سهم 28 درصدی شرکت‌های خدمات مالی از کل حملات سایبری

به گزارش کارگروه حملات سایبری سایبربان؛ تحقیقات ایمپروا ترت (Imperva Threat) نشان می‌دهد که بیش از یک‌چهارم حملات سایبری (28٪) به مشاغل خدمات مالی ضربه می‌زند که دو برابر بیشتر از بخش بعدی است که بیشترین هدف را دارد. سوءاستفاده از رابط برنامه‌نویسی برنامه (API)، حملات دیداس (DDoS) و ربات‌های بد، سه مورد از بزرگ‌ترین چالش‌های امنیت سایبری برای این صنعت بوده‌اند.

خطر رو به رشد مرتبط با تهدیدات امنیتی مرتبط با سوءاستفاده از رابط برنامه‌نویسی برنامه، باید به‌ویژه برای صنعت خدمات مالی نگران‌کننده باشد، زیرا رابط‌های برنامه‌نویسی برنامه بافت همبند نامرئی هستند که برنامه‌ها را قادر می‌سازد تا داده‌ها را به اشتراک بگذارند و با یکدیگر صحبت کنند. تحقیقات ایمپروا ترت نشان می‌دهد که 30٪ از کل ترافیک رابط برنامه‌نویسی برنامه در این صنعت از طریق رابط‌های برنامه‌نویسی برنامه سایه انجام می‌شود که نشان‌دهنده یک خطر امنیتی بزرگ برای مشاغل است. رابط برنامه‌نویسی برنامه، سایه‌هایی هستند که بدون نظارت یا خارج از دید تیم امنیتی هستند، اما مستقیماً به پایگاه‌های داده پشتیبان که در آن داده‌های حساس ذخیره می‌شوند متصل می‌شوند. در سال‌های اخیر، هکرها به‌طور فزاینده‌ای رابط برنامه‌نویسی برنامه‌ها را به‌عنوان مسیری برای زیرساخت‌های زیربنایی برای استخراج اطلاعات حساس مورد هدف قرار داده‌اند، به‌طوری‌که از هر 13 حادثه سایبری یک مورد به ناامنی رابط برنامه‌نویسی برنامه مربوط می‌شده است.

از سال 2018، بانکداری باز، بانک‌ها و سایر کسب‌وکارهای مالی را ملزم کرده است تا به ارائه‌دهندگان شخص ثالث اجازه دسترسی به داده‌های بانکی مشتریان از طریق رابط‌های برنامه‌نویسی برنامه را بدهند که به‌طور چشمگیری میزان داده‌های مالی حساسی را که مبادله می‌کنند افزایش خواهد داد. بانکداری باز و تحول دیجیتال به میزان قابل‌توجهی میزان رابط‌های برنامه‌نویسی برنامه مورداستفاده در صنعت خدمات مالی را افزایش داده است. تقریباً نیمی از کسب‌وکارها بین 50 تا 500 مورد مستقر دارند، درحالی‌که بسیاری از شرکت‌های بزرگ در حال حاضر بیش از هزار رابط برنامه‌نویسی برنامه فعال دارند. مقیاس ترافیک رابط برنامه‌نویسی برنامه نظارت نشده به‌طور قابل‌توجهی بالاتر از سایر صنایع است و نشان می‌دهد که اجرای استانداردهای بانکداری باز توسط شرکت‌های خدمات مالی ممکن است به‌طور ناخواسته یک تهدید امنیتی جدی و گسترده در صنعت ایجاد کرده باشد.

اندی زولو، مسئول نمایندگی ای ام ای ای (EMEA) در ایمپروا می‌گوید که مقیاس مشکل رابط برنامه‌نویسی برنامه سایه باید برای هر کسب‌وکاری نگران‌کننده باشد.

او معتقد است:

این ایده که یک‌سوم از کل این ترافیک بدون نظارت انجام می‌شود، نشان می‌دهد که سازمان‌ها باید فوراً به استراتژی‌های حفاظت از رابط برنامه‌نویسی برنامه خود بپردازند.

رابط‌های برنامه‌نویسی برنامه مستقیماً به لایه داده متصل می‌شوند، بنابراین کسب‌وکارها باید امنیت رابط برنامه‌نویسی برنامه را به‌عنوان توسعه استراتژی امنیت داده‌شان ببینند. هر سازمانی نیاز به دید کامل از هر رابط برنامه‌نویسی برنامه در محیط خود دارد، اینکه چه داده‌هایی در هرکدام جریان دارند و چه کسی به آن دسترسی دارد.

دومین تهدید کلیدی برای مشاغل خدمات مالی، ربات‌های بد هستند. ربات‌های بد که برنامه‌های نرم‌افزاری خودکاری هستند که با اهداف مخرب ایجاد شده‌اند، بیش از یک‌چهارم (۲۷ درصد) از کل ترافیک کسب‌وکارهای خدمات مالی را در سال گذشته تشکیل می‌داده‌اند که مطابق با میانگین صنایع مختلف است. تصاحب حساب (ATO) که یک حمله رباتی رایج است، به‌شدت صنعت خدمات مالی را هدف قرار می‌دهد و تقریباً 40٪ از کل تصاحب حساب، به یک سایت مالی ضربه می‌زند.