近日,金融監(jiān)管局下發(fā)的《關(guān)于系統(tǒng)未授權(quán)查詢漏洞導(dǎo)致客戶信息泄露風(fēng)險提示》通知(以下簡稱“風(fēng)險提示”)指出:因系統(tǒng)存在未授權(quán)查詢漏洞,造成人員可通過API接口,批量驗證銀行卡號、身份證號等公民個人信息對應(yīng)關(guān)系,獲取部分敏感信息,形成數(shù)據(jù)泄露風(fēng)險,并提示了其中存在的3點數(shù)據(jù)安全風(fēng)險隱患,即應(yīng)用系統(tǒng)存在未授權(quán)查詢漏洞、互聯(lián)網(wǎng)應(yīng)用安全管理不足、客戶信息保護意識淡薄。
1.
如何干掉系統(tǒng)未授權(quán)查詢漏洞?
派拉軟件解決方案總監(jiān)茆正華表示,所謂的“未授權(quán)查詢漏洞”,就是企業(yè)對外暴露的接口或服務(wù),在沒有認(rèn)證授權(quán)的情況下數(shù)據(jù)被直接訪問甚至下載,或者有簡單的認(rèn)證而沒有權(quán)限控制,導(dǎo)致數(shù)據(jù)被過度暴露。這些被訪問或下載的數(shù)據(jù)甚至包含了部分敏感信息。
比如,在無需客戶授權(quán)登錄情況下,某銀行信用卡網(wǎng)絡(luò)申請頁面,輸入任意姓名和身份證號,即可調(diào)用聯(lián)網(wǎng)核查公民身份信息系統(tǒng)功能核對信息是否匹配;某銀行個人網(wǎng)銀系統(tǒng)賬號支付頁面,輸入該行任意銀行卡號,在返回的報文中附帶完整的身份證號......
這些未授權(quán)查詢漏洞可以被用來進行客戶信息驗真。一旦驗真成功,不法分子將會啟動諸如密碼破解等操作,造成用戶經(jīng)濟財產(chǎn)損失等系列安全事件。
要解決這個安全問題,企業(yè)需要思考導(dǎo)致系統(tǒng)未授權(quán)查詢漏洞的原因有哪些。例如,可能是業(yè)務(wù)設(shè)計存在缺陷,可能是程序開發(fā)的bug漏洞,也可能是使用開源或供應(yīng)鏈的工具存在問題。
針對這類情況,企業(yè)可以通過專項排查發(fā)現(xiàn)已有的問題。但是,企業(yè)到底對外暴露了哪些接口?接口具體情況如何?很多企業(yè)都是不知道的。這時候,就需要API網(wǎng)關(guān)對現(xiàn)有API資產(chǎn)進行收集、掃描、發(fā)現(xiàn),摸清所有對外暴露的API接口,通過API安全網(wǎng)關(guān)對這些對外暴露的接口進行統(tǒng)一的安全防護。
2.
如何彌補應(yīng)用安全管理不足?
風(fēng)險提示中指出,“互聯(lián)網(wǎng)應(yīng)用安全管理不足”具體表現(xiàn)在部分銀行機構(gòu)未對網(wǎng)絡(luò)金融服務(wù)建立完整的業(yè)務(wù)邏輯校驗機制,網(wǎng)絡(luò)金融業(yè)務(wù)系統(tǒng)研發(fā)安全策略不完善,在網(wǎng)絡(luò)金融服務(wù)研發(fā)生命周期中的安全職責(zé)不清晰,業(yè)務(wù)邏輯安全需求與設(shè)計欠缺,投產(chǎn)前風(fēng)險評估不足、業(yè)務(wù)安全性測試不充分。
茆正華表示,這部分安全總結(jié)起來,可以劃分為兩個階段,即接口開發(fā)測試階段安全與接口生產(chǎn)運營安全。在開發(fā)測試階段,企業(yè)需要利用DecSecOps的理論和工具,從開發(fā)技術(shù)、開發(fā)流程、接口規(guī)范等進行統(tǒng)一安全開發(fā)與設(shè)計,并結(jié)合API安全管理平臺進行統(tǒng)一接口全生命周期安全管控;
在生產(chǎn)發(fā)布運營階段,企業(yè)除了使用API安全網(wǎng)關(guān)進行防護,還需要關(guān)注其中的身份鑒別和權(quán)限控制,防止越權(quán)、憑據(jù)泄露等問題的發(fā)生,并建立有效的API運營制度,快速發(fā)現(xiàn)風(fēng)險事件,配備相應(yīng)的應(yīng)急響應(yīng)流程,準(zhǔn)確快速的處理安全事件,降低安全事件爆炸半徑,盡量減少損失。
3.
如何平衡數(shù)字化業(yè)務(wù)創(chuàng)新與安全?
此次風(fēng)險提示中指出,部分銀行機構(gòu)在業(yè)務(wù)創(chuàng)新過程中為了提升客戶體驗,在安全認(rèn)證環(huán)節(jié)未多次核驗身份的情況下提供客戶信息,存在信息安全泄漏風(fēng)險。
的確,近幾年來,業(yè)務(wù)創(chuàng)新已成為企業(yè)業(yè)績增長的助推器。新技術(shù)、新業(yè)務(wù)、新流程的啟用,也對信息安全造成了更大的挑戰(zhàn)。如何平衡業(yè)務(wù)創(chuàng)新、信息安全和用戶體驗,是企業(yè)數(shù)字化轉(zhuǎn)型過程中亟需重視和加強的能力。
以上述的安全認(rèn)證為例,過去用戶登錄各大業(yè)務(wù)應(yīng)用,往往需要記憶各種賬號密碼,而這種賬號密碼方式又會滋生各種弱密碼等安全隱患,容易被不法分子破解并成功盜登。
而隨著認(rèn)證安全技術(shù)的提升,手機驗證碼、二維碼、生物認(rèn)證等更安全的認(rèn)證技術(shù)出現(xiàn),記憶和操作都變得更加簡單。
此外,結(jié)合用戶實體行為分析技術(shù)(UEBA),可以更好的識別并發(fā)現(xiàn)用戶登錄認(rèn)證風(fēng)險,并僅在必要時刻啟動多因素認(rèn)證,加強安全認(rèn)證的同時,提升用戶登錄認(rèn)證體驗。
4.
如何體系化構(gòu)建企業(yè)數(shù)據(jù)安全?
針對上述3點數(shù)據(jù)安全風(fēng)險隱患,茆正華表示,單靠單項技術(shù)來解決數(shù)據(jù)安全問題已經(jīng)不可取,過去一套防火墻打天下的歷史一去不復(fù)返。
企業(yè)必須要有體系化的能力,要能拿出整體的數(shù)據(jù)安全解決方案,并在規(guī)劃信息化與數(shù)字化方案的同時,將安全同步,把安全規(guī)劃嵌入到企業(yè)信息化與數(shù)字化中去。
派拉軟件數(shù)據(jù)安全與訪問控制體系建設(shè)解決方案正是在體系化分析數(shù)據(jù)安全全生命周期的基礎(chǔ)上,幫助企業(yè)構(gòu)建全鏈路數(shù)據(jù)安全。
也就是說,該方案不是針對數(shù)據(jù)的某個環(huán)節(jié)進行保護,而是關(guān)注數(shù)據(jù)從收集、存儲、使用、加工、傳輸?shù)热芷诟鱾€環(huán)節(jié)存在的安全風(fēng)險進行安全防護,具體如下圖所示:
這就要求每一個業(yè)務(wù)、每一臺服務(wù)器、甚至每一臺終端,都要相應(yīng)的部署數(shù)據(jù)安全措施,即本地存儲的數(shù)據(jù)在經(jīng)過各種途徑最終流轉(zhuǎn)到用戶終端,被展示或修改的全過程中,企業(yè)要能夠識別各環(huán)節(jié)的風(fēng)險并進行相應(yīng)的安全防護。
如上圖所示,我們從下往上進行分析。所謂的數(shù)據(jù)本體就是存儲在硬盤上的二進制文件,數(shù)據(jù)在這里的安全防護,企業(yè)大都有過大量的安全實踐,只需按照各種規(guī)范進行合規(guī)保護,即可避免大部分風(fēng)險;
數(shù)據(jù)載體,即提供數(shù)據(jù)服務(wù)的系統(tǒng),可以是數(shù)據(jù)庫、FTP、操作系統(tǒng)等。在這一環(huán)節(jié)已經(jīng)存在大量的訪問控制策略,能直接接觸和使用數(shù)據(jù)載體的主要是數(shù)據(jù)分析人員、數(shù)據(jù)庫運維人員、主機運維人員等。企業(yè)可以按不同人員使用的場景進行行為和風(fēng)險識別,并利用堡壘機、數(shù)據(jù)庫代理等工具,對人員權(quán)限和使用過程進行控制,避免人直接接觸數(shù)據(jù)載體,減少數(shù)據(jù)安全風(fēng)險;
數(shù)據(jù)暴露面,即應(yīng)用程序。因為,所有的業(yè)務(wù)數(shù)據(jù)都通過應(yīng)用程序暴露出去。誰能訪問、誰有權(quán)限訪問,都可以利用訪問控制機制進行認(rèn)證和權(quán)限控制。企業(yè)可以按不同使用數(shù)據(jù)的用戶類型進行分析并制定訪問策略;
數(shù)據(jù)流,此處一般指經(jīng)過網(wǎng)絡(luò)中的數(shù)據(jù),主要風(fēng)險也是網(wǎng)絡(luò)風(fēng)險。對于網(wǎng)絡(luò)風(fēng)險一直是安全圈重點關(guān)注的環(huán)節(jié),并形成了各種各樣的技術(shù)體系,如零信任、API網(wǎng)關(guān)、SD-WAN、SASE等;
最后是數(shù)據(jù)獲取方,也就是終端使用方。這里需要特別關(guān)注終端設(shè)備的安全和主體人的安全,屬于數(shù)據(jù)安全的最后一公里,也是傳統(tǒng)安全最早關(guān)注的地方,如殺毒、加密、終端管控等技術(shù)。
派拉軟件數(shù)據(jù)安全與訪問控制體系建設(shè)解決方案正是基于上述數(shù)據(jù)流動模型,建立身份和數(shù)據(jù)雙中心的訪問控制架構(gòu),即從數(shù)據(jù)層面和身份層面進行安全統(tǒng)籌保護。
整個方案重點圍繞訪問控制能力的全鏈路構(gòu)建,通過把所有資源的訪問所有權(quán)控制在一個統(tǒng)一層面,即網(wǎng)關(guān)層,將暴露面收縮。
也就是說企業(yè)可以在網(wǎng)關(guān)層監(jiān)視所有流量,通過一系列的策略和分析,最終對資源訪問過程進行更加動態(tài)、智能且細(xì)粒度的分析與控制。
詳細(xì)方案與各層級的技術(shù)安全防護內(nèi)容,由于篇幅有限,大家可以掃描下方二維碼,在線下載獲取完整解決方案。更多解決方案與技術(shù)咨詢,可以文末添加咨詢?nèi)藛T微信,快速解答!