今天小编分享的互联网经验:全网热议的“人大学生信息泄露事件”,API风险管理如何“未雨绸缪”?,欢迎阅读。
参考过往数据泄露事件的原因分析,可以推断,造成此次数据泄露的一大原因是 "API 接口未做校验处理导致数据被爬取 ",近年以来,全国各地不断出现数据泄露事件,很多都是由 API 接口安全问题导致:
2018 年 8 月,国内某大型购物軟體平台报警称有黑产批量爬取加密数据,爬取資料欄量巨大,平均每天爬取数量 500 万,爬取内容包括用户评价内容、昵称等敏感資料欄。
2020 年 3 月,国内某大型社交媒体平台因用户查询接口被恶意调用导致 App 数据泄露。
2023 年 2 月,Telegram 机器人爆出国内大规模个人信息泄露事件。根据机器人管理员提供的 navicat 截图,这次泄露所涉数据规模十分庞大,数据量为 4541420022 条(45 亿),数据库大小为 435.35 GB,所涉及的数据包括电商和快递物流行业数据。
2023 年 6 月,某车企电商平台被曝存在 API 漏洞,使攻击者有机会为任何帐户重置密码,从而窃取用户数据,恶意操作和修改客户数据、经销商信息以及网站数据等。
……
伴随着各企业数字化转型,API 使用呈现指数级增长,巨大的流量和访问频率也让数据安全风险面变得更广、影响更大,API 安全成为当今时代数据安全保护的重要一环。API 作为与后端服务建立连接的唯一入口,承载大量敏感数据和应用各组件数据的流动,API 接口防护不到位时,很容易造成数据泄露发生。
面对攻击面的变化及攻击者手段的隐秘多变,企业在数字化转型的过程中,应在把握自身现状的基础上加强内部风险管理、做好 API 全生命周期安全管控、建立健全业务漏洞应急响应制度,从根本上提升数据安全及合规能力,有效形成数据信息保护的防御闭环。
1 API 资产发现与管理
对 API 进行深度资产梳理,通过主动、被动等识别方式,建立 API 资产台账,帮助安全团队了解不同应用程式使用的 API 的业务属性以及对应 API 的关联性。
2 API 漏洞识别
建设持续挖掘、收集 API 安全漏洞的能力和机制,并做好补丁管理,包括引入第三方组件时充分考虑组件自身安全,避免引入安全漏洞。
3 异常行为检测
关注 API 高频访问、异常数量级数据访问、异常时间访问等异常行为,针对异常行为建立全面可视化管理。
4 敏感数据识别
数据分级分类治理,对 API 访问的数据进行持续监测,自动梳理 API 接口中的敏感数据流并生成 API 接口与敏感数据的映射关系,确保个人隐私数据、商业数据以及其他敏感数据进行不被泄露。
5 建立认证授权体系
构建完整的认证授权体系,实现统一认证授权,对 API 内外部访问执行可信认证策略。
6 访问控制限制
对 API 请求有一定限制策略,从系统的处理能力方面对 API 请求做限流管控,缓解基于 API 的 DDoS 攻击,有效防止资源消耗在无意义或恶意的 API 请求上。
梆梆安全针对目前 API 市场存在的问题及需求,凭借自身多年来在数据采集、大数据分析、静态 / 动态检测等方面的经验和技术积累,推出 " 横向端到端风险关联、纵向多渠道全方位防护 " 的 API 安全解决方案,帮助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护四大安全问题。
数智时代,数据如同工业时代的石油一样,是信息时代国家重要的战略性、基础性资源。梆梆安全将将积极探索数据安全的创新范式,提供适应新要求、新形势下的新一代 API 风险解决方案,构建合规要求下的数据安全防护新思路,为政府、企业、开发者和消费者交付安全、稳固、可信的网络空间生态环境。