永安在线对近两年的数据泄露风险分析表明,API安全已是数据泄露头号风险,92%的数据泄露已来自业务API爬取
2021年6月,根据裁判文书网公开的判决案例显示,犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id,昵称,电话号码等信息11亿条。
2021年4月Facebook5亿用户数据泄漏,根据暗网上公布的数据截图,涉及到用户的昵称,邮箱,电话,家庭住址的信息判断,为业务接口泄漏。
2020年微博的3.5亿数据的泄露,就是来自于终端APP的业务逻辑api被非法流量调用超过40亿次而导致。
2020年印尼最大的电商网站Tokopedia9100万用户信息泄漏,里面涉及到了用户曾经浏览到商品信息和订单信息,也为业务接口泄漏。
在新一轮科技革命的数字浪潮下,以大数据、云计算、区块链、人工智能等为代表的新信息技术在企业数字化进程中不断的融合创新,企业数字化转型的背后面临的是各种数据安全问题,随着数据流转节点的增多,各种API暴露在外被黑产利用并进行攻击的风险越来越大。根据永安在线数据泄露监测平台统计,从2020年1月1日至今,共发生数据泄露事件21620起。涉及的行业包括金融、互联网、电商、教育等行业,详细图如下:
为什么企业会持续不断的发生这种问题?
原因1:企业的业务迭代速度越来越快,对线上业务的API管理难度增加。
大部分企业的线上业务API管控甚至是失控的(不知道有多少api,不知道新增了多少api,不知道都有什么风险,不知道未来会有什么风险)
原因2:对企业的安全团队来说,线上业务的风险管理不单单是技术问题。
业务安全要想做好需要业务方有足够强的主动配合意愿。不同于基础安全主要的风险平面是主机和应用,安全团队可以直接基于应用的特征去扫描和监控。业务场景的风险具备极强的业务特征,必须是双方共同协同的结果。
原因3:当黑灰产已经开始以业务风险为主要攻击平面的时候,企业的意识需要时间来转换。
当前很多企业仍然认为企业安全的主要问题是主机和应用安全,对业务安全的问题意识不够,重视不够,进一步导致企业内部业务安全团队话语权不高,再加上第二点原因,进一步导致对于业务风险的管控是低效的。而黑灰产的高压且持续的攻击,让企业安全团队更多成为救火团队。
永安在线基于自身对黑灰产团伙和攻击流量具备领先行业的识别能力,推出了“业务安全网关”产品
过往企业购买的基础安全产品重点的防御对象是主机和应用层,但对业务上的流量普遍缺乏发现和阻断能力。
该产品相比传统的流量审计产品具备以下特点:
1、独有的定位——针对业务上风险流量的审计能力
2、独家的能力——该产品是基于永安在线领先行业的业务安全情报能力构建
3、独特的技术选型——基于业务情报能力的流量审计,具备对抗强攻防能力,具备跨场景跨业务识别能力
我们来看一下在实际防御中,业务安全网关时如何来解决API接口的安全问题
客户案例
客户背景:每天接口流量超过4亿,核心API数量超过500个,业务内部安全部门疲于应付各类促销活动,对整体业务状况没有系统性把控。
客户接入效果:
-
业务安全网关在流量侧对于业务的整体风险进行了全面的发现,定位了大量异常请求,代表性有以下:
-
产品部门升级了接口,但是旧的接口没有下线。业务安全网关定位到有旧的短信接口、找回密码接口没有设置合理的风控策略,导致2个接口被黑产利用,网上出现了短信轰炸工具,同时大量的用户信息被扫描,产生了客诉。
-
部分用户个人信息页被黑产大量爬取。之前业务安全团队认为这个信息价值不会很大,由于开发成本考虑,没有配置风控策略。经情报溯源,发现有黑产利用爬虫获取用户信息,售卖给诈骗团伙做早期的目标用户筛选,同时售卖的信息有部分流入黑市,可能后续会被竞对公司获得。
-
客户使用流量防御产品,针对被攻击的接口开启防御,快速的对识别的风险进行了阻断,防止业务风险扩大。
产品架构说明:
核心模块说明:
-
BTDP业务风险感知引擎:旁路接入流量数据,以情报运营分析能力为基础,全面感知并解释业务风险。
-
3AS流量主动防御系统:在流量侧构建业务安全第一道防线,无死角、可靠的解决业务风险基础防御问题。
本文始发于微信公众号(永安在线情报平台):API安全已是数据泄露头号风险,92%的数据泄露来自爬虫
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论