9月份,Forum Systems赞助并由Infosecurity主办的”API安全的论坛“上有些内容或许,会给我们启发。

应用程序编程接口(API)不再仅仅是一种开发工具。它们是大量业务应用和Web服务的基础。API在企业内部连接应用程序,并在组织间共享数据。它们还帮助员工通过诸如单点登录之类的服务来浏览企业IT有时迷宫般的深度。              

咨询公司麦肯锡预计,2018年间,公共API的数量将增加三倍,这就是它们的商业价值。

然而,API也带来了风险。去年对Erimax的攻击可能是公司历史上最昂贵的事件之一。数据泄露已经追溯到Apache Struts2 CVE-20175638,一个开源Web开发组件。

研究人员警告说,超过3000个组织可能受到Struts开发的影响。API也被归咎于最近对Instagram的攻击:一个REST API用于在社交媒体站点的移动应用程序上重置密码。

CISOs和安防行业都开始注意到API附近的风险。在线零售商Photobox的CISO Dinis Cruz在9月份Forum Systems赞助并由Infosecurity主办的关于API安全的论坛中说:“每个API都需要保护。我们正在验证数据泄漏说到API,不要相信任何人。”

易于部署是API有用和强大的原因之一。随着更多的软件供应商、Web服务和数据提供者发布API,开发人员可以快速构建复杂的应用程序。

使用API的开发人员可以将遗留应用程序和现代接口结合在一起,并在供应链、政府部门或整个行业之间共享信息。然而,用户需要更加警惕。

“API是安全的震中,”Cruz补充说。“检测攻击的最好方法不是在外缘,而是在应用程序和API中。”

不幸的是,对于用户来说,API很少被设计为具有安全性的。开发人员变得更加需要安全意识。

APIS应该被视为潜在的风险,论坛系统首席技术官Jason Macy建议。例如,论坛的哨兵系统对API数据有效载荷进行深度内容检查,包括发送给美国的每个纳税申报表

事实上,政府是一个已经非常重视API安全的部门。政府需要API将它们大量的IT系统和数据存储连接在一起,并为其工作人员提供现代用户界面和移动访问。没有API,这项任务将是超乎想象的昂贵。如果没有API安全性,共享数据和连接应用程序就太危险了。

结合生物特征识别

UK Biometrics Service 英国生物特征识别服务通过API来实现深度集成的安全服务

在英国和海外,内政部系统拥有1.2亿个生物特征记录并向50多个组织和45000个用户提供服务。该服务每年处理四百万个签证申请,六百万个护照申请和六百万个边境检查。这是为了向警察部队提供指纹数据。

网站(https://www.gov.uk/government/organisations/home-office)

家庭办公室生物特征利用网关将服务用户连接到“遗留”的家庭办公室生物识别系统。“网关控制对端点的访问,并向消费者提供公共API,从而保护他们免受对遗留系统的更改。该网关是一系列安全控制中的第一环,这些安全控制确保对生物特征数据的访问符合政策和立法,”Graham Camm,首席生物特征技术架构师,论坛系统活动上说。

生物特征服务网关在两个云托管的冗余设备上使用活动的主动配置。一对论坛系统的哨兵API网关保护对每个安装的访问。“生物识别服务门户是生物识别服务的前门,而哨兵是前门的前门,”内政部生物识别技术专家和活动发言人尼克·格雷厄姆补充道。

生物特征服务网关被设计为提供系统到系统认证。目前,该机构不认证终端用户设备,尽管这是未来可能添加的功能。然而,就目前而言,警察部队和其他机构对其用户进行认证,生物特征服务网关控制来自最终用户机构的系统的通信量。

Sentry简化了为核心应用程序合并多个API的体系结构,该核心应用程序具有更简单、单一、通用的接口,“以完成生物特征方面的工作,”Grahame说。

这种方法的一个例子是警察的移动指纹扫描。“我们有一个有大约400个设备的系统。这是非常昂贵的运行,警察经常不得不携带四个单独的设备,“卡姆解释说。

“我们现在提供了一个与警方移动应用服务集成的API。大多数官员有一个智能手机,可以连接到移动指纹扫描仪。它提供了节约成本,但也更大的能力。西约克郡警察已经开始使用了。

Belden重新认知身份

虽然英国生物识别服务的方法以系统到系统认证为中心,但是其他组织正在转向API以阻止用户访问IT。这对于那些通过收购成长并在此过程中继承了数十个IT系统的公司来说是一个特别的挑战。

Belden是一家总部设在美国的制造商,它可能最出名的是扬声器电缆,但其商业利益延伸到运输和广播。

Belden希望简化对其业务系统的访问,并消除员工使用多个用户名和密码的需要。负责销售和市场解决方案的IT经理查德·马修斯(Chad Matthews)在论坛系统活动上说:“我们想简化用户访问,绕开系统的迷宫。”这包括Active Directory、Salesforce.com和分析软件包Tableau。

Matthews的团队研究了单点登录网关的多个选项,以便将企业的16个Active Directory实例以及云技术结合在一起。Belden在虚拟设备上安装了两个Sentry实例,其中负载平衡和故障转移到企业的全球灾难恢复站点。

马休斯说,哨兵是通往Belden企业门户网站的大门,从一开始就富有成效。“我们为B2B门户创建了一个简化的安全模型,我们现在正在测试beta双因素认证,”他补充说。

有了API网关,Belden可以简单地安装诸如双因素身份验证之类的升级,而无需修改业务的核心应用程序。

随着信息和数据共享对于所有组织来说越来越重要,API变得越来越重要,确保这些API保持安全对于公共和商业部门都是至关重要的。

来源参考:

https://www.infosecurity-magazine.com/news-features/apis-risks-potential-solutions/

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。