《数据安全风险评估白皮书》
400-100-9516
solution
黑灰产及护网API安全方案
市场背景
市场背景

随着互联网应用的多元化、复杂化,应用服务化已成为显著趋势,越来越多场景中的应用架构中采用API作为应用间的数据传输和控制;同时,API接口负责传输的数据量以及敏感性也在增加;因此针对API的攻击已经变得越来越频繁和多样,API安全已成为当今不少企业的高度关注点。我国也相继出台了《信息安全技术个人信息安全规范》、《数据安全法》、《个人信息保护法》等多部涉及特定API技术或应用场景的数据安全保护的标准及法律法规。

风险场景
黑灰产数据窃取场景

企业有对外开放的API服务,且有敏感数据暴露在互联网上,主要关注API的对外数据暴露面和黑灰产数据窃取行为。

护网场景

企业要参加护网行动,关注自身API潜在的风险隐患和护网场景下的攻击行为。

以行业为例,剖析需要关注的风险点
  • 银行业:手机银行、微信银行、小程序、第三方业务开放API等大量API接口对外提供,导致大量客户数据暴露在互联网上,一旦产生脆弱性风险,非常容易被护网场景下的攻击者作为突破口攻击。
  • 政务云:市民卡、市政系统等大量互联网政务系统需要开放API接口在互联网上,容易造成公民个人信息(居住证、学历信息等)的暴露,给黑灰产以可乘之机;
  • 运营商:各大运营商出于业务需要,经常会做一些优惠券促销活动,大量优惠券API接口暴露在互联网上,若这些API接口存在安全隐患(如可参数遍历)就有可能会被恶意利用给各大运营商带来严重损失;
  • 医疗业:疫情环境下的核酸检测,衍生出了大量不规范的报告查询APP、小程序、在线业务等,这些在线业务由于其上线周期短可能存在大量的API安全隐患,使得大量客户的敏感数据暴露在互联网上;
  • 互联网:基于不同互联网行业的实际业务场景,会开放大量的业务API接口给到第三方合作伙伴、第三方用户等,针对暴露在互联网上的API的攻击容易导致客户数据的大量泄露;
  • 证券业:App、小程序、开放API业务等会暴露大量API到互联网上,这些暴露在互联网上的API一旦存在安全隐患容易被红方利用,给护网带来严重的风险。
客户痛点
与日俱增的API接口

随着技术的兴起,服务端需要增加大量的API接口处理数据源,同时业务的不断变化导致接口的生命周期差异很大。

API接口的独特性

每个API都是唯一的,传统的API解决方案缺乏对API的细粒度理解, 忽略了针对API的攻击逻辑。

日益复杂的API场景

众多企业单位办公实现的方式多样化,相应出现系统的多样化,相互间的数据传输大多数采用的API实现方式或前后端分离等技术特点实现,大大增加了API在目前多个行业的场景。

错综复杂的API管理

面对API接口复杂度高、个性化程度大、业务变化快等问题,企业难以应对完备性的安全风险管理。

持续多样的攻击方式

持续不断的漏洞扫描、APT、钓鱼邮件、ARP欺骗等多样的攻击手段,对企业数据安全造成了极大的困扰。

全知方案与特色
资产梳理——让“一锅粥”变成“一本账”
持续清点所有API接口并进行分类分级,包括影子API和僵尸API,形成API全量清单,包括API的类型、可以获取的敏感数据、敏感等级、返回的数据量等;识别暴露PII或其他敏感数据的API ,形成数据暴露面清单,并对暴露面进行分级,方便企业对API数据暴露面进行安全管理,有效缩减攻击面和数据暴露面。
脆弱性评估——从“分散多点”到“全面覆盖”

对API接口进行全面脆弱性评估,包括数据权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口;针对接口评估中暴露出的安全问题,系统会给出对应的整改建议和风险证据样例,即这个API实际长什么样,帮助企业快速明确问题。

风险监测——从“被动堵漏”转为“主动防护”

除了发现SQL注入等常见的Web攻击外,系统会采用机器学习技术对API进行参数建模和画像,发现针对具体API特性的攻击;实时发现数据遍历、拉取等攻击行为,并及时进行告警处置,防止恶意攻击者窃取企业或客户的敏感数据;持续监测包括账号撞库、暴力破解、弱密码账号等行为,及时发现被攻破的账号,进行安全处置;持续监测API的全生命周期,帮助企业实时掌握每一个API的活跃状态,包括API新增、失活、活跃等。

方案价值
掌握资产现状,避免管理盲区

帮助企业建立全量的API清单,发现边角、废弃系统和未纳入管理的API。

监测数据暴露面,落地数据安全规范

对敏感数据API的生命周期进行管理,帮助安全团队更好的落地数据脱敏规范、数据开放策略等。

发现API接口弱点,降低数据泄露风险

自动发现数据伪脱敏、过量数据返回、未鉴权、参数可遍历等API弱点,及时修复降低弱点被利用的风险。

识别针对性攻击尝试,避免造成实际危害

通过智能行为异常识别算法,在攻击侦查阶段发现他们并采取措施。将攻击者转换为企业的渗透测试者。

成功案例
大型快递行业
  • 项目背景:某大型快递行业由于其业务场景,需要在互联网上开放大量的API接口,而该企业此前有遭受过严重的客户数据泄露现象,比较关注过量数据的暴露和黑灰产数据窃取问题。
  • 项目实施:通过应用全知科技API安全解决方案,帮助客户针对数据暴露面进行了整改,并持续监测黑灰产的数据窃取情况。
  • 一方面,通过帮助用户梳理API资产,发现暴露在互联网上的敏感数据API,对这些API进行数据脱敏和持续的暴露面监测,直观反映暴露面的治理情况:共帮助梳理API资产17w余个,其中有1037个API是暴露在互联网上且透出敏感数据的API,通过对这一千多个API进行弱点识别,共发现存在未鉴权可访问的API32个,伪脱敏API64个,过量数据返回37个,参数遍历21个等,通过推动内部对这些标志性安全隐患的修复,并持续不断发现安全隐患,形成良性的安全治理循环:发现-修复-持续发现。
  • 另一方面,通过持续监测重点数据接口的访问行为,及时发现黑灰产数据窃取风险,帮助企业对风险事件进行处理,减少不必要的安全损失:共发现黑灰产数据窃取风险事件3起,分别是来自安徽的某2个IP和来自福田的某IP通过短时间内不断更换请求参数(手机号)碰撞拉取快递信息(寄件人姓名、寄件人地址、寄件人手机号、寄件内容、收件人地址、收件人姓名、收件人手机号等),其中一条风险事件累计泄露快递信息3,0218条,共涉及到个人信息6,0536条。API产品通过及时的告警,推动内部安全运营人员针对此IP进行了访问限制,减少了后续的数据泄露情况。
     
某银行机构

在一次对某银行的数据安全运营分析过程中,发现了来自外网的恶意IP通过篡改身份证号的方式批量试探拉取此银行的客户数据的现象,结合上下问关联分析,发现此IP在触发数据窃取风险之前的前一周都在执行扫描操作,并利用了扫描成功的API进行了批量数据拉取,从而导致该银行4,218条个人信息的泄露。

此风险案例的实施步骤如下:

2021-03-20 – 2021-03-28日期内的每日23:00:00 – 05:00:00执行扫描操作,累计扫描用户web系统3,019个,扫描API 58,291个,扫描成功API 391个;

2021-03-28 13:00:00利用扫描成功的API,并不断尝试更换身份证号这个入参试探拉取此银行的客户数据,主要包括客户的银行卡号、身份证号、手机号、开户时间等,累计获取了4,218条个人数据,该IP当日累计请求11,3452次,每秒钟访问频次高达102次,造成此银行客户数据的大批量泄露,给银行带来较大的安全影响。

此案例与去年银保监会下发的关于“某金融机构的微信银行业务系统存在数据安全风险,引起资金被盗取的安全事件”有很大相似之处。

在线客服