今天小編分享的互聯網經驗:全網熱議的“人大學生信息洩露事件”,API風險管理如何“未雨綢缪”?,歡迎閱讀。
參考過往數據洩露事件的原因分析,可以推斷,造成此次數據洩露的一大原因是 "API 接口未做校驗處理導致數據被爬取 ",近年以來,全國各地不斷出現數據洩露事件,很多都是由 API 接口安全問題導致:
2018 年 8 月,國内某大型購物軟體平台報警稱有黑產批量爬取加密數據,爬取資料欄量巨大,平均每天爬取數量 500 萬,爬取内容包括用戶評價内容、昵稱等敏感資料欄。
2020 年 3 月,國内某大型社交媒體平台因用戶查詢接口被惡意調用導致 App 數據洩露。
2023 年 2 月,Telegram 機器人爆出國内大規模個人信息洩露事件。根據機器人管理員提供的 navicat 截圖,這次洩露所涉數據規模十分龐大,數據量為 4541420022 條(45 億),數據庫大小為 435.35 GB,所涉及的數據包括電商和快遞物流行業數據。
2023 年 6 月,某車企電商平台被曝存在 API 漏洞,使攻擊者有機會為任何帳戶重置密碼,從而竊取用戶數據,惡意操作和修改客戶數據、經銷商信息以及網站數據等。
……
伴随着各企業數字化轉型,API 使用呈現指數級增長,巨大的流量和訪問頻率也讓數據安全風險面變得更廣、影響更大,API 安全成為當今時代數據安全保護的重要一環。API 作為與後端服務建立連接的唯一入口,承載大量敏感數據和應用各組件數據的流動,API 接口防護不到位時,很容易造成數據洩露發生。
面對攻擊面的變化及攻擊者手段的隐秘多變,企業在數字化轉型的過程中,應在把握自身現狀的基礎上加強内部風險管理、做好 API 全生命周期安全管控、建立健全業務漏洞應急響應制度,從根本上提升數據安全及合規能力,有效形成數據信息保護的防御閉環。
1 API 資產發現與管理
對 API 進行深度資產梳理,通過主動、被動等識别方式,建立 API 資產台賬,幫助安全團隊了解不同應用程式使用的 API 的業務屬性以及對應 API 的關聯性。
2 API 漏洞識别
建設持續挖掘、收集 API 安全漏洞的能力和機制,并做好補丁管理,包括引入第三方組件時充分考慮組件自身安全,避免引入安全漏洞。
3 異常行為檢測
關注 API 高頻訪問、異常數量級數據訪問、異常時間訪問等異常行為,針對異常行為建立全面可視化管理。
4 敏感數據識别
數據分級分類治理,對 API 訪問的數據進行持續監測,自動梳理 API 接口中的敏感數據流并生成 API 接口與敏感數據的映射關系,确保個人隐私數據、商業數據以及其他敏感數據進行不被洩露。
5 建立認證授權體系
構建完整的認證授權體系,實現統一認證授權,對 API 内外部訪問執行可信認證策略。
6 訪問控制限制
對 API 請求有一定限制策略,從系統的處理能力方面對 API 請求做限流管控,緩解基于 API 的 DDoS 攻擊,有效防止資源消耗在無意義或惡意的 API 請求上。
梆梆安全針對目前 API 市場存在的問題及需求,憑借自身多年來在數據采集、大數據分析、靜态 / 動态檢測等方面的經驗和技術積累,推出 " 橫向端到端風險關聯、縱向多渠道全方位防護 " 的 API 安全解決方案,幫助企業解決資產數據難治理、風險行為難發現、數據洩露難感知、威脅攻擊難防護四大安全問題。
數智時代,數據如同工業時代的石油一樣,是信息時代國家重要的戰略性、基礎性資源。梆梆安全将将積極探索數據安全的創新範式,提供适應新要求、新形勢下的新一代 API 風險解決方案,構建合規要求下的數據安全防護新思路,為政府、企業、開發者和消費者交付安全、穩固、可信的網絡空間生态環境。
