超亿级数据泄露屡次不断,API风险管理盲区成最大隐患

0分享至

用扫码二维码

分享至好友和朋友圈

数字时代的今天,数据已经和土地、劳动力、资本、技术并列为五大生产要素之一,数据资产价值越高,围绕数据资产的攻击就会越来越激烈。近年来,国内外大规模数据泄露事件频发,尤其是国际国内安全形势的变化,使国家、企业和个人层面做好数据安全的必要性更加突出。

数据安全问题既是技术问题,也是管理问题。

1、从国家层面,近年来我国关于数据安全和个人信息保护的法律法规密集出台,国家对数据安全的重视程度和监管力度越来越高。

2022年国家级的攻防演练中新增了对于数据泄漏的攻防点,说明数据的安全保护逐步从监管法规落实到具体的攻防实战中来。

2、对企业而言,围绕数据的全生命周期从数据采集、存储、访问、使用、销毁来构建数据安全管理体系成为重点的安全建设工作。

现阶段,大多数企业在数据采集、存储、静态数据访问方面已有较全面的安全建设,但针对数据流动访问的安全建设意识才逐渐萌芽和发展。数字时代,企业通过API流通交换数据来创造价值,流动中的数据安全保护是政企单位当前急需解决的数据安全难题。

问题分析

近期有多起超亿级数据泄露事件在网上传得沸沸扬扬,从流传的信息和业界人士提供的反馈来看,数据流动访问的安全问题不能忽视,有几点内容是需要每一个企业重点关注的:

一是API资产的安全管理

API是连接数据与应用的主要通道,随着政企数字化转型,越来越多的业务支持线上,而不管是内网间的数据调用,还是内网、互联网、云服务、公共组件之间的数据流通都离不开API,API的数量与日俱增。

但现阶段API应用的增速与API安全发展的不平衡,使得API成为了数据安全中最薄弱的环节之一。主要体现在以下两个方面:

1)API资产管理缺失:由于API增速很快,企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解,导致很多安全管理视线外的API暴露在互联网。

2)API存在安全缺陷:很多API未经严格的安全测试就上线,导致存在严重的安全缺陷,如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历、返回数据过多等,增加了数据暴露的风险。

比如,最常见的数据存储和处理服务Elasticsearch,如果没有进行正确配置会导致API存在未授权访问漏洞,攻击者可以利用这个缺陷,直接获取到敏感数据,甚至可以对数据进行删除和篡改:

而近期,永安在线的情报平台也监测到了有黑客攻击团伙利用政企数字化的API逻辑漏洞,爬取公民的个人信息数据,涉及到全国上亿公民数据……()

二是数据流动访问监测和异常攻击感知

2020年,某社交平台由于API逻辑漏洞让攻击者可以遍历手机号码爬取用户的个人信息,造成5.33 亿条数据泄露;2021年,某网购平台由于两个API的组合逻辑漏洞导致11.8亿的用户订单数据被攻击者非法爬取。这两个案例都反映出了企业缺乏有效的数据流动访问监测和异常攻击感知,导致利用API接口实施如此大规模的数据窃取,都未能及时发现和阻断。

永安在线API安全管控平台曾监测到,攻击者通过大量的动态代理IP,伪装成正常的请求流量,低频访问API接口,对API传输的敏感数据进行爬取。对于这类攻击,建议基于风险IP画像等情报建立异常攻击感知。也有黑产或黑客利用企业泄露的内部密钥,或者买通企业内部人员进行批量敏感数据的获取,则可以通过建立账号行为基线等方式进行异常感知。

三是数据泄露持续监测和阻断

企业机密信息、用户数据、技术发明、市场策略等核心资料因价值高,容易遭到黑客非法窃取并在暗网或黑市售卖,或者被疏忽的内部员工泄露到网上(文库、网盘、代码托管平台等)。企业是否具备对以上数据泄露的持续监测、阻断下架以及安全审查的能力,是企业数据安全建设的另一关键环节。

当前企业安全建设往往以内部检测与防御为主,往往忽视了外部数据安全态势,无法在数据泄露事件爆发的时候快速感知事件,导致企业形象遭受破坏或经济遭受损失。

安全建议

面对越来越多的API攻击和数据泄露风险,企业应从多个维度来构建防御体系,更需要基于风险情报来构建攻击检测模型,做到及早感知及时防御,从而保障企业及其用户的数据安全。

永安在线基于风险情报构建的API安全管控平台,能够梳理系统所有的敏感数据API,评估API的认证授权、数据暴露和脱敏不一致等设计缺陷,基于风险情报构建API异常行为基线模型实时监测数据爬取行为,及时发现并阻断数据泄露风险。

此外,永安在线数据资产泄露情报监测服务基于对各大暗网、网盘文库、代码托管、群聊论坛等渠道的数据资产泄露情报进行实时监测,能够帮助企业第一时间发现、准确定位数据资产泄露问题,将数据资产泄露带来的风险和危害程度降到最低,助力企业实现数据合规。

您知道您的业务有多少API资产吗?

每个API是否存在安全缺陷?

是否存在数据泄露风险呢?

扫码申请试用

带您全面盘点数据泄露风险

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

/阅读下一篇/

返回网易首页 下载网易新闻客户端