400-100-9516
solution
黑灰产及护网API安全方案
市场背景
黑灰产数据窃取场景

企业有对外开放的API服务,且有敏感数据暴露在互联网上,主要关注API的对外数据暴露面和黑灰产数据窃取行为。

护网场景

企业要参加护网行动,关注自身API潜在的风险隐患和护网场景下的攻击行为。

拿以下几个行业为例阐述黑灰产及护网API场景下需要关注的风险点。

  • 银行业:手机银行、微信银行、小程序、第三方业务开放API等大量API接口对外提供,导致大量客户数据(银行卡号、手机号等)暴露在互联网上,给了黑灰产可乘之机,不仅如此,一旦产生脆弱性风险,非常容易被护网场景下的攻击者作为突破口攻击。
  • 政务云:市民卡、市政系统等大量互联网政务系统需要开放API接口在互联网上,容易造成公民个人信息(居住证、学历信息等)的暴露,给黑灰产以可乘之机;
  • 运营商:各大运营商出于业务需要,经常会做一些优惠券促销活动,大量优惠券API接口暴露在互联网上,若这些API接口存在安全隐患(可参数遍历等)就有可能会被恶意利用给各大运营商带来严重损失;
  • 医疗业:由于疫情的影响,近两年人们做检测的次数越来越多,衍生而出的是大量的不规范的报告查询APP、小程序、在线业务等,这些在线业务由于其上线周期短可能会存在大量的API安全隐患,会使得大量客户的敏感数据暴露在互联网上,一经利用可给企业带来巨大损失;
  • 互联网:基于不同互联网行业的实际业务场景,会开放大量的业务API接口给到第三方bte365亚洲版、第三方用户等,针对暴露在互联网上的API的攻击容易导致客户数据的大量泄露;
  • 证券业:App、小程序、开放API业务等会暴露大量API到互联网上,这些暴露在互联网上的API一旦存在安全隐患容易被红方利用,给护网带来严重的风险;可以在护网前期使用全知科技的API安全监测系统检测下API的潜在安全隐患,并帮助内部安全人员做弱点的整改,然后在护网中期持续监控API的攻击风险,实时发现异常的攻击行为;
客户痛点
与日俱增的API接口

随着AJAX技术、移动应用APP,前后端分离等技术的兴起,服务器端需要增加大量的服务接口(API)。同时业务的不断变化导致接口的生命周期差异很大,如电商在活动期间上线的功能,在活动结束后相关的功能没有下线,很容易被攻击者发现并利用。

API接口的独特性

API是由架构师设计开发者实现的,每个API都是唯一的,具有各自的逻辑,因而产生的漏洞也没有统一的模式。目前传统API安全bte365亚洲版仅关注已知的攻击类型,缺乏对API的细粒度理解,忽略针对API的攻击逻辑。

日益复杂的API场景

众多企业单位办公实现的方式多样化,相应出现系统的多样化,相互间的数据传输大多数采用的API实现方式或前后端分离等技术特点实现,大大增加了API在目前多个行业的场景。

错综复杂的API管理

各企业单位安全的管理工作繁多,安全管理人员有限。通常面临如下困难:
1.资产变化的难以及时掌握:线上系统的下线,边角系统、废弃系统的下线与维护,子域名与系统的管理工作;
 2.攻击面测试的完备性难以保证:复杂度高,个性化程度大,业务变化快等无法把握到位,给管理工作带来巨大的完备性的问题;
3.面对安全风险管理规范的检查。

持续多样的攻击方式

通过外网向内部的攻击:攻击者主要以攻击对外API接口和暴露在公网的应用程序为主。
通过多种方式攻破内网:攻击者采用APT、钓鱼邮件、ARP欺骗等渗透技术手段攻击内网,或直接伪装,在内网攻击重要应用及接口,实现对内网数据信息的获取与破坏。

方案特色
API资产梳理

快、准、全的梳理API资产

  • 系统接上2-3天时间即可完成全量API资产的梳理;
  • 不仅覆盖传统的API格式,当前流行的RestfulAPI,When-caseAPI也支持自动识别;

API资产的自动分类分级

  • 自动识别API中包含的敏感数据,并基于API中的敏感数据、原始请求和返回格式等对API进行分类分级;
API安全隐患

API脆弱性评估

  • 基于API的参数形态,原始请求和返回来自动识别API脆弱性;
  • 提供脆弱性样例和整改建议,帮助企业对API安全进行整改;
  • 当前支持5大类20小类的API安全隐患的检测,可以完整覆盖waspAPISecurityTop10
行为风险监控

识别恶意攻击行为

  • 通过大量的无监督学习算法,主动对API接口进行攻击学习,识别API扫描、试探等攻击风险;

发现黑灰产数据窃取行为

  • 内置大量基于上下文的数据行为风险规则,主动进行风险的上下文分析,帮助客户精准定位数据泄露源头,发现有价值的数据泄露风险;
方案价值
掌握资产现状,避免管理盲区

建立全量API清单,发现边角、废弃系统和未纳入管理的API。

监测数据暴露面,落地数据安全规范

对敏感数据API的生命周期进行管理,帮助安全团队更好的落地数据脱敏规范、数据开放策略等。

发现API接口弱点,降低数据泄露风险

自动发现数据伪脱敏、过量数据返回、未鉴权、参数可遍历等API弱点,及时修复降低弱点被利用的风险。

识别针对性攻击尝试,避免造成实际危害

通过智能行为异常识别算法,在攻击侦查阶段发现他们并采取措施。将攻击者转换为企业的渗透测试者。

成功案例
大型快递行业

某大型快递行业由于其业务场景,需要在互联网上开放大量的API接口,此企业之前有遭受过严重的客户数据泄露现象,比较关注过量数据的暴露和黑灰产数据窃取问题。

全知科技通过自身的API安全bte365亚洲版,帮助客户针对数据暴露面进行了整改,并持续监测黑灰产的数据窃取情况。

一方面,通过帮助用户梳理API资产,发现暴露在互联网上的敏感数据API,对这些API进行数据脱敏和持续的暴露面监测,直观反映暴露面的治理情况:共帮助梳理API资产17w余个,其中有1037个API是暴露在互联网上且透出敏感数据的API,通过对这一千多个API进行弱点识别,共发现存在未鉴权可访问的API32个,伪脱敏API64个,过量数据返回37个,参数遍历21个等,通过推动内部对这些标志性安全隐患的修复,并持续不断发现安全隐患,形成良性的安全治理循环:发现-修复-持续发现。

另一方面,通过持续监测重点数据接口的访问行为,及时发现黑灰产数据窃取风险,帮助企业对风险事件进行处理,减少不必要的安全损失:共发现黑灰产数据窃取风险事件3起,分别是来自安徽的某2个IP和来自福田的某IP通过短时间内不断更换请求参数(手机号)碰撞拉取快递信息(寄件人姓名、寄件人地址、寄件人手机号、寄件内容、收件人地址、收件人姓名、收件人手机号等),其中一条风险事件累计泄露快递信息3,0218条,共涉及到个人信息6,0536条。API产品通过及时的告警,推动内部安全运营人员针对此IP进行了访问限制,减少了后续的数据泄露情况。

某银行机构

在一次对某银行的数据安全运营分析过程中,发现了来自外网的恶意IP通过篡改身份证号的方式批量试探拉取此银行的客户数据的现象,结合上下问关联分析,发现此IP在触发数据窃取风险之前的前一周都在执行扫描操作,并利用了扫描成功的API进行了批量数据拉取,从而导致该银行4,218条个人信息的泄露。

此风险案例的实施步骤如下:

2021-03-20 – 2021-03-28日期内的每日23:00:00 – 05:00:00执行扫描操作,累计扫描用户web系统3,019个,扫描API 58,291个,扫描成功API 391个;

2021-03-28 13:00:00利用扫描成功的API,并不断尝试更换身份证号这个入参试探拉取此银行的客户数据,主要包括客户的银行卡号、身份证号、手机号、开户时间等,累计获取了4,218条个人数据,该IP当日累计请求11,3452次,每秒钟访问频次高达102次,造成此银行客户数据的大批量泄露,给银行带来较大的安全影响。

此案例与去年银保监会下发的关于“某金融机构的微信银行业务系统存在数据安全风险,引起资金被盗取的安全事件”有很大相似之处。

在线客服