API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

admin 2022年12月1日15:21:25企业安全评论29 views3379字阅读11分15秒阅读模式

API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

近年来,互联网行业蓬勃发展,由网页时代步入了APP、小程序时代,云原生、微服务、低代码等新技术打破了传统的IT治理架构,作为用户与应用之间的交互通道,API的数量激增,所承载的功能也更加复杂,在现代应用程序架构中发挥着非常重要的作用。

但与此同时,随着移动端业务的快速迭代,API的威胁暴露面也大量增加,互联网企业面临的风险问题进一步显现,安全形式不容乐观:

1.企业自身API资产不清晰,不可见

传统互联网时代,企业可以对PC端的服务API进行爬取或通过开发维护和更新API文档,梳理自身API资产。然而,在APP、小程序时代,移动应用业务繁多,API接口变化很快,梳理成本极高,因此安全人员对企业开放API的数量、老旧API是否下线、传输参数和敏感数据流动等信息都是未知的,无法进行渗透测试,安全措施难以全面覆盖。

2.敏感数据多方流通,调用爬取难以审计

开放性是互联网的固有属性,数据信息也需要通过API在企业与用户、企业与企业之间多方流通交互。业务的开放性本身可以让"互联"更加高效,降低互联网企业多方交互的成本。但由于互联网企业本身拥有着大量用户敏感数据,开放性也会给企业带来严峻的数据安全挑战:企业很难感知到合作方或第三方机构是否存在过多爬取敏感数据,异常调用数据的情况。

3.业务更新迭代快,API容易“带病上线”

互联网行业竞争激烈,产品更新频率高,在敏捷开发时,企业往往以业务优先,安全测试投入方面则会相对缩水,而承载敏感数据的开放API如果在上线开放前未经过安全测试,很容易存在未授权访问、关键涉敏数据未脱敏或者伪脱敏等缺陷,从而直接把缺陷API直接暴露在攻击者面前。

2021年,美国互动健身平台Peloton因后端API存在未授权访问缺陷,导致近300万用户个人隐私信息可以被随意获取,泄露的隐私信息包括用户ID、位置、体重、性别和年龄等。

4.黑产攻击趋于隐蔽,未知攻击很难防御

现如今,黑产攻击时会利用大量的、低成本的动态代理IP伪装成正常的请求流量,绕过传统WAF和API网关的策略对敏感数据进行低频、慢速地爬取;同时,API往往承载着企业的业务逻辑,有时单个的API看似符合安全规范,但攻击者可通过组合多个API的方式实施攻击,导致传统防御措施失效。攻击流量隐藏在正常的业务流量中,很容易造成企业对API攻击无感知的攻防不对等的情况。

2021年,攻击者通过某大型电商平台商品详细信息API和信息分享API,可以爬取到用户的数字ID和昵称,同时,还可以通过该平台的分享API,爬取到用户手机号信息共计11.81亿条。

近年来,因API缺陷导致的安全攻击事件屡见不鲜,企业一旦遭到攻击,将可能造成用户敏感数据泄漏、高额营收损失、品牌声誉受损等严重后果。
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
那么,互联网企业该如何在开放共享、高频迭代的业务环境下,保障企业API安全呢?

在永安在线与企业客户的合作中,某大型互联网平台(D公司)也遇到了同样的挑战:D公司开发人员多,业务迭代快,但安全人员配备少,企业对自身API和流动数据的资产和风险都不可知,曾发生过较严重的因API漏洞导致的用户数据泄漏事件。

D公司安全运营人员表示,他们需要一个安全解决方案,可以实现对企业API资产与敏感数据流动的动态梳理、API缺陷的检测识别以及API风险的及时感知。

面对D公司的安全挑战及需求,永安在线提供以API为中心,以情报感知能力为核心的API安全管控方案,基于资产梳理,缺陷检测,攻击可控三大关键能力,先于攻击者发现攻击面,通过API安全护航企业应用安全。该方案主要有三个环节:

1)全方位自动化梳理API资产与敏感数据流动情况

自动化梳理APP、小程序、网页中面向用户、内部员工、合作伙伴及第三方供应商等开放场景中的API,建立完整可视化的API资产清单,及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API等情况。

通过流量梳理API资产的同时,还会对流量中流动的用户敏感数据进行识别和提取,并对提取出来的敏感数据类型进行分级分类,确保数据资产持续更新和可见。同时,对于可返回明文「三要素」(用户姓名、手机号、身份证)、「四要素」(用户姓名、手机号、身份证、银行卡)的API进行重点监测,确保敏感数据应用的安全合规。

「安全效果」

梳理API资产台账:梳理API资产15916个,其中涉敏API 4330个;梳理站点196个,域名14个,其中涉敏站点90个。

API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
梳理业务数据暴露面:共识别21类涉敏类型数据,涉敏数据主要为个人信息类,其中涉及个人信息「三要素」的API 24个、个人信息「四要素」的API 7个。
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
梳理账号资产:梳理访问账号资产682个,可访问涉敏的账号678个,存在弱密码帐号21个。
发现3个内部员工账号在非工作时间获取涉敏数据过多,其中1个客服组员工账号半夜12:00访问客户信息,获取涉敏数据类型包括账号、姓名、手机号、邮箱等。
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

2)持续、及时检测API存在的未授权、越权访问等缺陷

在API和数据资产可见的基础上,还要对API在设计和开发时存在的安全风险进行评估:全面检测返回数据过多、老旧API接口未下线、关键涉敏数据未脱敏或者伪脱敏、URL传输敏感数据、传入参数可遍历、未授权访问、越权访问等漏洞缺陷。

「安全效果」

检测出24类缺陷,涉及89个API。检出的缺陷类型主要包括:

敏感数据暴露类:关键涉敏数据未脱敏,敏感数据伪脱敏,脱敏不规范,返回敏感数据类型过多等。

授权类缺陷:未授权、Clickhouse未授权访问、越权等。

认证类缺陷:密码明文传输,返回明文密码,允许弱密码等。

-->业务系统有7个API存在未授权、数据未脱敏缺陷,攻击者可以利用这些漏洞,获取用户有关姓名、身份证、手机号、住址等个人隐私信息,存在数据泄露的隐患。
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?


API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
-->内部系统有2个API存在允许弱密码、密码明文传输漏洞。攻击者可以利用这些漏洞,获取数据库账号、密码等信息,导致数据库登录权限泄露。

3)以情报为基础,提早感知攻击行为并阻断

基于永安在线多年威胁情报能力沉淀,利用攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,机器学习检测API访问序列中的异常行为,及时告警D公司所面临的攻击风险,找到攻击源头,分析攻击行为,并将情报联动WAF设备进行快速、自动化阻断。

「安全效果」

识别API风险4类81个事件,其中包含:利用秒拨代理IP进行数据爬取、撞库攻击和恶意注册等。

攻击者利用4.9万个代理秒拨对其中2个站点,13个服务接口发起90万次爬虫攻击,主要集中在PC端站点,爬取用户、内容、商品报价等页面的信息。以下为平台统计其中一个API的攻击概况:
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?


API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
D公司移动端登录接口遭遇撞库攻击,存在用户账号泄露风险,攻击者将有可能获得用户权限、身份信息。
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?
API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

使用永安在线API安全管控方案后,基于永安在线独有的情报能力,D公司成功实现了对自身API资产的全面动态梳理、API缺陷的持续检测、以及外部风险攻击行为的精准感知,构建了可预防、可解释、可溯源的API安全管理体系,为企业API安全保驾护航。

永安在线(Ever.Security)成立于2017年,专注于业务反欺诈和API安全解决方案的输出。公司基于卓越的风险情报数据能力、丰富的黑产攻防经验和完善的业务风险监控体系,帮助提升企业风控攻防效率和数据安全防护能力,保障企业在线业务健康发展。


截至目前,公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务。

您是否也想了解企业有多少API资产?

有多少敏感数据在流动?

每个API是否存在安全风险?

是否存在数据泄露风险?

扫码申请试用API安全管控方案

帮您一一盘点

API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?


推荐阅读


案例研究|数字化转型过程中,保险行业如何做好流动数据的安全建设?
案例研究|证券行业如何做好API安全治理,保障流动数据安全?
互联网金融公司应如何对抗API攻击和数据泄露难题
2022年,永安在线API安全能力步入3.0版本
2022年Q3《API安全研究报告》发布,大量金融和政务数据遭窃取
永安在线入选2022中国网络安全「API安全防护」领域代表厂商
永安在线发布「API安全建设白皮书」,提出API全生命周期安全防护模型

API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

原文始发于微信公众号(永安在线情报平台):API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月1日15:21:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  API漏洞导致的数据泄漏事件频发,互联网企业如何保障API安全? http://cn-sec.com/archives/1437238.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: