《数据安全风险评估白皮书》
知源-数据资产地图系统
知形-应用数据风险监测系统
知影-API风险监测系统
知踪-数据库风险监测系统
知镜-数据安全检测工具
全链路-数据流动安全管理平台
数据出境-合规治理平台
数据安全咨询-服务
数据安全评估-服务
数据安全测评-服务
数据安全认证-服务
数据安全治理综合方案
数据安全分类分级方案
内部人员数据风险管理方案
黑灰产及护网API安全方案
数据安全风险评估解决方案
数据安全咨询服务规划方案
政务数据共享安全解决方案
银行业数据安全解决方案
保险业数据安全解决方案
运营商数据安全解决方案
互联网数据安全解决方案
教育行业数据安全解决方案news
全知动态
5月23日,第十届互联网安全大会(ISC 2022)正式开启大会序幕,作为ISC 2022的先导,本次序幕开启首日同步上线了十大元宇宙数字安全论坛;作为新一代数据安全引领者,全知科技受邀参与本次活动并分享主题演讲 。
基于当前高发的数据泄露及API安全威胁,全知科技产品市场部总监申杰在ISC 2022高级威胁检测与响应技术论坛上分享了《API资产梳理数据风险监测的场景&实践》主题演讲,为各大政企组织提供了API安全实践思路和解决方案。
(完整演讲资料可至文末扫码获取)
数据安全侧法律合规要求
数据作为第五大生产要素,对国家的经济发展有重要支撑作用。面对严峻的数据安全形势,国家先后出台了《数据安全法》、《个人信息保护法》等多部法律法规,对数据安全、个人信息安全都做出了重点、针对性的划分和增加。
《数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
此外,像金融、运营商、政务等重监管的行业也开始出台落地了相应行业的针对数据安全的一些策略和要求,以提高数据处理者在整个业务发展过程中对数据安全的重视。
典型业务风险及实践场景
围绕数据处理活动场景,全知科技产品市场部总监申杰以行业为例,根据银行、保险、证券、互联网、政务、医疗、运营商等不同行业的实际业务场景,进行了针对性的典型风险点举例、解析。
企业面临挑战及解决方案
随着越来越多的微服务应用部署,API应用迭代速度越来越快,API接口数量与日俱增。API承载了内部办公和互联网边界的主要业务场景,是影响数据安全和个人信息保护的重要风险来源。
从各行各业的实践场景中可以发现,API安全现状不容乐观,大多数企业在API安全管理上存在着一定的难度和挑战,主要体现在以下3点:
企业的业务系统繁多,API接口新增速度快,容易遗漏或者无法发现一些边角、废弃系统以及未纳入管理的API,存在API安全的管理盲区。
API复杂度、个性化程度大,再加上API资产变更掌握不及时或开发人员安全意识不足,容易导致API安全测试面严重不全。
针对API的合规管理,企业无法判断API是否真的存在风险,以及如何推动这些风险完成整改、如何评估整改后的效果。
基于此,全知科技结合API风险场景,形成了以数据为中心的新一代API安全解决方案,为企业提供API接口资产梳理、API弱点和漏洞发现、API异常行为监测、API生命周期管理等核心安全能力。
API接口自动化梳理
自动发现公开的、私有的、面向合作伙伴的所有API并进行分类分级,包括影子API和僵尸API,形成API全量清单;自动识别暴露PII或其他敏感数据的API ,并对暴露面进行分级,避免安全管理盲区,降低API数据泄漏与和合规风险。
对API接口进行全面脆弱性评估,包括接口权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口,完整覆盖OWASP Top 10 ;针对接口评估中暴露出的安全问题,提供对应的整改建议和风险证据样例,帮助企业快速整改。
系统会采用机器学习技术主动对API接口进行攻击学习,发现针对具体API特性的攻击,识别API扫描、路径试探、异地调用、IP高频撞库、暴力破解、数据遍历等攻击风险。
持续监测API的全生命周期,帮助企业实时掌握每一个API的活跃状态,包括API新增、失活、活跃等。对于不同类型的API资产进行相应的保护,实现对API的系统性管理。
全知科技API安全监测方案,不仅能够帮助企业在静态数据资产梳理的基础上实现更加全面的资产梳理,同时,通过一体化的安全防护体系能够有效提高企业的安全运营效率,增加安全防护能力范围,奠定数据安全基础。
