Naša cesta k bezpečnosti API v Raiffeisen Bank International

Tento článok napísal Peter Gerdenitsch, Group CISO v Raiffeisen Bank International, a je založený na prezentácii počas Imvision Executive Education Programme, série podujatí zameraných na to, ako podniky preberajú zodpovednosť za životný cyklus zabezpečenia API.

Spustenie programu „Security in Agile“.

Raiffeisen Bank International (RBI) so sídlom vo Viedni pôsobí v 14 krajinách strednej a východnej Európy s približne 45 000 zamestnancami. Zameriavame sa na poskytovanie univerzálnych bankových riešení pre zákazníkov, ako aj na vývoj produktov digitálneho bankovníctva pre retailové a korporátne trhy. V súlade s tým má RBI značnú divíziu výskumu a vývoja, čo predstavuje veľmi veľkú komunitu IT a inžinierskych odborníkov v celej Európe.

V roku 2019 sme začali prechádzať na agilné nastavenie RBI riadené produktmi, pričom sme zaviedli rôzne bezpečnostné roly, ktoré prispievajú a spolupracujú na dosahovaní našich strategických cieľov. V rámci tejto cesty sme pre každý z našich produktov vytvorili rolu bezpečnostného šampióna v tíme DevSecOps. Okrem našej centrálnej funkcie „Bezpečnostný dizajn a architektúra“ začali bezpečnostní špecialisti spolupracovať na podpore produktov pri implementácii bezpečných riešení.

Prevzatie vlastníctva bezpečnostného aspektu ich produktu znamenalo viac než čokoľvek iné, čo znamenalo, že šampióni v oblasti bezpečnosti mali dobrú pozíciu na to, aby zabezpečili, že príbehy súvisiace s bezpečnosťou budú uprednostňované počas nevybavených stretnutí v súlade s prijateľnou úrovňou rizika vlastníka produktu.

Založili sme tiež kmene pozostávajúce z niekoľkých produktov spojených s konkrétnou obchodnou líniou, aby sme podporili zdieľaný zmysel pre komunitu. Každý kmeň dostal inú úlohu: „vedúci kapitolu o bezpečnosti“.

Táto úloha mala za úlohu podporovať ostatných bezpečnostných šampiónov v ich kmeni s požiadavkami, hodnotením rizík, návrhovými vzormi a architektúrou vďaka ich rozšíreným odborným znalostiam. Tieto roly boli transparentné, takže nositeľ bezpečnosti pre každý produkt a kmeň bol známy v celej organizácii.

Nakoniec sme vytvorili komunitu praxe, ktorá zahŕňa mesačné stretnutia, na ktorých sa môžu stretávať šampióni v oblasti bezpečnosti zo všetkých rôznych produktov, aby si vymieňali informácie, učili prípadové štúdie a vo všeobecnosti zdieľali poznatky o svojej praxi. Ďalej sme začali podporovať toto komunitné úsilie pondelkovými bulletinmi, aktualizáciami z týždňa a vo všeobecnosti sme podporovali otvorenú výmenu informácií, vedomostí a skúseností.

Zistite viac o tom, ako prevziať kontrolu nad životným cyklom zabezpečenia API

Tréningový program „Bojové umenia“ v oblasti bezpečnosti

Myšlienkou bolo – a stále je – urobiť z bezpečnostného šampióna rolu riadenú výlučne dobrovoľníkmi, čo nás spočiatku znepokojovalo, že nenájdeme dostatok ochotných dobrovoľníkov. Našťastie, opak bol pravdou a dokonca sa nám podarilo na každú pozíciu prijať dvoch ľudí, aby sme pokryli dovolenky a práceneschopnosť. Časť úspechu pravdepodobne pramení z toho, že sme rolu neobmedzovali z hľadiska zázemia, čo znamenalo, že sme videli množstvo dobrovoľníkov aj z rôznych IT a biznis funkcií.

Aby sme túto úlohu ešte viac podporili, začiatkom roku 2020 sme pre našich bezpečnostných šampiónov vytvorili tréningový program založený na systéme opaskov bojových umení. Začalo to s a 3- denný program základného školenia v oblasti bezpečnosti, ktorý sme nazvali školenie Yellow Belt. Zabralo to a rýchlo sme získali prehľad o programe, čo vyústilo do spustenia zoštíhľovača 2-denná verzia žltého pásu, ktorá bola zameraná na každého, kto má záujem dozvedieť sa viac o bezpečnosti.

Tento kratší, zovšeobecnený program pre každého bol určený na podporu spolupráce a povedomia v celej organizácii zdôraznením dôležitosti bezpečnosti v životnom cykle produktu a zdôvodnením programu bezpečnostných šampiónov. Špeciálny deň programu bezpečnostných šampiónov bol zameraný na učenie sa viac o špecifických nástrojoch RBI v obchode, najmä o používaní skenovania zdrojového kódu a nástrojov na správu identity a prístupu.

Postupom času sme zriadili ďalšie, pokročilejšie školiace kurzy, ktoré pomôžu šampiónom v oblasti bezpečnosti vykonávať svoju prácu efektívnejšie. Máme napríklad kurz zabezpečenia API a kurz zabezpečenia cloudu, aby sme si prehĺbili naše znalosti týkajúce sa bezpečnosti v týchto doménach. Podporujeme aj profesionálnu certifikáciu prostredníctvom externých kurzov tým, že našim bezpečnostným šampiónom poskytujeme rozpočet a čas na učenie, ktorý potrebujú na ich absolvovanie.

Prevezmeme zodpovednosť za životný cyklus zabezpečenia API

V súlade so smernicou o platobných službách (PSD) sa za posledných niekoľko rokov od bánk čoraz viac vyžaduje – a očakáva sa – aby otvorili svoje API, aby zákazníkom umožnili jednoduchý prístup k finančným údajom, a to aj prostredníctvom nástrojov a aplikácií tretích strán.

Toto nariadenie katalyzovalo silné zameranie na používanie API, ktoré sa už pripravovalo, a pozícia a spotreba API RBI sa dramaticky zvýšili. Za posledných niekoľko rokov RBI vyvinula mnoho rozhraní API: dnes má náš trh API viac ako 100 externe vystavených rozhraní API, zatiaľ čo interne sme počítali ~1000 rôznych rozhraní API. Nárast implementácie a používania API priniesol bezpečnostné riziká, čo nás podnietilo premýšľať o spôsoboch riešenia bezpečnosti API.

Keďže naše rozhranie API nebolo obmedzené len na tie, ktoré vyžadujú predpisy PSD, rýchlo sme zistili, že nemusíme mať nevyhnutne konzistentný prehľad o všetkých rozhraniach API, ktoré sme nasadili. Rovnako ako mnoho iných spoločností na celom svete, aj my sme mali za úlohu získať centrálny pohľad na API, berúc do úvahy veľký objem a počet používaných API – aby sme mohli zabezpečiť, že je na mieste primeraná a adekvátna úroveň zabezpečenia.

Na vyriešenie niektorých z týchto výziev sme sa rozhodli zriadiť Real-Time Integration Center of Excellence (RICE), ktoré slúži ako centrálna vrstva riadenia pre RBI, vrátane rozhraní API, ktoré sa pripájajú k pôvodným základným bankovým systémom rôznych dcérskych spoločností a získali spoločnosti.

Ako je znázornené na obrázku nižšie, centrálna vrstva správy API má všetky mikroslužby navzájom prepojené, ktoré slúžia podnikovej funkcionalite pre API a externe sa pripájajú k rôznym kanálom a prípadom použitia. Táto vrstva je pre nás výhodná, pretože nám umožňuje zlepšiť zákaznícku skúsenosť, výkon a bezpečnosť.

Z hľadiska bezpečnosti, podľa prístupu „Bezpečnosť v agile“, každý z produktových tímov zahŕňal bezpečnostného šampióna. Spolupracujú s odborníkmi na domény a kapitola o bezpečnosti vedie ku koordinácii bezpečnostných opatrení v súlade s úrovňami rizika určenými vlastníkom produktu, pričom využívajú konzultačný prístup s príslušným vlastníkom podniku, ktorý definuje priority.

Zabezpečenie API: Kľúč k úspechu

Budovanie bezpečnosti API na pevných základoch spolupráce znamená, že naši obchodní a vývojoví partneri sú schopní lepšie pochopiť hodnotu bezpečnosti, prečo to musíme urobiť a dôležitosť ochrany API.

Najdôležitejšie je, že sa ukázalo, že bezpečnosť API bola skupinovým úsilím a že celý tím zdieľal zodpovednosť za túto oblasť:

Z obchodného hľadiska, keďže API sú kľúčovou súčasťou IT infraštruktúry organizácie, ktorá musí byť vystavená externe, je im jasné, že zlomyseľní aktéri by sa do nich pokúsili preniknúť vydávaním sa za spotrebiteľov API. Program nám pomohol uvedomiť si, že bezpečnosť API je zdieľaná medzi vlastníkom produktu a bezpečnostnými tímami IT.

Od konca produktu sú kľúčovými prvkami zabezpečenia API dobrá pripravenosť, učenie sa zo skúseností a implementácia dodatočných vrstiev ochrany.

Okrem toho existuje hlboké porozumenie, že bezpečnosť by sa mala brať do úvahy počas vývoja, dokonca už od fázy návrhu, a že žiadny produkt by nemal byť uvedený na trh bez dôkladného penetračného testovania.

Zistite viac o tom, ako pripraviť testovanie zabezpečenia na éru prvého rozhrania API

Manažment buy-in a zosúladenie je možno jedným z najdôležitejších faktorov pri správnej implementácii zabezpečenia API v podniku. Uistenie sa, že si uvedomujú dôležitosť zabezpečenia API, je kľúčom k dosiahnutiu tohto buy-inu.

Ďalším dôležitým kľúčovým faktorom úspechu je úroveň presnosti technológie detekcie, s ktorou sa rozhodnete pracovať na svojej ceste zabezpečenia API. Čím menej falošných poplachov získate, tým lepšie. V podstate to pre API znamená, že môžete zistiť sekvencie správania, ktoré sa pokúšajú manipulovať s logikou a robiť to v mierke.

Aby bezpečnosť fungovala, je jasné, že táto zodpovednosť by nemala niesť len jedno oddelenie, ale mala by ju zdieľať všetky tímy. Počas našich stretnutí s predstavenstvom RBI sme sa zamerali aj na výhody riešenia Imvision a na to, ako nám umožnilo zamerať sa na hlavné zraniteľnosti a zároveň pochopiť, kde sú funkčné chyby, aby sme uprednostnili nápravu a šetrili zdroje.

Rovnako ako u každého partnera, s ktorým sa rozhodnete spolupracovať, úroveň spolupráce je veľmi dôležitá. Vo všeobecnosti sme mali pocit, že platforma Imvison neposkytuje len silný bezpečnostný mechanizmus, ale aj rozsiahle odborné znalosti, pozitívny impulz a schopnosť reagovať na naše potreby.