[分享]《数据安全法》今起施行，由API产生的数据泄露问题可这样解决-安全资讯-看雪-安全社区|安全招聘|kanxue.com

[分享]《数据安全法》今起施行，由API产生的数据泄露问题可这样解决

发表于: 2021-9-1 14:56 3589

[分享]《数据安全法》今起施行，由API产生的数据泄露问题可这样解决

永安在线

2021-9-1 14:56

3589

今天，我国第一部有关数据安全的法律——《数据安全法》正式开始施行。这意味着在法案中对于数据处理活动、安全保护、开发利用提出的合规要求，从今天起必须全部遵循，跨越“红线”将违法必究、按法处罚！

数据安全，是个老生常谈却历久弥新的话题，原因在于数据作为一种新的生产要素类型，被写入正式的中央文件中，与土地、劳动力、资本、技术等其他生产要素并驾齐驱。这无疑说明了数据的重要性，也意味着对于加强数据资源整合与安全保护必须提升到更高的层次。

那如何加强对数据资源的安全保护呢？在搭建保护防控体系之前，先来了解下目前数据安全主要面临风险有哪些。

经过研究，长期以来数据安全面临着以下三类风险：

风险一：内部人员数据泄露

A.来自业务人员泄露：业务人员利用工作中已申请的功能权限能够下载众多数据并进行外发，由于系统管控措施不完善，无论是恶意或者非恶意，均易造成数据泄露；

B.来自运维人员泄露：恶意的运维人员可以利用自身拥有特权账号的天然优势，直接访问应用系统的主机、数据库进行批量窃取数据；

C.来自研发人员泄露：通常研发测试区的网络权限、账号权限、监控审计等安全管控措施相对松散，敏感数据可能会从研发测试环境直接被泄露，或者经研发人员的办公终端流向外部互联网。

风险二：外部攻击窃取数据

外部攻击者利用应用系统存在的各类安全漏洞，进行批量查询、下载数据；或者先通过安全漏洞获取主机、数据库的操作权限，然后再窃取数据。

风险三：第三方合作泄露数据

企业进行第三方合作时会开放API接口，目前较弱的API防控体系，导致黑产很容易利用正常的业务接口，非法、恶意批量请求正常业务之外的数据。

在以上三类风险中，针对内部人员泄露数据及外部攻击窃取数据的风险场景，传统的数据安全厂商中已经有许多手段和方案进行防护。但对于因第三方合作开放大量API造成的数据安全风险敞口，却还没形成有效的管控体系，越来越多的黑产正在利用API来进行违规爬取，严重损害了相关企业和用户权益。

据永安在线数据泄露监测平台统计，从2020年1月1日至今，共监测到数据泄露事件21620起，涉及的行业涵括金融、互联网、电商、教育等行业，这些事件大部分来自于API爬取。据Salt Security在2月发布的报告，91%的企业在去年有API相关的安全问题。

面对如此严峻的API数据安全问题，企业究竟要如何解决呢？

治病需先知“病因”，我们也需要先厘清API数据安全防护的难点在哪里。

根据永安在线前期对客户调研得知，在API数据安全场景上，企业面临的API安全建设难点有：

难点一：【API资产盘点不清】

企业不清楚自己有多少API、哪些API携带了什么类型的敏感数据；

难点二：【API风险感知能力弱】

无法实时了解哪些API正在被攻击；

难点三：【风险缺乏可解释性】

黑产攻击是否真实发生？哪个黑产团伙在攻击，攻击的具体链路是什么？

目前市面上现有的数据安全相关产品，主要是针对内部威胁和数据本身的防护，未完全覆盖API数据安全风险场景。同时，已经推出覆盖API 数据安全防护方案的厂商，很多是基于以往经验制定规则进行风险审计以及用行为特征来发现异常行为。

这种方式在面对企业线上业务逻辑越来越复杂、迭代速度不断加快，以及黑产的攻击方式不断更新的情况时弊端明显：面对未知的风险无法直接通过已有的规则直接判定，产生风险漏判的概率大幅增加，让防控处在非常被动的位置。

基于这些痛点，永安在线以精准情报为基础，打造出一套可准确感知风险、可解释风险、可阻断风险、能溯源打击、运营成本低的API数据安全防护体系。

体系包含了数据泄露情报监测平台、API数据安全感知系统和API数据安全防御系统，三大模块的相互配合，能够让企业更清晰掌握数据资产的风险状态，做好监测预警、风险发现及安全事件的应急响应及主动防御，为企业的数据核心资产提供更全面的保护。

第一时间感知外部数据泄露风险情报

数据泄露情报监测平台以永安在线长期运营建立起的强大业务风险黑产情报库为基础，拥有丰富的网络基础设施情报、黑产工具情报、黑产交易情报、黑产舆情情报等。依靠情报，可以帮助企业站在外部视角，对已发生的用户数据、内部机密资料、核心代码等数据泄露事件进行全面监测和及时预警，避免数据泄露事件扩大发展，对企业声誉造成不良影响。