API成为威胁的主要场景！

突发！国内多个管理软件厂商正在遭受勒索病毒攻击，API成为威胁的主要场景！

2022-09-01 1777 全知动态

首图-GIF4.gif

近日，国内某知名技术社区最新消息，某高级威胁研究分析中心监测到一起0day漏洞大规模勒索利用事件，疑似某企业财务管理软件厂商大面积遭受勒索病毒攻击，大量用户计算机文件被.locked后缀的勒索病毒加密。

微信图片_20220901142907.png

起因是该软件存在任意文件上传漏洞，漏洞根源在于Upload.aspx（上传文件链接）存在认证缺陷，向该链接传递preload参数可直接绕过系统权限认证，实现任意文件上传，成功利用此漏洞的攻击者可执行任意代码，从而控制服务器。

在加速数字化转型、产业互通互联的当下，企业业务系统上云已经成为常态，但是“上云”并不代表着万事大吉，因为云服务商一般只提供基本的网络安全防护手段，如抗DDOS攻击；而云上数据共享、互通面临的安全威胁却不容忽视。

本次事件的发生从源头上分析是由于该网页链接存在未鉴权认证，导致黑客可以绕开权限认证直接登陆系统，而解决此类风险的关键抓手，就是加强应用系统安全风险的持续监测。

以此次事件为例，各大企业应该引起足够的重视，部署相应安全能力，未雨绸缪。作为新一代数据安全引领者，全知科技能够提供“API安全风险监测”能力，帮助企业从根源上解决此类风险，目前已在金融、政务、互联网等行业落地大量案例，拥有丰富的实践经验。

undefined

全知科技通过知影- API风险监测系统，在客户某应用中监测发现了一个未鉴权的请求，攻击者通过业务系统漏洞，绕开系统认证，直接访问到业务系统内部信息。

诸如此类风险问题，企业应该及时改造业务系统，并持续加强风险的跟踪监测，如业务系统经过升级改造，我们需要重新监测此类接口的访问是否还存在风险，实现风险感知-提升防御-持续跟进的整个风险处置流程闭环。

基于多年的数据安全治理经验，全知科技形成了一套“以数据为中心”的API风险监测方案，通过资产梳理、脆弱性评估、风险监测三大能力模块，为企业提供API全生命周期安全管理的核心安全能力支撑。

持续清点所有API接口并进行分类分级，包括影子API和僵尸API，形成API全量清单；识别暴露PII或其他敏感数据的API ，形成数据暴露面清单，并对暴露面进行分级，方便企业对API数据暴露面进行安全管理，有效缩减攻击面和数据暴露面。

对API接口进行全面脆弱性评估，包括数据权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口；同时，针对接口评估中暴露出的安全问题，给出对应的整改建议和风险证据样例，帮助企业快速明确问题。

- API攻击监测：除了发现SQL注入等常见的Web攻击外，系统会采用机器学习技术对API进行参数建模和画像，发现针对具体API特性的攻击。

- 数据泄露监测：实时发现数据遍历、拉取等攻击行为，并及时进行告警处置，防止恶意攻击者窃取企业或客户的敏感数据；

- 账号安全监测：系统能够持续监测包括账号撞库、暴力破解、弱密码账号等行为，及时发现被攻破的账号，进行安全处置。

- API生命周期监测：持续监测API的全生命周期，帮助企业实时掌握每一个API的活跃状态，包括API新增、失活、活跃等。

微信图片_20220507174555.gif