哨兵：英内政部基于生物特征识别技术的API安全检测系统

9月份，Forum Systems赞助并由Infosecurity主办的”API安全的论坛“上有些内容或许，会给我们启发。

应用程序编程接口（API）不再仅仅是一种开发工具。它们是大量业务应用和Web服务的基础。API在企业内部连接应用程序，并在组织间共享数据。它们还帮助员工通过诸如单点登录之类的服务来浏览企业IT有时迷宫般的深度。              

咨询公司麦肯锡预计，2018年间，公共API的数量将增加三倍，这就是它们的商业价值。

然而，API也带来了风险。去年对Erimax的攻击可能是公司历史上最昂贵的事件之一。数据泄露已经追溯到Apache Struts2 CVE-20175638，一个开源Web开发组件。

研究人员警告说，超过3000个组织可能受到Struts开发的影响。API也被归咎于最近对Instagram的攻击：一个REST API用于在社交媒体站点的移动应用程序上重置密码。

CISOs和安防行业都开始注意到API附近的风险。在线零售商Photobox的CISO Dinis Cruz在9月份Forum Systems赞助并由Infosecurity主办的关于API安全的论坛中说：“每个API都需要保护。我们正在验证数据泄漏，但说到API，不要相信任何人。”

易于部署是API有用和强大的原因之一。随着更多的软件供应商、Web服务和数据提供者发布API，开发人员可以快速构建复杂的应用程序。

使用API的开发人员可以将遗留应用程序和现代接口结合在一起，并在供应链、政府部门或整个行业之间共享信息。然而，用户需要更加警惕。

“API是安全的震中，”Cruz补充说。“检测攻击的最好方法不是在外缘，而是在应用程序和API中。”

不幸的是，对于用户来说，API很少被设计为具有安全性的。开发人员变得更加需要安全意识。

APIS应该被视为潜在的风险，论坛系统首席技术官Jason Macy建议。例如，论坛的哨兵系统对API数据有效载荷进行深度内容检查，包括发送给美国的每个纳税申报表。

事实上，政府是一个已经非常重视API安全的部门。政府需要API将它们大量的IT系统和数据存储连接在一起，并为其工作人员提供现代用户界面和移动访问。没有API，这项任务将是超乎想象的昂贵。如果没有API安全性，共享数据和连接应用程序就太危险了。

结合生物特征识别

UK Biometrics Service （英国生物特征识别服务）通过API来实现深度集成的安全服务。

在英国和海外，内政部系统拥有1.2亿个生物特征记录并向50多个组织和45000个用户提供服务。该服务每年处理四百万个签证申请，六百万个护照申请和六百万个边境检查。这是为了向警察部队提供指纹数据。

网站（https://www.gov.uk/government/organisations/home-office）

家庭办公室生物特征利用网关将服务用户连接到“遗留”的家庭办公室生物识别系统。“网关控制对端点的访问，并向消费者提供公共API，从而保护他们免受对遗留系统的更改。该网关是一系列安全控制中的第一环，这些安全控制确保对生物特征数据的访问符合政策和立法，”Graham Camm，首席生物特征技术架构师，论坛系统活动上说。

生物特征服务网关在两个云托管的冗余设备上使用活动的主动配置。一对论坛系统的哨兵API网关保护对每个安装的访问。“生物识别服务门户是生物识别服务的前门，而哨兵是前门的前门，”内政部生物识别技术专家和活动发言人尼克·格雷厄姆补充道。

生物特征服务网关被设计为提供系统到系统认证。目前，该机构不认证终端用户设备，尽管这是未来可能添加的功能。然而，就目前而言，警察部队和其他机构对其用户进行认证，生物特征服务网关控制来自最终用户机构的系统的通信量。

Sentry简化了为核心应用程序合并多个API的体系结构，该核心应用程序具有更简单、单一、通用的接口，“以完成生物特征方面的工作，”Grahame说。

这种方法的一个例子是警察的移动指纹扫描。“我们有一个有大约400个设备的系统。这是非常昂贵的运行，警察经常不得不携带四个单独的设备，“卡姆解释说。

“我们现在提供了一个与警方移动应用服务集成的API。大多数官员有一个智能手机，可以连接到移动指纹扫描仪。它提供了节约成本，但也更大的能力。西约克郡警察已经开始使用了。

Belden重新认知身份

虽然英国生物识别服务的方法以系统到系统认证为中心，但是其他组织正在转向API以阻止用户访问IT。这对于那些通过收购成长并在此过程中继承了数十个IT系统的公司来说是一个特别的挑战。

Belden是一家总部设在美国的制造商，它可能最出名的是扬声器电缆，但其商业利益延伸到运输和广播。

Belden希望简化对其业务系统的访问，并消除员工使用多个用户名和密码的需要。负责销售和市场解决方案的IT经理查德·马修斯（Chad Matthews）在论坛系统活动上说：“我们想简化用户访问，绕开系统的迷宫。”这包括Active Directory、Salesforce.com和分析软件包Tableau。

Matthews的团队研究了单点登录网关的多个选项，以便将企业的16个Active Directory实例以及云技术结合在一起。Belden在虚拟设备上安装了两个Sentry实例，其中负载平衡和故障转移到企业的全球灾难恢复站点。

马休斯说，哨兵是通往Belden企业门户网站的大门，从一开始就富有成效。“我们为B2B门户创建了一个简化的安全模型，我们现在正在测试beta双因素认证，”他补充说。

有了API网关，Belden可以简单地安装诸如双因素身份验证之类的升级，而无需修改业务的核心应用程序。

随着信息和数据共享对于所有组织来说越来越重要，API变得越来越重要，确保这些API保持安全对于公共和商业部门都是至关重要的。

来源参考：

https://www.infosecurity-magazine.com/news-features/apis-risks-potential-solutions/

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。