TDP是微步在線旗下情報驅(qū)動的新一代網(wǎng)絡流量檢測與響應(NDR)產(chǎn)品,基于旁路流量的全方位威脅檢測與響應平臺,廣泛覆蓋傳統(tǒng)僵木蠕、APT、Web 和非 Web 攻擊、業(yè)務風險挖掘、資產(chǎn)梳理。一直以來,微步在線都會陸續(xù)收到金融、互聯(lián)網(wǎng)等行業(yè)客戶的咨詢:“你們TDP能防止敏感數(shù)據(jù)泄露嗎?”今天就來拆解一下TDP的資產(chǎn)&風險模塊中防止數(shù)據(jù)泄露的功能。

流量被動監(jiān)聽發(fā)現(xiàn)所有API接口

“你知道的不知道的API我都知道”

敏感數(shù)據(jù)泄露的最主要途徑就是API接口。然而實際工作中想做好對接口的管理,是一件很難的事。企業(yè)的安全運維人員往往難以回答這幾個問題:

企業(yè)現(xiàn)在有多少接口?這些接口中究竟有多少個能被爬取敏感信息?

這些接口中是否有不該對外暴露,但能被爬取到的?

就現(xiàn)在,企業(yè)的敏感信息接口是否在對外傳輸數(shù)據(jù),傳出了什么數(shù)據(jù)?

  有資產(chǎn)的地方就有風險,TDP通過旁路鏡像的方式監(jiān)測企業(yè)各處資產(chǎn)的流量,從而發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風險。在TDP接入了企業(yè)網(wǎng)絡的所有出口流量后,對該企業(yè)所有API接口的摸排就開始持續(xù)進行,順著流量,TDP可以發(fā)現(xiàn)被企業(yè)忽略或未納入管理的對外接口,還能夠?qū)崟r展現(xiàn)接口是否傳輸了敏感信息。安全運維人員在發(fā)現(xiàn)敏感信息泄露時,可以根據(jù)TDP給出的用戶IP進行封禁等處理。

接口被排查清楚后,企業(yè)安全運維人員就可以使用TDP的“明文敏感信息”和“API風險”兩個功能,可以防止信息泄露,同時也可反爬蟲。

明文敏感信息功能:

“我知道誰一秒前拖走了什么!”

根據(jù)用戶業(yè)務特點,TDP把郵箱、手機、身份證號、銀行卡號定義為敏感信息,為了防止“2年11.8億”的事故重現(xiàn),TDP有對明文敏感信息的監(jiān)測機制:

1.如果有接口返回明文敏感信息,TDP的界面中就會留下記錄;

2.TDP會用字段和代碼展示用戶訪問和返回了哪些明文敏感信息,同時也會記錄用戶的IP、訪問次數(shù)等信息;

對所有信息解讀以后,能夠得出一個完整故事:

在某地IP為***.***.*.*的某人

在時段2021/06/08 16:00時

拿到了郵箱/手機/身份證/銀行卡 等明文敏感信息。

并且,安全運維人員能看到返回內(nèi)容的具體代碼,對細節(jié)有更清晰的了解。

接下來,只需對相關(guān)IP進行排查即可真相大白:若是內(nèi)部正常業(yè)務,則放行,若內(nèi)部主機存在風險,則查殺,若是通過威脅情報確認了這是黑客/黑產(chǎn)的IP,輕則封禁,重則報警。

API風險功能:

“在我的接口反復橫跳,你是不是有問題?”

有些黑灰產(chǎn)需求的并不是企業(yè)的敏感數(shù)據(jù),而是企業(yè)日常業(yè)務中產(chǎn)生的數(shù)據(jù),如企業(yè)信息數(shù)據(jù)、新聞稿件等,他們也會對業(yè)務接口進行大量的爬取,如果爬取次數(shù)過多,可能會導致網(wǎng)站崩潰等后果。所以,在業(yè)務接口反復橫跳的行為,也很受安全人員關(guān)注。

TDP也有對API接口風險的監(jiān)測機制:

1.TDP會監(jiān)測企業(yè)API接口的訪問次數(shù),并用訪問次數(shù)和時間段來形成趨勢圖;

2.TDP也會監(jiān)測所有用戶訪問企業(yè)API的總次數(shù),并可以展示單個用戶的訪問數(shù)是否過多,同時,單個用戶返回的數(shù)據(jù)將以JSON格式展現(xiàn);

同樣,對所有信息進行解讀后,也能得到一個完整的故事:

在某地IP為***.***.*.*的某人在時段2021/06/08 16:00時

訪問頻次比普通用戶高 4.5 倍,累計訪問了 124500 次

爬取到了JSON格式的某些信息。

接下來,只需對相關(guān)IP進行排查即可真相大白:若是內(nèi)部正常業(yè)務,則放行,若內(nèi)部主機存在風險,則查殺,若是通過威脅情報確認了這是外部違規(guī)爬蟲的IP,則封禁處理。

TDP還能監(jiān)測哪些風險?

我們認為,企業(yè)資產(chǎn)中有三種風險最值得注意:登錄風險、數(shù)據(jù)泄露風險和API風險,TDP通過鏡像旁路流量,可以用被動監(jiān)聽的方式發(fā)現(xiàn)企業(yè)可能成為攻擊面的終端、登錄后臺、端口,同時也可以發(fā)現(xiàn)哪些賬號存在弱口令、哪些登錄行為比較可疑等,此外TDP還能防范撞庫、DDoS攻擊等常見的業(yè)務風險。

分享到

zhupb

相關(guān)推薦