文 / 华泰证券信息技术部 张嵩 周思佳 丁安安 陈晓东
近年来,数据运用引发的个人信息安全风险越来越引起广泛的重视。在过去的一年中,我国关于个人信息保护领域的监管要求密集发布,仅从金融行业来看,就陆续推出了《个人金融信息保护技术规范》《移动金融客户端应用软件安全管理规范》《商业银行应用程序接口安全管理规范》等法规及标准。
从这一系列监管要求可以看出,保护个人金融信息安全,主要围绕两条主线展开:第一条主线是要关注收集使用个人信息流程上的合规性,健全数据主体权利保护机制;第二条主线是要落实安全防护技术措施,提升风险监测及处置能力。对于第一条主线,通过落实以“APP专项治理”为代表的一系列监管要求,企业的隐私保护合规水位已有普遍性提升,主要体现在隐私政策更加完善、APP获取权限遵从最小必要原则、数据主体权利响应机制逐步完善等方面;对于第二条主线,即如何通过安全防护技术措施,提升个人信息安全风险的监测和处置能力,是目前各企业探索的重点领域。笔者希望通过本文,探讨以应用程序接口(API)安全为切入点的个人金融信息风险管控机制建设与运营实践。
API安全的重要性及潜在风险场景
《商业银行应用程序接口安全管理规范》将API定义为:“一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注服务的设计与实现。”由此可以看出,API技术的出现使前端界面与后端服务器的数据交互更加便捷,因此被开发者广泛使用。伴随着API使用的指数级增长,其潜在的数据安全与个人信息泄露风险,也成为了企业亟需解决的问题。
与API相关的常见数据安全问题与风险场景包括:一是数据滥用风险。例如第三方超出业务需要,私自大量缓存、调用接口数据;接口返回超出最小必要原则的敏感个人信息字段;高敏感级别字段(例如《个人金融信息保护技术规范》定义的C3级别个人金融信息)未按规定脱敏或脱敏策略不一致。二是数据泄露风险:例如数据接口权限漏洞被外部攻击者利用窃取敏感数据;或者内部员工利用遗留后门接口获取敏感数据。三是隐私合规风险:例如隐私数据采集未经用户授权;隐私数据接口违规开放给第三方等。
API安全一旦出现问题,可能导致的是百万、千万、甚至亿级的个人信息泄露,使企业面临违反《网络安全法》第四十二条“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”的合规风险。由此可以看出,API安全应当作为一项重要抓手,用于管控组织级别的数据安全与个人信息安全风险。
API敏感数据威胁感知技术实现
1.网络访问协议。使用镜像端口或agent方式,将获取到pcap格式网络流量包发送至网络协议解析设备,协议解析设备对获取到的pcap包进行解析分析,区分其中的http、https、ftp、smtp等协议的流量包,对不同协议的流量包以相应的解析器进行解析拆解,格式化传送到数据分析引擎进行综合分析。
2.部署模式及拓扑。采用旁路流量镜像模式部署,不需要进行业务改造,不需要装agent,同时也无需对整体网络架构进行改造,实现业务零打扰,数据更安全。将全部业务流量进行旁路监控分析。
3.数据分析引擎。对协议解析设备采集的结构化数据通过数据分析引擎梳理,去重后归类储存至数据库中。包括:数据资产梳理和分级、应用接口梳理和分级、应用层账号解析、全网应用系统敏感数据访问留存、机器学习风险识别模型。
4.全网应用数据威胁监测。针对重要的数据应用接口,尤其是存在脆弱性高风险的接口,需要通过安全技术手段来降低该数据接口的暴露风险。通过对重点数据接口的数据访问请求行为事件进行监控,实时发现并预警异常的高风险数据请求行为,快速处理事件。针对各类主体如账号、IP、接口等,构建数据访问行为基线画像。并对所有的主体行为实时计算上百个维度的行为指标,实时比对基线,发现并预警偏离行为基线的事件,生成告警。
5.全网应用系统潜在数据泄露风险综合评估。从数据安全角度切入,全面评估业务系统数据安全脆弱性,从系统大数据底层存储分析的数据中分析数据脆弱性。通过算法从流量中精准定位到重要的数据应用和接口,并从中定位到关键接口如登录接口、数据下载接口等。在此基础上,结合积累的数据风险特征,从事件中标识存在疑似数据脆弱性的接口。最后,进一步对疑似的数据脆弱性进行确认和定级,输出完整的数据脆弱性报告。
相比传统的人工调研和渗透测试的方式,覆盖面上都占有较大优势。首先,利用流量中精准定位需要进行重点评估的数据接口和应用系统。进一步根据日志的特征,快速过滤发现存在疑似脆弱性的接口,从而大幅减少了人力的投入。同时由于流量覆盖的全面性,相比于传统手段,能更加全面的覆盖重要数据接口。
API风险调查处置和响应实践
异常API调用的预警产出之后,会进入实质性的调查处置环节。笔者所在公司经过多年运营实践,总结了如下的调查响应流程。
1.智能生成调查面板。首先会对生成的告警进行智能分析,生成每日调查面板。面板上会列出“谁→在什么时间→做了什么异常操作→是否有外部情报印证→是否有聚集性现象”。内容包括溯源定位、情报印证、聚集性挖掘、行为分析等。
溯源定位:通过将告警的源地址与资产数据进行匹配,以及提取APIurl中的账号等参数信息,来识别出告警主体的更多信息。如果是来自内部的操作,则可以直接定位到当事的操作员工,以及所在团队或者营业部。
告警聚集性挖掘:通常来说,我们需要特别关注聚集性的告警。在溯源定位完成之后,我们利用聚类分析,将告警从多个维度进行聚类,挖掘告警的聚集性和作案的团伙性。如是否存在营业部聚集、是否存在地理位置聚集、是否存在对某一类数据的聚集等,并将其呈现在面板上。
情报印证:API告警的背后,是疑似API被滥用和数据被泄露。我们将告警中涉及的数据与外部泄露情报进行自动比对,如果比对印证成功,则API被滥用和数据被泄露的实锤加大,同时也省去了大量人工调查环节的证据搜索时间。
行为链路梳理:一个真实的风险事件,可能会伴随着一系列的异常行为。如通过频繁调用API接口获取了大量个人隐私数据,后续可能会出现数据外发的DLP事件,或者之前已申请离职,意图将敏感数据带走等。因此对于一条告警,我们会搜索告警时点前后的重要行为,并将其展现到调查面板中。
经过一系列智能分析,我们能够在调查面板上呈现出一条告警完整的“来龙去脉”,为实质的调查提供方便。
图 API风险调查响应流程
2.调查处置和响应。调查面板生成之后,我们会实时将工单推送给调查人员进行调查,并通过每日站会review当日的调查情况。对于跨部门的调查,我们通过相应的对接制度成立联合调查小组,三个工作日内反馈调查结论。为了能从根本上提高应用接口的安全水位,我们联合各应用归属团队启动“高级协同计划”。
一是7×24应急响应支持。对于API的滥用和泄露风险,除了安全团队的检测能力,各应用团队内部的发现也是一个重要的补充力量。我们与各应用团队建立应急响应支持渠道,对应用内部发现的风险,安全7×24进行响应和支持。
二是定制化加固和监控。有些应用具有业务特殊性,相应的接口无法通过标准化的规则来进行监控和安全评审。对此类应用,我们会与应用团队一起梳理接口的业务含义,并结合自己的泄露风险评估来识别脆弱性接口,进而定制化安全监控和加固工作。同时,也会为每个应用配置重点监控账号清单,系统定期推送账号行为报告,实现对重点账号的定期审查。
三是安全教育培训。应用接口安全性,与接口使用者的安全意识水平有直接关系。《信息安全技术个人信息安全规范》《信息安全技术金融信息服务安全规范》等相关法规都对企业的安全教育培训做了规定。一方面,对无意识泄露或者滥用接口的员工,会推送教育课程和配套考试;另一方面,也会定期组织安全培训,如新员工入职培训、年度网络安全周培训等,提高全体员工的安全意识水平。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。