案例研究|证券行业如何做好API安全治理,保障流动数据安全?
近几年,我国关于数据安全和个人信息保护法等法律相继出台,为各行各业数据安全保护工作提出了严格要求,证券行业因其业务和数据的特殊性更是面临着“严监管、高标准”的要求。
目前很多证券企业在数据的采集、存储、使用等方面已有较成熟的安全建设,但随着证券行业数字化发展加速,大量的数据通过API进行线上流动,流动数据的安全变得尤为重要,而这恰恰是现阶段证券行业数据安全建设相对薄弱的地方,近年来由于API管控不当导致数据泄露、恶意攻击等事件不在少数。
2021年,“券商巨头遭受黑客攻击致股价暴跌”的新闻在金融行业引起了不小的轰动,包括元大证券在内的多家券商的交易系统的API遭遇了猛烈的“撞库攻击”,大量用户的证券账号被暴力破解,随即被自动“下单”,大批量购买了港股股票,这些股票随即直线下跌,导致账号用户损失惨重。
同年,“证券公司员工当“内鬼”贩卖客户信息”的新闻也冲上了行业热搜,某证券公司员工利用工作之便,通过运营系统API违规获取公司客户信息,并进行售卖获利。这些客户信息落到犯罪团伙手中,导致受害人遭受投资诈骗,造成严重的财产损失。
据永安在线情报系统捕获到的数据泄露事件来看,金融行业数据泄露一直排在前列,其中证券行业占比最多。数据泄露不仅会给企业客户带去严重的财产损失,还可能影响到整个金融秩序和稳定。对证券公司而言,因为泄漏客户数据会招致大量的投诉、法律处分或监管惩罚,经济和品牌声誉均会受损。
那么,证券公司应如何做好API安全治理避免数据泄露事件发生呢?本文以某证券公司(B公司)为例,全面剖析该公司遇到的安全挑战和需求,并提供有效的解决方案。
在流动数据安全管理上
B公司面临“内忧外患”的局面
永安在线安全专家通过与B公司安全负责人深入了解发现,该公司在流动数据安全管理上面临“内忧外患”的局面:
1. 随着数字化发展,B公司开发了很多面向C端的数字应用,但由于“重业务轻安全”,很多新增的应用系统安全设计不够细致,一些系统的API接口存在未授权、越权等缺陷,攻击者利用这些缺陷轻松爬取用户资料、交易信息,或者利用撞库、扫号等攻击,窃取账号信息。
2. B公司的内部运营系统很多,既有自研系统,也有许多外部团队开发的系统(第三方系统)。这些第三方系统的安全性难以保障,比如存在文件上传漏洞,或由于没有启动SSO统一的认证登录,登录API过多且部分存在弱密码属性,攻击者以这些漏洞为突破口打入了业务系统,这也是该公司在攻防演练中失分的原因。
3. B公司和其他证券企业一样,有大量的证券经纪人和客服工作者,这些人员基于工作需要可直接通过API接口访问业务系统,查看并下载用户敏感数据,个别人员可能为了获取更多利益,沦为“内鬼”非法窃取用户信息并售卖。但由于缺乏有效的账号管理和行为审计,导致数据泄漏无法取证和溯源。
以情报能力构建API行为基线
助力证券行业流动数据安全防护
永安在线经过业务深入理解和多次调研,为B公司打造了一套以API为中心、以情报能力为核心技术的流动数据安全管理方案,整体分为三步走:
第一步:动态梳理API及账号资产;
第二步:持续检测系统API安全缺陷(未授权、越权等);
第三步:精准感知黑产攻击(扫号、撞库攻击等),及时监测异常数据访问和审计溯源。
1. 动态梳理API、流动数据、账号资产,全面了解系统资产安全状况
通过5层解析、过滤、规约过程,自动化梳理面向客户、内部员工、证券经纪人、客服、合作伙伴等场景下的API,建立完整API资产清单,及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况。
「安全效果」
API资产梳理:共梳理出API资产6878个,涉敏API 311个、僵尸API 236个、 缺陷API 161个。
进一步分析发现,B公司老旧系统存在大量已经不再使用却没有按规定下线的API,此类API由于缺少安全维护极容易被攻击。针对缺陷API进行逐一排查,发现存在被攻击或数据泄漏风险的API有34个。
另外,涉敏的311个API涉及了14类涉敏数据类型,包含密码、姓名,身份证、手机号、邮箱、账号等。
账号资产梳理:共梳理账号3521个,其中内部员工账号1373个,并存在不少数据泄漏隐患。
-->发现10个活跃度很低的僵尸账号,经核实账号的使用者已离职,但账号权限未回收,存在被非法滥用造成数据泄露的风险。
-->发现5个内部员工账号有违规盗取数据的行为,单日获取涉敏数据量大于同部门账号平均获取涉敏数据量的4倍,包含姓名,地址,邮箱等。
-->发现有Admin账号存在弱密码特征以及被违规借用的情况,单日内登录地点达到90个,作为管理员账号,登入地理位置过多,可能账号被共用或者盗用,存在严重的数据泄露风险。
2. 基于情报和攻防研究,持续、及时检测系统未授权、越权访问等高风险缺陷
在资产可见的基础上,还需对API在设计和开发方面的缺陷进行持续、全面评估,检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。
永安在线API安全管控平台基于特有的情报技术和攻防研究,可持续跟踪攻击者如何利用新型API漏洞进行攻击,并提取新型攻击面和攻击特征,持续优化API漏洞检测引擎,能及时覆盖最新的业务API逻辑漏洞和第三方组件、开源系统API的未授权漏洞等。
「安全效果」
API安全缺陷检测:
总共检测出20类309个安全缺陷,包括大量未授权访问、任意SQL注入、返回明文密码、密码明文传输、关键数据未脱敏等严重缺陷。
3. 以精准情报为基础,及时感知API攻击和数据泄露风险
基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险,并将情报同步到WAF设备进行阻断。
「安全效果」
API攻击风险感知:共监测到风险事件23起,涉及大量敏感信息爬取、撞库攻击等风险,存在严重的数据泄漏和数据出境风险。
-->发现攻击者利用多个IP代理平台,如a****、Z****等,爬取了客户的账号信息,包括姓名、手机号、风险投资等级等。
-->发现攻击者利用境外IP6.6.*.**对某个系统API发起了5956次攻击,爬取了用户交易操作信息。
-->发现攻击者利用某数据中心IP发起了85569次撞库攻击,尝试获取账户登录信息。
此外,在今年的攻防演练中,帮助客户及时发现一起API被攻击的风险,攻击者利用存在任意文件上传缺陷的API发起攻击。
自从使用了永安在线API安全管控方案,B公司实现了对系统全量API资产及敏感数据流动的安全把控、对内外部员工数据访问和账号行为的全面审计,并基于永安在线独有的情报能力及时感知API攻击和数据泄露风险,切实构建可预防、可解释、可溯源的流动数据安全管理体系。
永安在线(Ever.Security)成立于2017年,专注于业务反欺诈和API安全解决方案的输出。公司基于卓越的风险情报数据能力、丰富的黑产攻防经验和完善的业务风险监控体系,帮助提升企业风控攻防效率和数据安全防护能力,保障企业在线业务健康发展。
截至目前,公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务。
您是否也想了解企业有多少API资产?
每个API是否存在安全缺陷?
是否正在被黑产攻击?
是否存在数据泄露风险?
扫码申请试用API安全管控方案
帮您一一盘点