案例警示���,不可忽視的API安全
2021年11月10日
一���、你的隱私數(shù)據(jù)正在被泄露
API作為影響數(shù)據(jù)安全和個(gè)人信息保護(hù)的重要風(fēng)險(xiǎn)來(lái)源���,一旦發(fā)生安全問(wèn)題,泄露的將是海量的數(shù)據(jù)�����,影響面不可估量�;更甚之,若API被攻擊的情況發(fā)生在一些重要行業(yè)����,例如金融行業(yè)、醫(yī)療行業(yè)�����、政務(wù)行業(yè)等���,導(dǎo)致個(gè)人的醫(yī)療信息����、金融信息等隱私數(shù)據(jù)被不法分子利用,不僅會(huì)給個(gè)人帶來(lái)權(quán)益的損失�,還會(huì)引發(fā)惡劣的社會(huì)影響,甚至影響國(guó)家安全���。
從1個(gè)案例看API安全
10月11日�,在2021國(guó)家網(wǎng)絡(luò)安全周線上主題晚會(huì)“網(wǎng)安在行動(dòng)”環(huán)節(jié)����,展示了1個(gè)由API導(dǎo)致的數(shù)據(jù)泄漏警示案例��。
2021年9月���,某監(jiān)管部門(mén)進(jìn)行網(wǎng)絡(luò)安全巡檢�,在使用全知科技知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)對(duì)醫(yī)療領(lǐng)域在互聯(lián)網(wǎng)上的一些數(shù)據(jù)接口進(jìn)行巡檢時(shí)�����,發(fā)現(xiàn)告警平臺(tái)上報(bào)出一條高風(fēng)險(xiǎn)告警事件…
對(duì)這條風(fēng)險(xiǎn)告警進(jìn)行技術(shù)分析�,發(fā)現(xiàn)是一家醫(yī)院系統(tǒng)在互聯(lián)網(wǎng)上開(kāi)放的一個(gè)數(shù)據(jù)暴露API,用來(lái)給患者提供查詢自身報(bào)告數(shù)據(jù)�。然而,技術(shù)人員僅需通過(guò)一些簡(jiǎn)單的操作�����,就能隨意獲取病人的全部報(bào)告數(shù)據(jù),包括姓名�����、手機(jī)號(hào)�、身份證號(hào)、年齡�、病例信息,尤其是心電圖����、X光片等敏感信息數(shù)據(jù),這些是《個(gè)人信息保護(hù)法》里典型的敏感個(gè)人信息��,一旦泄露對(duì)用戶危害巨大�����。
全知科技技術(shù)人員分析�����,這種數(shù)據(jù)泄露正是由API自身的安全隱患所引起的�,由于醫(yī)院開(kāi)放的數(shù)據(jù)查詢接口沒(méi)有做嚴(yán)格的身份校驗(yàn)��、訪問(wèn)控制�,任何人都可以通過(guò)一串報(bào)告的數(shù)字或者患者手機(jī)號(hào)等信息�����,直接查詢到患者的個(gè)人醫(yī)療數(shù)據(jù)信息��。
除此之外����,通過(guò)全知科技知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng),還發(fā)現(xiàn)了一個(gè)攜帶版本號(hào)的接口�����,此接口雖然包含敏感數(shù)據(jù)�����,但都做好了脫敏處理���,推測(cè)可能是內(nèi)部在進(jìn)行版本升級(jí)迭代時(shí)對(duì)API做了數(shù)據(jù)暴露面的安全治理;然而�,當(dāng)我們繼續(xù)嘗試訪問(wèn)低版本的API時(shí)�,發(fā)現(xiàn)較低版本的API上依舊透出了大量明文敏感數(shù)據(jù)����,包括主任醫(yī)生的科室、職級(jí)����、個(gè)人手機(jī)號(hào)碼等敏感數(shù)據(jù)。
這種數(shù)據(jù)泄露的風(fēng)險(xiǎn)情形���,是由于系統(tǒng)升級(jí)迭代頻繁造成的新舊API共存的數(shù)據(jù)安全隱患��,即醫(yī)院在上線新版本API時(shí)����,雖然修復(fù)了一些API風(fēng)險(xiǎn)點(diǎn)���,但是沒(méi)有及時(shí)對(duì)舊API進(jìn)行下線處理����,惡意攻擊者仍然可以嘗試?yán)门fAPI上的弱點(diǎn)��,實(shí)施安全攻擊�����,直接導(dǎo)致了數(shù)據(jù)安全治理建設(shè)的失效。
從用戶需求來(lái)說(shuō)�����,對(duì)外開(kāi)放數(shù)據(jù)查詢的通道是必須的�,但如果不做好安全防護(hù),這樣的查詢通道就會(huì)成為數(shù)據(jù)泄漏�,甚至數(shù)據(jù)違規(guī)出境的風(fēng)險(xiǎn)源頭,大量的敏感數(shù)據(jù)一旦被黑灰產(chǎn)惡意利用���,后果將不堪設(shè)想�����。
此外���,在安全防護(hù)的基礎(chǔ)上���,如果企業(yè)沒(méi)有進(jìn)一步的安全審計(jì)���、安全監(jiān)測(cè)手段��,那么什么時(shí)候泄露數(shù)據(jù)��,泄露了多少數(shù)據(jù)都將不得而知……
二��、API安全建設(shè)面臨的挑戰(zhàn)
為了適應(yīng)數(shù)字化進(jìn)程的快速發(fā)展��,政府�����、企業(yè)都會(huì)開(kāi)放大量的API��,由此造成的數(shù)據(jù)安全風(fēng)險(xiǎn)開(kāi)口�����,傳統(tǒng)的API安全體系并不能完全應(yīng)對(duì)解決�����。
傳統(tǒng)AP安全I(xiàn)解決方案的痛點(diǎn)
01資產(chǎn)梳理不清:API資產(chǎn)盤(pán)點(diǎn)仍然停留在主機(jī)/服務(wù)/端口維度����,無(wú)法清楚的知道有哪些API接口,以及哪些API接口可以獲取敏感數(shù)據(jù)�����。
02脆弱性評(píng)估弱:API安全評(píng)估往往依賴掃描能力�,導(dǎo)致評(píng)估效率低,覆蓋面不全����;無(wú)法確認(rèn)是否對(duì)所有重要接口做了安全評(píng)估。
03威脅檢測(cè)不全:缺乏對(duì)API的細(xì)粒度理解�����,只能基于已知特征的APT�����、勒索軟件���、木馬�、病毒進(jìn)行威脅監(jiān)測(cè)��;企業(yè)無(wú)法實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露以及針對(duì)API接口特征的攻擊����。
加強(qiáng)數(shù)據(jù)安全保障,是數(shù)智時(shí)代的迫切需求���,也是新形勢(shì)下企業(yè)的重責(zé)大任�����。企業(yè)應(yīng)當(dāng)尋求一套適應(yīng)新需求����、新挑戰(zhàn)的API安全體系��,提高API安全風(fēng)險(xiǎn)治理能力�����,以達(dá)到保護(hù)數(shù)據(jù)安全的目標(biāo)�。
三、新一代API風(fēng)險(xiǎn)監(jiān)測(cè)解決方案
由全知科技牽頭研究的國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)接口安全風(fēng)險(xiǎn)監(jiān)測(cè) 技術(shù)方法》已于今年獲得正式立項(xiàng)��?����;诖思夹g(shù)規(guī)范,全知科技以“主動(dòng)防護(hù)”為防護(hù)理念���,精準(zhǔn)對(duì)癥API數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)�,形成了一套完整的API風(fēng)險(xiǎn)監(jiān)測(cè)體系�。
10月9日,在2021國(guó)家網(wǎng)絡(luò)安全宣傳周的“網(wǎng)絡(luò)安全發(fā)布”環(huán)節(jié)�,全知科技產(chǎn)品總監(jiān)王偉光重點(diǎn)分享了適應(yīng)企業(yè)數(shù)據(jù)安全發(fā)展需求及法律合規(guī)要求下的《數(shù)據(jù)安全和隱私保護(hù)場(chǎng)景下的API風(fēng)險(xiǎn)監(jiān)測(cè)方案2.0》。
王偉光指出����,在API海量數(shù)據(jù)中精準(zhǔn)監(jiān)測(cè)安全威脅并進(jìn)行對(duì)應(yīng)防護(hù)仍存在不少挑戰(zhàn),現(xiàn)有的傳統(tǒng)API安全解決方案無(wú)法全面梳理數(shù)據(jù)資產(chǎn)��,靈活感知評(píng)估風(fēng)險(xiǎn)�����,也未能完全覆蓋API數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景���,難以做到智能化的數(shù)據(jù)安全監(jiān)測(cè)防護(hù)��。
面對(duì)數(shù)據(jù)量龐大及外部黑灰產(chǎn)攻擊方式多變���、攻擊行為復(fù)雜的實(shí)際現(xiàn)狀����,王偉光認(rèn)為����,數(shù)據(jù)責(zé)任方需要的是一套完備的����、靈活的、可持續(xù)運(yùn)營(yíng)的“以數(shù)據(jù)為中心”的API風(fēng)險(xiǎn)監(jiān)測(cè)方案�����。
全知科技聚焦API資產(chǎn)梳理���、脆弱性評(píng)估�、風(fēng)險(xiǎn)監(jiān)測(cè)3大功能模塊�����,由己及彼形成了一套完整的�、靈活的API安全風(fēng)險(xiǎn)監(jiān)測(cè)解決方案。
方案不僅彌補(bǔ)了傳統(tǒng)解決方案API資產(chǎn)梳理不清�、弱點(diǎn)評(píng)估效率低�、風(fēng)險(xiǎn)威脅監(jiān)測(cè)不全等明顯不足��;此外�����,方案也將融入全知科技安全運(yùn)營(yíng)體系�,配套多種自研技術(shù)支撐,為行業(yè)帶來(lái)全新的API風(fēng)險(xiǎn)監(jiān)測(cè)實(shí)踐思路��。
結(jié)語(yǔ)
根據(jù)Gartner《如何建立有效的API安全策略》報(bào)告中預(yù)測(cè)����,“到2022年,API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的常見(jiàn)攻擊媒介�。”
在未來(lái)��,企業(yè)將面臨未知的API安全攻擊����,企業(yè)應(yīng)當(dāng)重視API安全建設(shè),積極借助適應(yīng)新要求�、新形勢(shì)下的新一代API風(fēng)險(xiǎn)監(jiān)測(cè)解決方案,構(gòu)建合規(guī)要求下的數(shù)據(jù)安全治理體系��,持續(xù)提高數(shù)據(jù)安全治理能力。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
