2021年11月10日
一、你的隱私數(shù)據(jù)正在被泄露
API作為影響數(shù)據(jù)安全和個人信息保護(hù)的重要風(fēng)險來源,一旦發(fā)生安全問題,泄露的將是海量的數(shù)據(jù),影響面不可估量;更甚之,若API被攻擊的情況發(fā)生在一些重要行業(yè),例如金融行業(yè)、醫(yī)療行業(yè)、政務(wù)行業(yè)等,導(dǎo)致個人的醫(yī)療信息、金融信息等隱私數(shù)據(jù)被不法分子利用,不僅會給個人帶來權(quán)益的損失,還會引發(fā)惡劣的社會影響,甚至影響國家安全。
從1個案例看API安全
10月11日,在2021國家網(wǎng)絡(luò)安全周線上主題晚會“網(wǎng)安在行動”環(huán)節(jié),展示了1個由API導(dǎo)致的數(shù)據(jù)泄漏警示案例。
2021年9月,某監(jiān)管部門進(jìn)行網(wǎng)絡(luò)安全巡檢,在使用全知科技知影-API風(fēng)險監(jiān)測系統(tǒng)對醫(yī)療領(lǐng)域在互聯(lián)網(wǎng)上的一些數(shù)據(jù)接口進(jìn)行巡檢時,發(fā)現(xiàn)告警平臺上報出一條高風(fēng)險告警事件…
對這條風(fēng)險告警進(jìn)行技術(shù)分析,發(fā)現(xiàn)是一家醫(yī)院系統(tǒng)在互聯(lián)網(wǎng)上開放的一個數(shù)據(jù)暴露API,用來給患者提供查詢自身報告數(shù)據(jù)。然而,技術(shù)人員僅需通過一些簡單的操作,就能隨意獲取病人的全部報告數(shù)據(jù),包括姓名、手機(jī)號、身份證號、年齡、病例信息,尤其是心電圖、X光片等敏感信息數(shù)據(jù),這些是《個人信息保護(hù)法》里典型的敏感個人信息,一旦泄露對用戶危害巨大。
全知科技技術(shù)人員分析,這種數(shù)據(jù)泄露正是由API自身的安全隱患所引起的,由于醫(yī)院開放的數(shù)據(jù)查詢接口沒有做嚴(yán)格的身份校驗、訪問控制,任何人都可以通過一串報告的數(shù)字或者患者手機(jī)號等信息,直接查詢到患者的個人醫(yī)療數(shù)據(jù)信息。
除此之外,通過全知科技知影-API風(fēng)險監(jiān)測系統(tǒng),還發(fā)現(xiàn)了一個攜帶版本號的接口,此接口雖然包含敏感數(shù)據(jù),但都做好了脫敏處理,推測可能是內(nèi)部在進(jìn)行版本升級迭代時對API做了數(shù)據(jù)暴露面的安全治理;然而,當(dāng)我們繼續(xù)嘗試訪問低版本的API時,發(fā)現(xiàn)較低版本的API上依舊透出了大量明文敏感數(shù)據(jù),包括主任醫(yī)生的科室、職級、個人手機(jī)號碼等敏感數(shù)據(jù)。
這種數(shù)據(jù)泄露的風(fēng)險情形,是由于系統(tǒng)升級迭代頻繁造成的新舊API共存的數(shù)據(jù)安全隱患,即醫(yī)院在上線新版本API時,雖然修復(fù)了一些API風(fēng)險點,但是沒有及時對舊API進(jìn)行下線處理,惡意攻擊者仍然可以嘗試?yán)门fAPI上的弱點,實施安全攻擊,直接導(dǎo)致了數(shù)據(jù)安全治理建設(shè)的失效。
從用戶需求來說,對外開放數(shù)據(jù)查詢的通道是必須的,但如果不做好安全防護(hù),這樣的查詢通道就會成為數(shù)據(jù)泄漏,甚至數(shù)據(jù)違規(guī)出境的風(fēng)險源頭,大量的敏感數(shù)據(jù)一旦被黑灰產(chǎn)惡意利用,后果將不堪設(shè)想。
此外,在安全防護(hù)的基礎(chǔ)上,如果企業(yè)沒有進(jìn)一步的安全審計、安全監(jiān)測手段,那么什么時候泄露數(shù)據(jù),泄露了多少數(shù)據(jù)都將不得而知……
二、API安全建設(shè)面臨的挑戰(zhàn)
為了適應(yīng)數(shù)字化進(jìn)程的快速發(fā)展,政府、企業(yè)都會開放大量的API,由此造成的數(shù)據(jù)安全風(fēng)險開口,傳統(tǒng)的API安全體系并不能完全應(yīng)對解決。
傳統(tǒng)AP安全I(xiàn)解決方案的痛點
01資產(chǎn)梳理不清:API資產(chǎn)盤點仍然停留在主機(jī)/服務(wù)/端口維度,無法清楚的知道有哪些API接口,以及哪些API接口可以獲取敏感數(shù)據(jù)。
02脆弱性評估弱:API安全評估往往依賴掃描能力,導(dǎo)致評估效率低,覆蓋面不全;無法確認(rèn)是否對所有重要接口做了安全評估。
03威脅檢測不全:缺乏對API的細(xì)粒度理解,只能基于已知特征的APT、勒索軟件、木馬、病毒進(jìn)行威脅監(jiān)測;企業(yè)無法實時發(fā)現(xiàn)數(shù)據(jù)泄露以及針對API接口特征的攻擊。
加強(qiáng)數(shù)據(jù)安全保障,是數(shù)智時代的迫切需求,也是新形勢下企業(yè)的重責(zé)大任。企業(yè)應(yīng)當(dāng)尋求一套適應(yīng)新需求、新挑戰(zhàn)的API安全體系,提高API安全風(fēng)險治理能力,以達(dá)到保護(hù)數(shù)據(jù)安全的目標(biāo)。
三、新一代API風(fēng)險監(jiān)測解決方案
由全知科技牽頭研究的國家標(biāo)準(zhǔn)《數(shù)據(jù)接口安全風(fēng)險監(jiān)測 技術(shù)方法》已于今年獲得正式立項。基于此技術(shù)規(guī)范,全知科技以“主動防護(hù)”為防護(hù)理念,精準(zhǔn)對癥API數(shù)據(jù)安全風(fēng)險挑戰(zhàn),形成了一套完整的API風(fēng)險監(jiān)測體系。
10月9日,在2021國家網(wǎng)絡(luò)安全宣傳周的“網(wǎng)絡(luò)安全發(fā)布”環(huán)節(jié),全知科技產(chǎn)品總監(jiān)王偉光重點分享了適應(yīng)企業(yè)數(shù)據(jù)安全發(fā)展需求及法律合規(guī)要求下的《數(shù)據(jù)安全和隱私保護(hù)場景下的API風(fēng)險監(jiān)測方案2.0》。
王偉光指出,在API海量數(shù)據(jù)中精準(zhǔn)監(jiān)測安全威脅并進(jìn)行對應(yīng)防護(hù)仍存在不少挑戰(zhàn),現(xiàn)有的傳統(tǒng)API安全解決方案無法全面梳理數(shù)據(jù)資產(chǎn),靈活感知評估風(fēng)險,也未能完全覆蓋API數(shù)據(jù)安全風(fēng)險場景,難以做到智能化的數(shù)據(jù)安全監(jiān)測防護(hù)。
面對數(shù)據(jù)量龐大及外部黑灰產(chǎn)攻擊方式多變、攻擊行為復(fù)雜的實際現(xiàn)狀,王偉光認(rèn)為,數(shù)據(jù)責(zé)任方需要的是一套完備的、靈活的、可持續(xù)運營的“以數(shù)據(jù)為中心”的API風(fēng)險監(jiān)測方案。
全知科技聚焦API資產(chǎn)梳理、脆弱性評估、風(fēng)險監(jiān)測3大功能模塊,由己及彼形成了一套完整的、靈活的API安全風(fēng)險監(jiān)測解決方案。
方案不僅彌補(bǔ)了傳統(tǒng)解決方案API資產(chǎn)梳理不清、弱點評估效率低、風(fēng)險威脅監(jiān)測不全等明顯不足;此外,方案也將融入全知科技安全運營體系,配套多種自研技術(shù)支撐,為行業(yè)帶來全新的API風(fēng)險監(jiān)測實踐思路。
結(jié)語
根據(jù)Gartner《如何建立有效的API安全策略》報告中預(yù)測,“到2022年,API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的常見攻擊媒介。”
在未來,企業(yè)將面臨未知的API安全攻擊,企業(yè)應(yīng)當(dāng)重視API安全建設(shè),積極借助適應(yīng)新要求、新形勢下的新一代API風(fēng)險監(jiān)測解決方案,構(gòu)建合規(guī)要求下的數(shù)據(jù)安全治理體系,持續(xù)提高數(shù)據(jù)安全治理能力。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務(wù)