“现在去政府办事,越来越简单方便了!”刚刚给公司办完工商审批手续的行政小王如此感叹,企业工商数据已经全部联网同步,一个窗口全部搞定。
小王感受到的改变,要归功于全国各地推广的“最多跑一次”改革。所谓“最多跑一次”,就是通过“一窗受理、集成服务、一次办结”的服务模式创新,让企业和群众到政府办事实现“最多跑一次”的行政目标。更通俗的说,就是让“数据多跑路、群众少跑腿。”
路上出行会存在交通事故的风险,同样在“数据多跑路”的过程中,由于海量的公民个人信息、企业商业数据等在各个部门和系统中流转和分享,甚至对外开放,就带来了不可忽视的数据泄露、黑客攻击等安全风险。这其中,作为数字世界中的“信息高速公路”,API数据接口服务可以说是首当其冲。
某市大数据局在积极推动“互联网+政务”深度融合、政府数字化转型的过程中,广泛依托API接口实现各级各部门信息系统的互联互通。其中对外部的应用开放,这其中暗藏了巨大的数据安全隐患。为此,该市大数据局通过与奇安信合作,以API安全为核心,兼顾加密流量威胁,构建起了覆盖 API 资产可视化、API 风险可视化、行为可视化、数据安全事件可视化、加密流量可视化的全闭环数据安全保护体系。
数据在“高速公路”狂奔,安全风险伴随而来
据介绍,该市大数据局主要职责是组织、指导、协调全市公共数据和电子政务发展管理工作,深化“最多跑一次”改革,落实支撑改革相关的信息系统建设任务,推进“互联网+政务”深度融合、政府数字化转型工作等。为此,大数据局内部部署了市公共数据共享系统、市公共数据系统、市多云管控系统、市经济运行监测分析数字化系统、市公用事业信息化监管服务系统、市住房公积金信息管理系统等多个业务系统。
API作为应用连接、数据传输的重要通道,在该市公共数据和电子政务发展管理的数字化转型中被广泛应用。依托API数据接口服务,全市各部门机构可以轻松获取和利用各种数据资源,方便地共享数据,实现信息流动和互联互通,进而提高运营效率,优化决策和服务,促进创新和发展。
然而,API带来便捷性和灵活性的同时,其暗藏的安全风险也伴随而来。国际权威咨询机构Gartner曾预测,2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年,API滥用和相关数据泄露将几乎翻倍。从全球范围来看,2023年API安全事件频发,威胁愈发严重,涉及多家知名企业。在国内,各地不断出现数据泄露事件,包括某知名大学的学生信息泄露等等,很多都是由 API接口安全问题导致。奇安信研究显示,开放的业务能力越多,API使用范围越广泛,API暴露的攻击面也就越大。
这对这些情况,该市大数据局通过和奇安信合作,系统梳理了当前存在的主要API安全风险,具体集中在以下几个方面:
第一是API资产梳理不清,无法提前洞察潜在风险。由于业务系统的分期上线以及安全部门与业务部门职责不同,导致了安全部门无法实时掌握当前系统有多少API、哪些是长期不活跃的API、哪些是已下线的API、哪些是僵尸API、业务系统对外暴露了哪些API、以及是否存在未经审批登记的API等一系列问题,用户对API资产情况掌握不清晰,更无法提前洞察潜在的数据风险。
第二是数据泄露无感知,安全事件总是后知后觉。攻击者可以通过利用API接口存在的脆弱性批量获取企业敏感信息,且数据在传输的过程中未对敏感信息进行处置,例如公民身份证号、电话、联系地址等信息,这样就导致大量数据在悄无察觉的情况下,被大量窃取。
第三是漏洞攻击无防护,成为攻击者最大突破口。API由于设计者或历史遗留等原因存在逻辑缺陷、配置错误等安全漏洞,恶意攻击者常常利用API漏洞进行攻击。针对API漏洞利用攻击行为,如何进行防范、如何精确控制访问行为;针对漏洞攻击、高频访问等异常行为如何进行快速安全防护,成为了困扰当前企业安全建设的难点。
第四是缺乏溯源响应机制,攻防对抗中限于被动。数据被窃取后,大数据局往往无法快速定源或响应,很容易造成被通报处罚等事件,严重影响政府声誉,尤其在近年的实战攻防演习中,总是出于被动局面。。
最后是对链路加密检测无手段,存在威胁监控盲区。该市大数据系统内部全部采用Https加密方式进行传输,过去无解密手段,无法感知加密流量中夹带的攻击与威胁,这就造成了威胁监控的盲区。根据国外机构调研报告显示,超过95%企业表示遭遇过由于加密流量引起的安全事件。因此,对API传输的数据进行高效解密是安全保护的基础。
高效解密+API全闭环防护,为数字政务系上“安全带”
在API接口越来越频繁受到攻击、成为数据安全核心隐患的情况下,奇安信为该市大数据局提供了“API安全卫士+流量解密编排器(SSLO)”的整体解决方案。此方案帮助客户看见加密流量威胁的同时,进一步基于API检测设备,通过API资产识别、API敏感数据传输识别、API漏洞攻击检测与防护、API访问控制等技术解决企业当中API资产不清、API漏洞利用攻击无防护手段,API敏感数据泄露无感知、API通信行为无审计等一系列API安全问题。
第一是高效流量解密,让隐藏威胁无所遁形。
针对该大数据局系统内部全部采用Https加密方式进行传输的情况。奇安信通过在用户南北向核心交换机上,透明串接奇安信流量解密编排器(SSLO)解密设备做代理解密,再对多个Https业务进行解密策略配置,解密设备对两侧密文进行解密操作后,将解密后的明文进行复制并转发到镜像口,最终通过镜像口将明文传递给旁路的流量分析设备进行安全检测,检测完成后将流量日志和告警日志上传至API安全分析与管理系统。
API安全分析与管理系统拿到解密后的明文流量后,可帮助大数据局实现全面API资产梳理、API资产脆弱性检测等操作,管理和保护API资产。
图:该市大数据局API安全卫士联动流量解密编排器的部署
第二是全面的资产梳理,形成可视化资产清单。
资产梳理市API安全卫士的重要功能,它可以通过内置规则自动识别API类型及公共组件,通过自动打标并进行分类统计,全面管理API资产。在该项目中,奇安信通过API安全卫士帮助某大数据局全面梳理了API资产,发现未知API、僵尸API,最终形成可视化API资产清单。
第三是风险可视化管理,并实现精细化策略管控。
通过API安全卫士帮助某大数据局发现内部API各种自身逻辑缺陷。主要包括未授权访问的问题、弱认证问题、过度数据暴露问题、高敏感接口问题、以及接口误暴露问题等。
其中,奇安信通过API安全卫士帮助某大数据局发现异常高频访问、文件批量下载、敏感数据批量爬取、以及接口参数遍历等API异常访问行为,发现潜在的API安全风险,将风险前置。并通过API安全卫士帮助某大数据局分析“谁通过什么方式的API,传输了什么类型的敏感数据,传输了多少”的效果,实现敏感信息的数据传输分析。
在运营分析方面,通过API安全卫士帮助某大数据局分析“什么人(攻击者)通过哪个接口,什么攻击方式手法,攻击了谁(受害者),攻击结果是什么”的效果,极大提升运营人员的分析效率。
在风险管控方面,通过API安全卫士帮助该大数据局在发现安全风险后,通过精细化策略管控避免恶意攻击者通过恶意请求、DDoS攻击等手段对API进行攻击,导致系统瘫痪、数据泄露等的严重后果。
第四是满足企业业务合规审查
合规是企业经营的底线和生命线,大数据局也同样需要遵循《数据安全法》、《个人信息保护法》等相关法律法规的要求。在该项目中,大数据局业务通过API来实现数据的交互,而API应用因为其设计的独特性,更多的业务逻辑是在客户端执行,服务端往往会直接将包含的所有数据(其中包含很多敏感数据)发送给客户端,由客户端来按需使用。通过部署API安全卫士快速识别和审查 API 请求/响应的内容,进而满足该大数据局安全合规的要求。
结束语:
奇安信数据安全专家认为,某市大数据局在API数据共享面临的安全困局,也是数据安全最为典型的问题之一。在技术变革快,安全风险复杂,合规性要求越来高的背景下,数据安全存在着面临“难看清”、“难管好”、“难防住”等困境。在这种情况下,奇安信推出了“奇安天盾”数据安全保护系统(简称:奇安天盾),用“六全”框架实现“三能”:风险能看清,内鬼能管好,攻击能防住;将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系,弥补了对于数据保护一体化能力的缺失。
国际市场研究与咨询机构Gartner指出,“无论产品形态如何,API都存在自己独特的风险,如API资产清单不全、API漏洞等。因此,用于网络、应用或者数据的安全产品并不能简单地复用于基于业务的API风险管控。”作为Gartner《中国API管理市场指南》中API安全领域的代表性供应商,奇安信认为,API安全是数据安全保护中最重要的一环,也是奇安天盾体系化能力的核心组件。该市大数据局在以API安全为核心的数据安全实践,无疑为各省市大数据局数字化改革中的数据安全体系化建设,探索出一条可被广泛借鉴和复制的标杆示范。