摘要
近年来,在面对数据安全威胁日益严峻的态势,我国逐步颁布了系列数据安全相关的法律法规,着力解决数据安全领域的突出问题。而API作为连接数据与应用的重要通道,成为了数据安全建设中不容忽视的环节。本文将以我国颁布的系列数据安全和信息保护法为切入点,重点阐述数据泄露与API之间的关系以及如何建立全面的API安全防护策略。
数据安全相关法规逐步细化
处罚力度逐年加强
自2016年以来,我国陆续出台了一系列法律法规来监管数据的安全问题,从 2017年6月《网络安全法》的落地实施,再到被称为“数据安全元年”的2021年,在这一年,《数据安全法》、《个人信息保护法》等法律法规陆续正式实施,国家网信办发布《数据出境安全评估办法(征求意见稿)》并公开征求意见。
从这一系列法律法规中我们不难看出,我国对企业的数字安全监管确实在走向更加严格和规范化,聚焦的内容更加细化,处罚的力度也逐渐加强:
《网络安全法》主要强调网络安全与网络空间的国家主权,其中对于因网络运营者因自身责任造成个人信息泄露等违法行为处一百万元以下罚款;
《数据安全法》是我国第一部有关数据安全的专门法律,更侧重于数据安全以及基于数据安全所体现的国家安全,它着重强调了企业在保护数据安全中应承担的责任,如拒不遵守法律或酿成重大数据泄露事故,企业将轻则约谈、整改,或还有一千万元的罚款,重则暂停业务、停业整顿,或者是吊销相关业务许可证/营业执照。一旦构成犯罪,还会被追究刑事责任。
2021年上半年,央行就曾披露过数起金融机构因数据泄露而遭遇的罚单,其中某一大型银行由于1300条用户数据的丢失,被罚1300万元,相当于一条数据1万元。同年1月29日,银保监会开出2021年1号罚单,某大型银行因涉及数据泄露风险等,被罚420万元。
《个人信息保护法》则是一部聚焦个人信息保护的法律条款,更侧重于个人信息处理准则和保护边界的细化,注重对个人信息保护的全生命周期做出细致且全面的规定。其中规定对于侵犯公民个人信息行为等情节严重的违法行为,处五千万元以下或者上一年度营业额百分之五以下罚款。
由此可知,我国监管部门对数据安全的监管要求日益严格,企业也将面临越来越大的数据安全合规挑战。
此外,针对颇受关注的数据出境问题,2021年10月发布的《数据出境安全评估办法(征求意见稿)》就提出“促进数据跨境安全、自由流动”,指出数据出境安全评估应坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
《数据安全法》也明确了向境外提供重要数据的处罚规定,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款;情节严重的处一百万以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照。
因此,对于企业来说,一旦出现数据泄露或者重要数据和个人信息违规出境,不仅面临经济损失和名誉损失,还会面临违法风险甚至更严厉的处罚。在此情境下,企业需要加强自身的安全建设,避免因数据泄露造成严重的损失。
API滥用成为数据泄露最常见的攻击媒介
通过我国颁布的一系列数据安全相关的法律法规可以看出,国家对数据安全的重视程度越来越高。对企业而言,围绕数据的全生命周期从数据采集、存储、访问、使用、销毁来构建数据安全体系成为重点的安全建设工作。
目前,大多数企业在数据采集、存储、数据库访问方面做了比较全面的安全建设,在数据流动访问方面的安全建设意识也正逐步萌芽和发展。
而API作为连接数据与应用的主要通道,成为了数据传输中最薄弱的环节之一,传统的WAF、IPS类安全设备关注点不在数据安全,API这个点目前的安全防护比较薄弱,所以API很容易成为攻击者眼中窃取数据的头号目标。
2021年IBM Security X-Force 报告中也指出,其分析的数据安全事件中有三分之二是由不安全的 API 造成的;
据Gartner提供的数据显示,到2025年,由于API的爆炸式增长超过了API管理工具的能力,将有50%的企业出现API安全防护缺位,并且有90%的企业仅能为其公开发布的API进行保护,而其它API则不受监控,并且大部分企业缺乏API安全的实践经验。
Gartner因此预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露最常见的攻击媒介,甚至在2024年API安全问题引起的数据泄露风险将翻倍。
全球范围内由API漏洞造成的数据安全事件屡见不鲜,严重损害了企业和用户的权益。但API目前所面临的严峻安全挑战,却很容易被管理者所忽视。由API漏洞造成的数据泄露主要表现为两个方面:
-
企业业务系统的API数据被非法爬取
如2020年,某社交平台由于API逻辑漏洞让攻击者可以遍历手机号码爬取用户的个人信息,造成5.33 亿条数据泄露;2021年,某网购平台由于两个API的组合逻辑漏洞导致11.8亿的用户订单数据被攻击者非法爬取。
随着政务、医疗、教育等行业的数字化发展,永安在线的情报平台监测到有攻击团伙利用政企数字化的API逻辑漏洞爬取公民的个人信息数据,涉及上亿公民信息被泄漏。
-
内部人员通过应用系统的API违规获取数据
如2021年9月,国内头部旅游公司的大量航班订单数据被内部人员泄露,包括个人姓名、手机号、飞机起降时间、航班号等敏感信息,在数据交易平台被售卖。
这些因API漏洞导致的数据泄露事件不仅会对用户的使用体验以及个人隐私带来威胁,而且还会使企业面临法律合规的监管风险。
对于企业来说,数据安全的建设从数据访问的边界开始,构建以API为基础的流动数据的安全防护体系,能够为业务的数字化创新和监管合规保驾护航。
建立全面的API安全防护策略
确保企业数据安全
2022年国家级的攻防演练中新增了对于数据泄漏的攻防点,说明数据的安全保护逐步从监管法规落实到具体的攻防实战中来,而API安全发展速度与API使用增速不平衡发展,企业对API进行及时有效的防护就显得尤为必要。
对于API安全防护,Gartner建议企业可以通过API资产梳理、API漏洞检测和API攻击检测三个步骤建立完整的 API 安全策略:
永安在线基于业界领先的API风险情报,以API和流动数据为中心打造了一套能感知未知API攻击风险的API安全管控平台。该平台基于风险情报构建的API资产梳理、敏感数据分级分类、API漏洞检测以及API攻击检测引擎,具有接入运营成本低,风险告警准,风险解释性强等优势。
1. API资产梳理
由于API增速很快,很多企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解。而安全可控的前提是需要对资产进行梳理,从不可知到全面可见,全面梳理API资产、清理影子API是API安全的基础。
永安在线的API资产梳理引擎根据输入的流量,基于专利技术实现对下面四个应用场景API自动化进行梳理:
基于API的业务场景、出站数据的敏感度、API风险等级对API进行分级分类:
-
敏感数据分级分类
通过流量梳理API资产的同时,会对流量中流动的敏感数据资产进行识别和提取,对提取出来的敏感数据类型进行分级分类,确保数据资产持续更新和可见。
永安在线的敏感数据分级分类引擎内置了84类敏感数据的检测,支持敏感数据的自定义检测和分级分类,同时会根据对敏感数据访问的异常行为进行分析,及时预警数据泄漏风险。
除此之外,永安在线情报监测平台能够实时全面地对暗网上进行的泄漏数据交易进行监测告警,基于泄漏出去的数据,可利用API安全管控平台对泄漏数据进行溯源分析,定位到关联数据访问的账号、API、IP,追踪数据泄漏的源头,为企业进行下一步处置提供可靠的依据。
2. API漏洞检测
在API资产和数据资产可见的基础之上,需要对API在设计和开发方面存在的漏洞进行评估。检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。
永安在线基于代理蜜罐情报可以持续跟踪攻击者如何利用新型API漏洞来进行攻击,通过对新型攻击面和攻击特征的分析,持续迭代优化API漏洞检测引擎,覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。
针对数据安全方面的设计缺陷,对关键数据未脱敏、返回数据过多、敏感数据伪脱敏、URL传输敏感数据、传入参数可遍历、未授权访问、越权访问等漏洞进行检测,支持7大类46项安全漏洞检测,全面覆盖OWASP API Top10 安全问题。
3. API攻击检测
资产越重要,攻防对抗就会越剧烈,数据成为数字化时代的生产要素,数据资产价值越高,围绕数据资产的攻击就会越来越剧烈。攻击者利用大量的动态代理IP,伪装成正常的请求流量,对企业的敏感数据API进行低频慢速的爬取,或者买通企业内部人员,利用内部运营系统的特权批量查询敏感数据。
永安在线基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险。
永安在线基于风险情报实现API资产梳理、敏感数据梳理、API漏洞检测和API攻击感知这四大能力,能够让企业自动化盘点API和流动数据资产安全情况,及时感知敏感数据和业务的攻击风险,先于攻击者发现攻击面,为企业的数据和业务安全保驾护航。
永安在线新一代API安全管控平台
以情报为基础,先于攻击者发现攻击面
安全每一个API
如有您也有API安全管理的烦恼
欢迎申请试用API安全管控平台
推荐阅读
原文始发于微信公众号(永安在线情报平台):透过数据安全法看API安全该如何防护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论