黑灰产及护网API安全方案 | 全知科技（杭州）有限责任公司

solution

黑灰产及护网API安全方案

市场背景

随着互联网应用的多元化、复杂化，应用服务化已成为显著趋势，越来越多场景中的应用架构中采用API作为应用间的数据传输和控制；同时，API接口负责传输的数据量以及敏感性也在增加；因此针对API的攻击已经变得越来越频繁和多样，API安全已成为当今不少企业的高度关注点。我国也相继出台了《信息安全技术个人信息安全规范》、《数据安全法》、《个人信息保护法》等多部涉及特定API技术或应用场景的数据安全保护的标准及法律法规。

风险场景

黑灰产数据窃取场景

企业有对外开放的API服务，且有敏感数据暴露在互联网上，主要关注API的对外数据暴露面和黑灰产数据窃取行为。

护网场景

企业要参加护网行动，关注自身API潜在的风险隐患和护网场景下的攻击行为。

以行业为例，剖析需要关注的风险点

银行业：手机银行、微信银行、小程序、第三方业务开放API等大量API接口对外提供，导致大量客户数据暴露在互联网上，一旦产生脆弱性风险，非常容易被护网场景下的攻击者作为突破口攻击。
政务云：市民卡、市政系统等大量互联网政务系统需要开放API接口在互联网上，容易造成公民个人信息（居住证、学历信息等）的暴露，给黑灰产以可乘之机；
运营商：各大运营商出于业务需要，经常会做一些优惠券促销活动，大量优惠券API接口暴露在互联网上，若这些API接口存在安全隐患（如可参数遍历）就有可能会被恶意利用给各大运营商带来严重损失；
医疗业：疫情环境下的核酸检测，衍生出了大量不规范的报告查询APP、小程序、在线业务等，这些在线业务由于其上线周期短可能存在大量的API安全隐患，使得大量客户的敏感数据暴露在互联网上；
互联网：基于不同互联网行业的实际业务场景，会开放大量的业务API接口给到第三方合作伙伴、第三方用户等，针对暴露在互联网上的API的攻击容易导致客户数据的大量泄露；
证券业：App、小程序、开放API业务等会暴露大量API到互联网上，这些暴露在互联网上的API一旦存在安全隐患容易被红方利用，给护网带来严重的风险。

客户痛点

与日俱增的API接口

随着技术的兴起，服务端需要增加大量的API接口处理数据源，同时业务的不断变化导致接口的生命周期差异很大。

API接口的独特性

每个API都是唯一的，传统的API解决方案缺乏对API的细粒度理解，忽略了针对API的攻击逻辑。

日益复杂的API场景

众多企业单位办公实现的方式多样化，相应出现系统的多样化，相互间的数据传输大多数采用的API实现方式或前后端分离等技术特点实现，大大增加了API在目前多个行业的场景。

错综复杂的API管理

面对API接口复杂度高、个性化程度大、业务变化快等问题，企业难以应对完备性的安全风险管理。

持续多样的攻击方式

持续不断的漏洞扫描、APT、钓鱼邮件、ARP欺骗等多样的攻击手段，对企业数据安全造成了极大的困扰。

全知方案与特色

资产梳理——让“一锅粥”变成“一本账”

持续清点所有API接口并进行分类分级，包括影子API和僵尸API，形成API全量清单，包括API的类型、可以获取的敏感数据、敏感等级、返回的数据量等；识别暴露PII或其他敏感数据的API ，形成数据暴露面清单，并对暴露面进行分级，方便企业对API数据暴露面进行安全管理，有效缩减攻击面和数据暴露面。

脆弱性评估——从“分散多点”到“全面覆盖”

对API接口进行全面脆弱性评估，包括数据权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口；针对接口评估中暴露出的安全问题，系统会给出对应的整改建议和风险证据样例，即这个API实际长什么样，帮助企业快速明确问题。

风险监测——从“被动堵漏”转为“主动防护”

除了发现SQL注入等常见的Web攻击外，系统会采用机器学习技术对API进行参数建模和画像，发现针对具体API特性的攻击；实时发现数据遍历、拉取等攻击行为，并及时进行告警处置，防止恶意攻击者窃取企业或客户的敏感数据；持续监测包括账号撞库、暴力破解、弱密码账号等行为，及时发现被攻破的账号，进行安全处置；持续监测API的全生命周期，帮助企业实时掌握每一个API的活跃状态，包括API新增、失活、活跃等。

方案价值

掌握资产现状，避免管理盲区: 帮助企业建立全量的API清单，发现边角、废弃系统和未纳入管理的API。

监测数据暴露面，落地数据安全规范: 对敏感数据API的生命周期进行管理，帮助安全团队更好的落地数据脱敏规范、数据开放策略等。

发现API接口弱点，降低数据泄露风险: 自动发现数据伪脱敏、过量数据返回、未鉴权、参数可遍历等API弱点，及时修复降低弱点被利用的风险。

识别针对性攻击尝试，避免造成实际危害: 通过智能行为异常识别算法，在攻击侦查阶段发现他们并采取措施。将攻击者转换为企业的渗透测试者。

成功案例

大型快递行业

项目背景：某大型快递行业由于其业务场景，需要在互联网上开放大量的API接口，而该企业此前有遭受过严重的客户数据泄露现象，比较关注过量数据的暴露和黑灰产数据窃取问题。
项目实施：通过应用全知科技API安全解决方案，帮助客户针对数据暴露面进行了整改，并持续监测黑灰产的数据窃取情况。
一方面，通过帮助用户梳理API资产，发现暴露在互联网上的敏感数据API，对这些API进行数据脱敏和持续的暴露面监测，直观反映暴露面的治理情况：共帮助梳理API资产17w余个，其中有1037个API是暴露在互联网上且透出敏感数据的API，通过对这一千多个API进行弱点识别，共发现存在未鉴权可访问的API32个，伪脱敏API64个，过量数据返回37个，参数遍历21个等，通过推动内部对这些标志性安全隐患的修复，并持续不断发现安全隐患，形成良性的安全治理循环：发现-修复-持续发现。
另一方面，通过持续监测重点数据接口的访问行为，及时发现黑灰产数据窃取风险，帮助企业对风险事件进行处理，减少不必要的安全损失：共发现黑灰产数据窃取风险事件3起，分别是来自安徽的某2个IP和来自福田的某IP通过短时间内不断更换请求参数（手机号）碰撞拉取快递信息（寄件人姓名、寄件人地址、寄件人手机号、寄件内容、收件人地址、收件人姓名、收件人手机号等），其中一条风险事件累计泄露快递信息3,0218条，共涉及到个人信息6,0536条。API产品通过及时的告警，推动内部安全运营人员针对此IP进行了访问限制，减少了后续的数据泄露情况。

某银行机构

在一次对某银行的数据安全运营分析过程中，发现了来自外网的恶意IP通过篡改身份证号的方式批量试探拉取此银行的客户数据的现象，结合上下问关联分析，发现此IP在触发数据窃取风险之前的前一周都在执行扫描操作，并利用了扫描成功的API进行了批量数据拉取，从而导致该银行4,218条个人信息的泄露。

此风险案例的实施步骤如下：

2021-03-20 – 2021-03-28日期内的每日23:00:00 – 05:00:00执行扫描操作，累计扫描用户web系统3,019个，扫描API 58,291个，扫描成功API 391个；

2021-03-28 13:00:00利用扫描成功的API，并不断尝试更换身份证号这个入参试探拉取此银行的客户数据，主要包括客户的银行卡号、身份证号、手机号、开户时间等，累计获取了4,218条个人数据，该IP当日累计请求11,3452次，每秒钟访问频次高达102次，造成此银行客户数据的大批量泄露，给银行带来较大的安全影响。

此案例与去年银保监会下发的关于“某金融机构的微信银行业务系统存在数据安全风险，引起资金被盗取的安全事件”有很大相似之处。