案例警示,不可忽視的API安全
責編:gltian |2021-10-18 13:05:22一、你的隱私數據正在被泄露
API作為影響數據安全和個人信息保護的重要風險來源,一旦發生安全問題,泄露的將是海量的數據,影響面不可估量;更甚之,若API被攻擊的情況發生在一些重要行業,例如金融行業、醫療行業、政務行業等,導致個人的醫療信息、金融信息等隱私數據被不法分子利用,不僅會給個人帶來權益的損失,還會引發惡劣的社會影響,甚至影響國家安全。
從1個案例看API安全
10月11日,在2021國家網絡安全周線上主題晚會“網安在行動”環節,展示了1個由API導致的數據泄漏警示案例。
2021年9月,某監管部門進行網絡安全巡檢,在使用全知科技知影-API風險監測系統對醫療領域在互聯網上的一些數據接口進行巡檢時,發現告警平臺上報出一條高風險告警事件…
對這條風險告警進行技術分析,發現是一家醫院系統在互聯網上開放的一個數據暴露API,用來給患者提供查詢自身報告數據。然而,技術人員僅需通過一些簡單的操作,就能隨意獲取病人的全部報告數據,包括姓名、手機號、身份證號、年齡、病例信息,尤其是心電圖、X光片等敏感信息數據,這些是《個人信息保護法》里典型的敏感個人信息,一旦泄露對用戶危害巨大。
全知科技技術人員分析,這種數據泄露正是由API自身的安全隱患所引起的,由于醫院開放的數據查詢接口沒有做嚴格的身份校驗、訪問控制,任何人都可以通過一串報告的數字或者患者手機號等信息,直接查詢到患者的個人醫療數據信息。
除此之外,通過全知科技知影-API風險監測系統,還發現了一個攜帶版本號的接口,此接口雖然包含敏感數據,但都做好了脫敏處理,推測可能是內部在進行版本升級迭代時對API做了數據暴露面的安全治理;然而,當我們繼續嘗試訪問低版本的API時,發現較低版本的API上依舊透出了大量明文敏感數據,包括主任醫生的科室、職級、個人手機號碼等敏感數據。
這種數據泄露的風險情形,是由于系統升級迭代頻繁造成的新舊API共存的數據安全隱患,即醫院在上線新版本API時,雖然修復了一些API風險點,但是沒有及時對舊API進行下線處理,惡意攻擊者仍然可以嘗試利用舊API上的弱點,實施安全攻擊,直接導致了數據安全治理建設的失效。
從用戶需求來說,對外開放數據查詢的通道是必須的,但如果不做好安全防護,這樣的查詢通道就會成為數據泄漏,甚至數據違規出境的風險源頭,大量的敏感數據一旦被黑灰產惡意利用,后果將不堪設想。
此外,在安全防護的基礎上,如果企業沒有進一步的安全審計、安全監測手段,那么什么時候泄露數據,泄露了多少數據都將不得而知……
二、API安全建設面臨的挑戰
為了適應數字化進程的快速發展,政府、企業都會開放大量的API,由此造成的數據安全風險開口,傳統的API安全體系并不能完全應對解決。
傳統AP安全I解決方案的痛點
01資產梳理不清:API資產盤點仍然停留在主機/服務/端口維度,無法清楚的知道有哪些API接口,以及哪些API接口可以獲取敏感數據。
02脆弱性評估弱:API安全評估往往依賴掃描能力,導致評估效率低,覆蓋面不全;無法確認是否對所有重要接口做了安全評估。
03威脅檢測不全:缺乏對API的細粒度理解,只能基于已知特征的APT、勒索軟件、木馬、病毒進行威脅監測;企業無法實時發現數據泄露以及針對API接口特征的攻擊。
加強數據安全保障,是數智時代的迫切需求,也是新形勢下企業的重責大任。企業應當尋求一套適應新需求、新挑戰的API安全體系,提高API安全風險治理能力,以達到保護數據安全的目標。
三、新一代API風險監測解決方案
由全知科技牽頭研究的國家標準《數據接口安全風險監測 技術方法》已于今年獲得正式立項。基于此技術規范,全知科技以“主動防護”為防護理念,精準對癥API數據安全風險挑戰,形成了一套完整的API風險監測體系。
10月9日,在2021國家網絡安全宣傳周的“網絡安全發布”環節,全知科技產品總監王偉光重點分享了適應企業數據安全發展需求及法律合規要求下的《數據安全和隱私保護場景下的API風險監測方案2.0》。
王偉光指出,在API海量數據中精準監測安全威脅并進行對應防護仍存在不少挑戰,現有的傳統API安全解決方案無法全面梳理數據資產,靈活感知評估風險,也未能完全覆蓋API數據安全風險場景,難以做到智能化的數據安全監測防護。
面對數據量龐大及外部黑灰產攻擊方式多變、攻擊行為復雜的實際現狀,王偉光認為,數據責任方需要的是一套完備的、靈活的、可持續運營的“以數據為中心”的API風險監測方案。
全知科技聚焦API資產梳理、脆弱性評估、風險監測3大功能模塊,由己及彼形成了一套完整的、靈活的API安全風險監測解決方案。
方案不僅彌補了傳統解決方案API資產梳理不清、弱點評估效率低、風險威脅監測不全等明顯不足;此外,方案也將融入全知科技安全運營體系,配套多種自研技術支撐,為行業帶來全新的API風險監測實踐思路。
- 結語
根據Gartner《如何建立有效的API安全策略》報告中預測,“到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”
在未來,企業將面臨未知的API安全攻擊,企業應當重視API安全建設,積極借助適應新要求、新形勢下的新一代API風險監測解決方案,構建合規要求下的數據安全治理體系,持續提高數據安全治理能力。