TDP是微步在線旗下情報(bào)驅(qū)動(dòng)的新一代網(wǎng)絡(luò)流量檢測與響應(yīng)(NDR)產(chǎn)品，基于旁路流量的全方位威脅檢測與響應(yīng)平臺(tái)，廣泛覆蓋傳統(tǒng)僵木蠕、APT、Web 和非 Web 攻擊、業(yè)務(wù)風(fēng)險(xiǎn)挖掘、資產(chǎn)梳理。一直以來，微步在線都會(huì)陸續(xù)收到金融、互聯(lián)網(wǎng)等行業(yè)客戶的咨詢：“你們TDP能防止敏感數(shù)據(jù)泄露嗎?”今天就來拆解一下TDP的資產(chǎn)&風(fēng)險(xiǎn)模塊中防止數(shù)據(jù)泄露的功能。

流量被動(dòng)監(jiān)聽發(fā)現(xiàn)所有API接口

“你知道的不知道的API我都知道”

敏感數(shù)據(jù)泄露的最主要途徑就是API接口。然而實(shí)際工作中想做好對接口的管理，是一件很難的事。企業(yè)的安全運(yùn)維人員往往難以回答這幾個(gè)問題：

企業(yè)現(xiàn)在有多少接口?這些接口中究竟有多少個(gè)能被爬取敏感信息?

這些接口中是否有不該對外暴露，但能被爬取到的?

就現(xiàn)在，企業(yè)的敏感信息接口是否在對外傳輸數(shù)據(jù)，傳出了什么數(shù)據(jù)?

　　有資產(chǎn)的地方就有風(fēng)險(xiǎn)，TDP通過旁路鏡像的方式監(jiān)測企業(yè)各處資產(chǎn)的流量，從而發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)。在TDP接入了企業(yè)網(wǎng)絡(luò)的所有出口流量后，對該企業(yè)所有API接口的摸排就開始持續(xù)進(jìn)行，順著流量，TDP可以發(fā)現(xiàn)被企業(yè)忽略或未納入管理的對外接口，還能夠?qū)崟r(shí)展現(xiàn)接口是否傳輸了敏感信息。安全運(yùn)維人員在發(fā)現(xiàn)敏感信息泄露時(shí)，可以根據(jù)TDP給出的用戶IP進(jìn)行封禁等處理。

接口被排查清楚后，企業(yè)安全運(yùn)維人員就可以使用TDP的“明文敏感信息”和“API風(fēng)險(xiǎn)”兩個(gè)功能，可以防止信息泄露，同時(shí)也可反爬蟲。

明文敏感信息功能：

“我知道誰一秒前拖走了什么!”

根據(jù)用戶業(yè)務(wù)特點(diǎn)，TDP把郵箱、手機(jī)、身份證號、銀行卡號定義為敏感信息，為了防止“2年11.8億”的事故重現(xiàn)，TDP有對明文敏感信息的監(jiān)測機(jī)制：

1.如果有接口返回明文敏感信息，TDP的界面中就會(huì)留下記錄;

2.TDP會(huì)用字段和代碼展示用戶訪問和返回了哪些明文敏感信息，同時(shí)也會(huì)記錄用戶的IP、訪問次數(shù)等信息;

對所有信息解讀以后，能夠得出一個(gè)完整故事：

在某地IP為***.***.*.*的某人

在時(shí)段2021/06/08 16:00時(shí)

拿到了郵箱/手機(jī)/身份證/銀行卡 等明文敏感信息。

并且，安全運(yùn)維人員能看到返回內(nèi)容的具體代碼，對細(xì)節(jié)有更清晰的了解。

接下來，只需對相關(guān)IP進(jìn)行排查即可真相大白：若是內(nèi)部正常業(yè)務(wù)，則放行，若內(nèi)部主機(jī)存在風(fēng)險(xiǎn)，則查殺，若是通過威脅情報(bào)確認(rèn)了這是黑客/黑產(chǎn)的IP，輕則封禁，重則報(bào)警。

API風(fēng)險(xiǎn)功能：

“在我的接口反復(fù)橫跳，你是不是有問題?”

有些黑灰產(chǎn)需求的并不是企業(yè)的敏感數(shù)據(jù)，而是企業(yè)日常業(yè)務(wù)中產(chǎn)生的數(shù)據(jù)，如企業(yè)信息數(shù)據(jù)、新聞稿件等，他們也會(huì)對業(yè)務(wù)接口進(jìn)行大量的爬取，如果爬取次數(shù)過多，可能會(huì)導(dǎo)致網(wǎng)站崩潰等后果。所以，在業(yè)務(wù)接口反復(fù)橫跳的行為，也很受安全人員關(guān)注。

TDP也有對API接口風(fēng)險(xiǎn)的監(jiān)測機(jī)制：

1.TDP會(huì)監(jiān)測企業(yè)API接口的訪問次數(shù)，并用訪問次數(shù)和時(shí)間段來形成趨勢圖;

2.TDP也會(huì)監(jiān)測所有用戶訪問企業(yè)API的總次數(shù)，并可以展示單個(gè)用戶的訪問數(shù)是否過多，同時(shí)，單個(gè)用戶返回的數(shù)據(jù)將以JSON格式展現(xiàn);

同樣，對所有信息進(jìn)行解讀后，也能得到一個(gè)完整的故事：

在某地IP為***.***.*.*的某人在時(shí)段2021/06/08 16:00時(shí)

訪問頻次比普通用戶高 4.5 倍，累計(jì)訪問了 124500 次

爬取到了JSON格式的某些信息。

接下來，只需對相關(guān)IP進(jìn)行排查即可真相大白：若是內(nèi)部正常業(yè)務(wù)，則放行，若內(nèi)部主機(jī)存在風(fēng)險(xiǎn)，則查殺，若是通過威脅情報(bào)確認(rèn)了這是外部違規(guī)爬蟲的IP，則封禁處理。

TDP還能監(jiān)測哪些風(fēng)險(xiǎn)?

我們認(rèn)為，企業(yè)資產(chǎn)中有三種風(fēng)險(xiǎn)最值得注意：登錄風(fēng)險(xiǎn)、數(shù)據(jù)泄露風(fēng)險(xiǎn)和API風(fēng)險(xiǎn)，TDP通過鏡像旁路流量，可以用被動(dòng)監(jiān)聽的方式發(fā)現(xiàn)企業(yè)可能成為攻擊面的終端、登錄后臺(tái)、端口，同時(shí)也可以發(fā)現(xiàn)哪些賬號存在弱口令、哪些登錄行為比較可疑等，此外TDP還能防范撞庫、DDoS攻擊等常見的業(yè)務(wù)風(fēng)險(xiǎn)。

zhupb

<ruby id="4hl1n"></ruby>