![]()
![]()
在当下的数字信息时代,大数据、云计算、移动5G等新兴技术得到深度应用发展,数字化转型的不断推进使得数据成了宝贵资源。数据接口作为连接不同服务、系统、应用程序等进行数据交换的关键桥梁,也成为了推动数据开放共享、促进数字经济发展的重要基础设施。其中,通过API来进行数据交换和实现业务逻辑是最常见的方式。同时,API也已经成为攻击者的重点攻击对象,成为数据泄露的主要源头。几乎所有证券公司都依赖API传输敏感数据、参与核心业务逻辑,支撑客户的数字应用体验。随着API在各个业务领域的快速发展,API数量愈发增多,随之而来的漏洞与风险也逐渐凸显。本文将介绍东海证券API风险监测系统实践案例,以API安全监测为切入点,逐步实现API闭环安全管理。随着数据价值的显现,公司API的数量急剧增长,与之相关的安全风险也在同步增长,尤其是数据安全风险。公司使用API来连接服务、传输数据,许多重大数据泄漏问题,其幕后原因都在于API遭到破坏、泄露或攻击。API一旦被攻陷,会让敏感的金融和个人数据公之于众,被不法分子利用。近年来,国内外大规模数据泄露事件频出,企业级API安全面临巨大的挑战。虽然传统的技术手段和安全设备,如漏洞扫描、渗透服务、IAST、WAF等,这类依靠已知攻击特征进行模式匹配或指定的目标测试样本,在一定程度上可以解决企业的部分威胁,但在当前形势下,新型的攻击手法层出不穷,伴随着Owasp API Security Top10的发布,企业面对的更多是业务逻辑攻击手法,防不胜防的组合攻击链。此时,传统的技术手段在效率、覆盖面、准确率等方面均存在不足。为更高效地应对API新型攻击威胁,安全界也开始寻求一些新的技术手段。此外,大部分公司的API安全管理能力较为薄弱,难以发现自身存在的API风险。API传输过程中面临的异常非法调用、敏感数据泄露、数据篡改等数据安全问题都困扰着企业。规范公司的数据接口调用行为,对数据接口进行统一的安全管理显得愈发必要。API数据接口的安全困局已成为数字化转型面临的一个共性问题。在API安全、数据安全问题日益突出的当下,数据安全已上升到国家战略高度。《中华人民共和国数据安全法》第二十九条提出开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。《中华人民共和国个人信息保护法》第五十一条提出个人信息处理者需采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。GB/T 35273-2020《信息安全技术 个人信息安全规范》,将API开发、调用与个人信息安全相结合,明确指出个人信息合规要求。JR/T 0250-2022《证券期货业数据安全管理与保护指引》对2级、3级、4级数据在数据传输、数据处理阶段中的可控区域和非可控区域,提出针对API的管理指引、技术指引。在API设计过程中需要考虑安全性,采用最小权限原则,明确定义和设计身份验证和授权机制,明确敏感数据的安全管理要求,采用适当的加密措施。需要考虑法规和合规性要求,确保API的设计满足相关的法规标准,尽量减少收集和存储敏感信息,明确用户同意和权限管理。并且进行相应的威胁建模,识别潜在的威胁和攻击面,从而在设计阶段考虑相应的API安全防御措施。在API开发测试阶段,开发人员应遵循安全编码标准和最佳实践,加强代码审计和安全测试包括漏洞扫描、渗透测试等。通过静态代码分析工具和审查过程发现和修复潜在的安全漏洞,进行负载测试、模拟攻击和渗透测试,以评估API的抗攻击能力和在高负载情况下的稳定性和性能,防止因压力而引发的安全问题,从而发现潜在的安全漏洞,加强API的安全性。在API部署运行阶段,采用安全的部署策略,确保只有授权的用户和系统能够访问API,限制访问权限。尽可能实现自动化部署流程,以减少人为错误和确保一致的安全配置。部署使用实时监控和日志记录,及时检测潜在的安全威胁和异常活动。定期审查和改进安全策略,确保API安全性与最新的安全标准保持一致。在API版本管理阶段,需要及时对API的使用状态进行跟踪,关闭和清理不再使用的API,防止被潜在攻击者利用。通过持续自动监测和跟踪API的状态(新增 API、活跃 API、失活 API 和复活 API)了解和管理API的版本变化,并进行相应的验证和评估。对失活、复活的API进行及时的处理,确保API管理清单与实际情况保持一致。从上面涵盖API全生命周期的防护思路中可以看出,如果将各个阶段都做到技术覆盖需要短时间内投入大量的资源,所以我们分析了当前最为关注的部署运行部分。东海证券将安全需求与实际场景做结合,在不改变现有网络架构的前提下,采用旁路流量镜像方式在互联网接入交换机将网络流量镜像至API风险监测系统进行分析和存储。API风险监测系统,用于作为构架数据接口的安全体系的先行基础,在短时间内建立起API安全监测能力。API风险监测系统架构分为四层,自上而下分别是应用层、场景层、分析层、数据层。应用层是在API治理理念的指引下,建立敏感数据流量监控机制、自动感知异常数据流动行为为目标而实现的一系列模块,其中包括数据展示、API发现、风险监测、审计溯源,实现应用系统中敏感数据和访问接口的自动发现、数据安全风险隐患进行评估预警以及针对特定数据泄露事件,溯源数泄露源头,还原泄露途径。场景层是为系统发现自身弱点,识别外部风险而实现的核心功能,重点需要对异常账号登录、接口可遍历、明文账号密码、数据返回量异常、违规数据量、恶意爬虫、拖库、批量导出、账号共用兼用、可执行数据库查询、登录弱密码、数据标签量异常、违规来源登录、数据遍历等场景进行风险识别。识别API中可能存在的漏洞和缺陷,搜索逻辑调用、硬编码密钥、Web安全缺陷和API流量可能被模拟攻击入侵的可能性,并结合数据泄露行为分析该漏洞带来的影响面,识别和解决API中的潜在风险,能够了解哪些API暴露了敏感数据、存在身份验证问题或其他安全隐患,并针对性地提供修复建议和措施,加强API的安全性和合规性。分析层为支持上层的场景服务用于数据分析、风险识别。该部分主要包括风险识别、风险监控、态势追踪、资产梳理。其中,风险识别需要通过数据特征对识别到的敏感数据资源进行多维度脆弱性评估和风险评价。风险监控通过建立数据访问行为基线,利用异常检测和多维特征识别技术,发现异常数据访问行为,实现异常数据访问行为和信息泄漏行为的感知、预警和处置。基于API画像和上下文关联信息,对API活动进行实时监测和分析,识别异常行为和恶意行为。风险规则方面,需要从数据泄露、Web攻击、账号安全三个维度审视 API 上存在的攻击行为,并且对不同的API类型应用不同的风险检测模型。风险基线方面,需要识别和记录正常数据访问行为的各个属性,并建立API行为的基准线。识别攻击者的扫描行为和异常行为,并通过与正常行为的对比,准确判断出恶意活动。当API的行为发生变化时,系统会自动调整基准线,以适应新的行为模式。最后通过态势追踪引擎对访问事件进行多维度统计分析,形成应用数据访问画像,梳理整体数据访问情况,并形成安全态势。审计溯源方面,可按照泄漏数据内容、IP、账号等信息进行溯源,找到对应的时间和责任人。通过多维度条件检索进行分析,分析维度包括:获取的敏感数据、获取数据的账号清单、获取数据等IP清单、获取数据的日期分布、透露数据的接口清单,通过溯源主体查找主体相关行为,可查找主体包括:账号、IP、接口、User-Agent、Referer、数据标签等。资产梳理引擎对流量事件进行采样分析学习,梳理出应用结构、数据接口、接口样例等数据。包括API格式、数据暴露面梳理、API级别、API功能、API状态。并结构化还原网络流量中的API的请求和响应,提取参数配置,识别API的技术设计格式,包括RESTful、SOAP、gRPC、GraphQL。通过持续的监测和分析API交互,识别API请求和返回内容中包含的敏感数据,并及时更新敏感数据暴露的细节,以便更好地了解API的功能、使用情况、数据暴露面情况和潜在的安全风险。结合API携带的数据和作用,使用API分类分级算法,对API进行分类定级,从功能层面,类型包括登录API、注册API、短信验证码发送API、导出API、文件上传API、文件下载API等,从API数据暴露面层面,类型包括数据暴露API、数据采集API等,其它层面,包括服务调用API、人机访问API等。级别包括高敏感、中敏感、低敏感、非敏感。通过持续发现能力能够自动监测和跟踪API的变化,API状态包括新增API、活跃API、失活API和复活API。及时了解和管理API的变化,进行相应的验证和评估。确保API清单与实际情况保持同步,并能够在开发/测试阶段到生产环境的全过程中保持API清单的最新和准确。数据层部分主要完成对网络流量的采集、处理、分发,通过Agent和镜像两种方式对应用系统流量进行采集,同时对业务系统零打扰的旁路流量解析模式,通过对原始的流量数据进行识别、提取、采样、标识等规范化、流程化处理,丰富原始事件的信息,为上层服务提供数据支撑。在项目试运行期间,通过对网络流量中包含敏感数据接口的梳理,统计分析业务系统每天的访问量、数据透出量、数据流向、以及透出的具体敏感数据类型,生成包含应用数量、高敏感应用、API数量、敏感数据类型等要素在内的资产清单。对于数据透出量、客户数据透出类型较多的应用,进行重点监控,资产梳理使业务数据的使用获取行为可知、可视,为数据安全治理打下的基础。![]()
图5 API资产梳理清单在重点监测的应用中,API风险监测系统发现了API参数可遍历、明文密码传输、数据脱敏策略不一致等漏洞,有效解决了对API进行人工安全检测效率低,以及检测覆盖面不足等痛点问题。![]()
图6数据脱敏策略不一致漏洞通过建设部署API风险监测系统,分析互联网出口双向流量,梳理公司的互联网API数据暴露面,识别开放至互联网的应用和API的漏洞和弱点,发现潜在的数据安全风险,及时推动业务部门进行整改修复,并且针对互联网API攻击、数据窃取行为进行预警。通过持续监控公司API安全状况、分析API变化,及时掌握存在的API风险隐患,建立对API数据暴露面的治理和对数据攻击行为持续发现能力。随着目前技术和威胁的不断演变,API安全建设需要在其生命周期各阶段持续优化和升级,在计划与开发测试阶段应当同步引入新的技术手段及管理流程,以适应新的挑战和安全需求,并且与不断增加的合规和监管要求保持一致,确保API安全在整个生命周期中都得到了充分的监控与评估。从长远来看,可以通过将现有的API风险监测解决方案与当前的处置流程紧密融合,把发现的数据安全风险事件、弱点信息对接至统一运营平台,通过统一运营平台下发风险给系统负责人,提供风险详情描述、风险事件证据、风险整改建议,完成数据安全风险事件整改闭环,并进一步加强验证机制,提高风险自动化运营的能力。最终将API安全整合至企业的安全生态中,与其他安全管控措施进行联动,构建完整的数据接口安全体系,提高整体安全性。王昊 周忠平 单震威 杨鼎,东海证券股份有限公司金融科技部。
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247496372&idx=1&sn=ac21f339880f0619620ef7df4ace86ac&chksm=c21bd386f56c5a904d44bcec241bd7ad7aef664eab9f9951af1ee66621fd69ec7a082104f3a3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh