2021年6月10日,《中華人民共和國數據安全法》正式公布,將于9月1日開始實施。《數據安全法》強調了企業在保護數據安全中應承擔的責任:企業需要制定相關制度來保障數據安全,補救數據安全風險,上報數據安全事件。如拒不遵守法律或釀成重大數據泄露事故,企業將被處以十萬元以上、一百萬元以下的罰款,直接負責的主管人員和其他直接責任人員,則將被處一萬元以上、十萬元以下罰款。如果企業中存在大量數據,安全運維人員必須認真對待這些法律法規,因為一旦發生數據泄露事件,受處罰的不光是企業,還有直接責任人。
TDP是微步在線旗下情報驅動的新一代網絡流量檢測與響應(NDR)產品,基于旁路流量的全方位威脅檢測與響應平臺,廣泛覆蓋傳統僵木蠕、APT、Web 和非 Web 攻擊、業務風險挖掘、資產梳理。一直以來,微步在線都會陸續收到金融、互聯網等行業客戶的咨詢:“你們TDP能防止敏感數據泄露嗎?”今天就來拆解一下TDP的資產&風險模塊中防止數據泄露的功能。
流量被動監聽發現所有API接口
“你知道的不知道的API我都知道”
敏感數據泄露的最主要途徑就是API接口。然而實際工作中想做好對接口的管理,是一件很難的事。企業的安全運維人員往往難以回答這幾個問題:
企業現在有多少接口?這些接口中究竟有多少個能被爬取敏感信息?
這些接口中是否有不該對外暴露,但能被爬取到的?
就現在,企業的敏感信息接口是否在對外傳輸數據,傳出了什么數據?
有資產的地方就有風險,TDP通過旁路鏡像的方式監測企業各處資產的流量,從而發現潛在的數據泄露風險。在TDP接入了企業網絡的所有出口流量后,對該企業所有API接口的摸排就開始持續進行,順著流量,TDP可以發現被企業忽略或未納入管理的對外接口,還能夠實時展現接口是否傳輸了敏感信息。安全運維人員在發現敏感信息泄露時,可以根據TDP給出的用戶IP進行封禁等處理。
接口被排查清楚后,企業安全運維人員就可以使用TDP的“明文敏感信息”和“API風險”兩個功能,可以防止信息泄露,同時也可反爬蟲。
明文敏感信息功能:
“我知道誰一秒前拖走了什么!”
根據用戶業務特點,TDP把郵箱、手機、身份證號、銀行卡號定義為敏感信息,為了防止“2年11.8億”的事故重現,TDP有對明文敏感信息的監測機制:
1.如果有接口返回明文敏感信息,TDP的界面中就會留下記錄;
2.TDP會用字段和代碼展示用戶訪問和返回了哪些明文敏感信息,同時也會記錄用戶的IP、訪問次數等信息;
對所有信息解讀以后,能夠得出一個完整故事:
在某地IP為***.***.*.*的某人
在時段2021/06/08 16:00時
拿到了郵箱/手機/身份證/銀行卡 等明文敏感信息。
并且,安全運維人員能看到返回內容的具體代碼,對細節有更清晰的了解。
接下來,只需對相關IP進行排查即可真相大白:若是內部正常業務,則放行,若內部主機存在風險,則查殺,若是通過威脅情報確認了這是黑客/黑產的IP,輕則封禁,重則報警。
API風險功能:
“在我的接口反復橫跳,你是不是有問題?”
有些黑灰產需求的并不是企業的敏感數據,而是企業日常業務中產生的數據,如企業信息數據、新聞稿件等,他們也會對業務接口進行大量的爬取,如果爬取次數過多,可能會導致網站崩潰等后果。所以,在業務接口反復橫跳的行為,也很受安全人員關注。
TDP也有對API接口風險的監測機制:
1.TDP會監測企業API接口的訪問次數,并用訪問次數和時間段來形成趨勢圖;
2.TDP也會監測所有用戶訪問企業API的總次數,并可以展示單個用戶的訪問數是否過多,同時,單個用戶返回的數據將以JSON格式展現;
同樣,對所有信息進行解讀后,也能得到一個完整的故事:
在某地IP為***.***.*.*的某人在時段2021/06/08 16:00時
訪問頻次比普通用戶高 4.5 倍,累計訪問了 124500 次
爬取到了JSON格式的某些信息。
接下來,只需對相關IP進行排查即可真相大白:若是內部正常業務,則放行,若內部主機存在風險,則查殺,若是通過威脅情報確認了這是外部違規爬蟲的IP,則封禁處理。
TDP還能監測哪些風險?
我們認為,企業資產中有三種風險最值得注意:登錄風險、數據泄露風險和API風險,TDP通過鏡像旁路流量,可以用被動監聽的方式發現企業可能成為攻擊面的終端、登錄后臺、端口,同時也可以發現哪些賬號存在弱口令、哪些登錄行為比較可疑等,此外TDP還能防范撞庫、DDoS攻擊等常見的業務風險。
