谈谈情报对API数据安全风险审计的价值

随着数字化的不断发展，企业服务的大量敏感数据必须开放出去赋能业务发展，但背后的数据安全问题却日益严峻。

根据Salt Security的报告，82%的组织对自己是否知道API信息毫无信心，他们无法确定这些API是否包括客户个人网络信息、受保护的健康信息、持卡人数据等个人可识别信息。同时，还有22%的组织表示他们不知道如何发现哪些API在暴露敏感数据。

根据永安在线前期对客户调研得知，在API数据安全场景上，企业面临的几个问题点：

1、企业不知道自己有多少API？

2、哪些API携带了什么类型的敏感数据？

3、携带敏感数据的API是否应该携带，其数据处理方式是否合法？

4、携带敏感数据的API是否被恶意使用或者被攻击？

……

目前，市面上传统的数据安全风险审计通常是基于规则和行为特征来发现异常行为，这种方式的瓶颈在于行为特征规则越复杂，规则的可依赖性就越低。由于业务的不确定性和持续迭代特点，会让行为特征本身的可依赖性降低，这使得无法直接判定风险，且会产生较高的误判率。

如何来解决这些问题？永安在线在长期的业务安全发展研究过程中，发现情报可以为业务风险的感知和监测带来新的有效途径。

永安在线多年来持续关注业务风险的发展，通过长期运营已建立丰富的业务风险黑产情报库，涵括网络基础设施情报、黑产工具情报、黑产交易情报、黑产舆情情报等。丰富的情报收集渠道可以对暗网、网盘、在线文库、代码托管、群聊论坛等黑灰产通道进行全传播链路的全方位监测，帮助企业站在外部视角，对已发生的用户数据、内部机密资料、核心代码等数据泄露事件进行全面监测和及时预警，大幅度弥补了内部数据安全防控体系的不足。

在长期对黑产情报的研究过程中发现，通过将情报能力加入到数据安全风险审计中，能大幅提高业务风险检测和感知能力，譬如以下几例场景：

场景一：基于威胁风险IP情报建立的稳定指标，对业务风险感知能力带来有效增益

大多数黑产发起攻击往往会使用代理、秒拨来隐藏或伪造自身IP，从而绕过IP频控限制实现作恶行为。而通过IP情报能力，统计各接口风险IP、国内数据中心IP、海外数据中心IP的访问比例，感知已经被黑产滥用的风险接口清单，能够及时发现并处置数据资产泄露风险。

从上图中可以看到，每天的总浏览量走势大致相同，虽有波动变化，但总体变化趋势相对平缓平滑，时间区间内的流量稳定，基础的流量统计模型难以感知到风险威胁的存在。在引入高风险IP这一情报属性并建立高风险IP流量占比指标后，依托于对高风险IP流量占比的异动幅度检测，为业务风险监测引入了一系列高可用的、稳定的检测指标，能够更好的感知风险威胁的存在。

场景二：高效匹配黑产作恶工具请求特征，精准判断风险

通过逆向的近5000W黑产作恶工具情报数据，分析出工具内置的请求特征(API、UA、Cookie)与行为时序特征等，在企业的真实流量日志中进行高效匹配，检出那些利用活跃黑产工具进行攻击的团伙，从而准确判断风险。

如上图所示，基于工具情报的能力，帮助客户发现其发送短信服务存在被黑产滥用的情况，并基于工具自身携带的黑特征对客户流量进行匹配，发现仅一天就存在超过255W次以上的攻击请求。保守估计，如果以攻击至少有30%成功率，且以经过调研的每条短信3.5分的市场最低价进行损失计算，预计每天至少损失2.7W元人民币。

此外，利用工具本身记录的信息可以追溯到黑产工具作者，可溯源到黑产IP资源供应商信息等，这将很好的配合到企业进行下一步的法律打击，帮助挽回损失的同时也从帮助客户从根源上解决风险。

API是各产业的企业信息系统的支撑性组件，不断的迭代和新增，使得API数据安全防御变得更为困难，因此，企业也必须得依照API的特殊性，来采用新的防护体系，才能抢先准确感知风险、阻断可能的黑产攻击，支撑企业业务健康良性发展。