合作伙伴系统的身份;标记化:用令牌或占位符替换敏感客户数据。这使得FI能够在不暴露原始数据的情况下与客户在其"令牌vault"中匹配。FIs在培育合作伙伴生态系统方面面临的挑战是,教育合作伙伴的开发人员如何使用API,而不提供可用于黑客系统的信息。为了鼓励开发人员试用API,许多机构都在发布开发人员门户,内网ddos怎么防御,其中包括指南、示例代码和一个"沙盒"环境,使开发人员能够进行模拟API调用。虽然沙盒使开发人员很容易开发和测试原型,但允许合作伙伴应用程序调用FI的生产API需要更严格的检查。在合作伙伴应用程序访问FI的实时生产系统之前,FI必须满足FI和FinTech的控制保护客户信息和生产系统的要求。API的优点在于,它们在FI系统上放置了一层抽象。他们不必透露有关底层系统的信息(合作伙伴不必知道底层系统如何工作才能与之交互)。此外,通过仅允许一种方式进入FI系统,访问和使用也可以密切监控。事件响应API安全的责任完全由API提供者——FI本身承担。如果无法理解此类业务功能中的固有漏洞,可能会导致大量损失和风险。FinTech合作伙伴必须集成到FI的安全事件和事件管理(SIEM)能力中,包括:过程:API调用用法。按功能/活动。音量。错误。响应:小心。隔离/隔离/关闭受影响区域(伙伴系统访问API)。通知:合作伙伴。客户。监管者。认证方法从传统的客户FI接口到三向客户Fintech FI模式的转变,增加了"攻击面"(更多攻击和攻击点)。这需要一个新的网络安全信任模型,客户可以同意FI,从而允许FinTech访问他们的帐户信息,而不暴露客户的登录凭据。因此,在使用中介FinTech服务时,必须采取进一步的治理和信息安全控制,以保护客户。欧洲银行管理局(EBA)根据《支付服务指令》(PSD2)制定了实施担保的指导方针。这些要求"强大的客户身份验证",包括基于客户拥有(拥有)、知道(知识)或(内在)的内容使用多因素认证(例如双因素认证)。开放协议(如OAuth和OpenID Connect)是当前授予第三方访问帐户信息的最佳做法,同时维护客户登录凭据的隐私。还需要根据所调用的活动(如资金转移或付款)重新验证。实施EBA安全指南是最低限度的。企业必须进一步确保控制措施得到测试并按预期运作。必须将安全性内置到应用程序开发实践中,以确保没有可被黑客、恶意软件和API滥用利用的漏洞。安全成长建立FI/FinTech合作关系需要采取全生态系统的网络安全方法。这包括开发健壮的合作伙伴筛选和登船流程、应用OAuth2.0和OpenID连接安全协议、基于数字证书的身份验证和令牌化等方法,以及与FI的安全事件和事件管理流程集成。将这些控制措施建立到伙伴关系的形成和扩展中,将确保FIs、FinTech及其客户(安全)获得合作关系的好处。这篇博客是为FinTechs和金融机构撰写的。请关注本系列的下一部分:如何在开放银行合作伙伴关系第1部分中实现安全API—强大的客户身份验证。注:本博客文章是由一位来宾撰稿人撰写的,目的是为读者提供更多的内容。本文所表达的观点仅是作者的观点,不一定反映出全球的观点。