来源:2024年度全国农村金融机构科技创新优秀案例评选
获奖单位:陕西农信
荣获奖项:信息安全创新优秀案例
一、项目背景及目标
(一)项目背景
党的二十大报告指出,要加快建设网络强国、数字中国 。2023年国家印发了《数字中国建设整体布局规划》,发展数字经济已上升为国家战略。金融监管部门也相继发文,对银行业数字化转型提出了指导意见。陕西农信紧跟国家战略步伐,积极投身到数字中国、数字陕西建设中,并将数字化转型作为自身发展核心战略。
陕西省联社在“上云、用数、赋智”的数字化转型过程中,加快业务系统线上线下融合,不断推出各类互联网金融产品与服务,与外部机构互联愈加频繁而深入,系统风险暴露面逐渐增大。API接口作为线上业务和内部数据重要的传输纽带,是数字化时代的重要基础设施,也是攻击者窃取数据的重点攻击对象和数据泄露的重灾区,需要重点关注和防护。人民银行印发了《商业银行应用程序接口安全管理规范》,对API的管理也提出多方面合规要求。
陕西省联社充分认识到API安全管理的重要性,结合自身实际,积极探索API安全风险管控,加强数据安全管控,但在具体实践中发现还面临以下的困难和挑战:
一是API数量较大,资产梳理较难。近年来陕西农信不断推出各类互联网线上金融服务,发布大量对外API接口并对其频繁迭代更新,依靠手工方式无法对API接口持续有效梳理,无法全面掌握API资产,API安全防护目标不清晰。
二是传统防护技术对API失效,API防护能力不足。金融API具备开放性和承载业务逻辑的特点,是连接数据与应用的主要通道,也是数据传输中薄弱的环节。攻击者可以像正常用户一样调用API接口,而WAF、IPS等传统防护设备无法对未授权、越权访问、逻辑漏洞等安全问题进行有效识别和防护,API已逐渐成为数据泄露问题最大的风险敞口。
三是缺失API监测手段,整体运营体系尚未建立。尚不具备以API视角的安全监测能力,无法掌握API调用关系,无法判断API是否传输敏感数据,无法识别API非法导出数据和超过授权范围等问题,数据安全威胁难以实时感知。缺少有效手段对敏感API调用进行事后审计,数据泄漏难于溯源,API安全运营体系难以建立。
(二)项目目标
面对新形势下的安全挑战,陕西省联社通过对自身数据使用场景和安全防护需求进行深入分析,在数据安全管控过程中不断探索实践,建设了一套API风险分析与治理系统。通过该项目实现以下目标:一是自动化精准识别API资产,形成API资产台账,为后续API安全管理奠定基础。二是提供针对API未授权、越权、业务逻辑等漏洞的风险识别和监测能力,弥补传统安全技术对API防护的不足。三是将API风险监控、威胁处置、事后审计等纳入统一管理,实时感知API安全风险态势,构建API全生命周期运营体系。
二、项目方案
面对上述API风险防范和治理的痛点,陕西省联社主动迎接挑战,2024年建设了API风险分析与治理系统,系统以数据安全防护为目标,以API风险监测和治理为驱动,基于流量分析和数据识别技术,在实际应用中较好提升了API数据安全风险防范水平。
陕西农信API风险分析与治理系统采用旁路部署方式,通过采集业务API流量数据,精准识别API资产,跟踪刻画API历史行为和生命周期,自动化形成API资产画像。利用大数据风险识别引擎,精准发现API接口中可能存在的漏洞和弱点,实时检测针对API攻击行为,联动第三方系统进行阻拦防护。
系统整体架构如下图所示:
图1 API风险分析与治理系统架构图
(一)API资产自动发现
系统采用高效的API识别技术,结构化还原网络流量中的API请求和响应,提取参数信息,自动化识别REST、SOAP、GraphQL、gRPC等常见API格式。根据API携带数据内容确定API敏感等级,帮助管理员重点关注高敏感级别API接口。根据发现时间及频率,将API划分为新增API、活跃API、失活API和复活API,可及时掌握API变化情况,确保API资产清单与实际情况保持同步,有助于安全人员有针对性开展接口渗透测试。
(二)API风险评估与监测
系统对识别到的API资产,调用内置风险弱点识别库,从数据暴露、数据权限、安全规范、高危接口、口令认证等风险维度,监测API中可能存在的漏洞和缺陷。风险监测覆盖了接口未鉴权、API参数可遍历、数据伪脱敏、明文传输密码、明文密码透出、数据库查询API、登录认证不合理、登录弱密码等API常见风险。针对已发现的API风险漏洞,系统提供风险修复建议,便于安全人员快速处置。
(三)API审计溯源
系统根据敏感数据识别打标结果,对敏感数据进行提取存储,记录数据访问行为,当发生数据泄露事件时可快速进行审计溯源。系统具备线索溯源和主体溯源两种模式。线索溯源以泄露的数据内容为线索,回溯涉及传输泄露内容API,进一步集中度分析聚焦嫌疑人和泄露路径。主体溯源根据访问的特征线索如 User-Agent、Referer、账号、接口等,在流量中进行筛选,找出匹配特征的记录进行统计分析,精准定位溯源风险源头。
三、创新点
(一)智能数据聚合,提升API资产识别精度
系统自动识别REST、SOAP等常见API协议,根据请求和返回报文对API接口进行有效识别。对于自定义类型API,系统创新性采用精确识别技术。针对API参数存在于路径中情形,系统对返回内容进行算法签名,再依据URI进行聚合,如同一路径下API特别多而签名类似,则将此类API进行合并。另一种情况是同一个URI,同一个参数值在不同时候代表不同API,系统则将此API拆成不同的API。通过上述创新优化,极大提升了API接口识别的准确性。
(二)基于多维度模型,精确定位API特有风险漏洞
针对接口未授权、越权访问、业务逻辑漏洞等API安全风险,系统创新性建立了多维度模型。模型包括行为合规、登录认证、机器特征、数据拉取、数据滥用等分析要素。各要素相互组合协同,可有效识别不同风险场景下API安全问题。
例如某API存在未授权漏洞,可以遍历大量数据。检测模型可采用登录认证+数据滥用两个要素,先判断接口参数是否存在授权认证参数,再判断是否存在遍历参数批量获取超规模数据,基本就可以判定出该接口存在问题。
在某内部员工编写脚本夜间定期从某API拉取敏感数据的场景中。系统通过登录认证(固定账号、非工作时间、异地IP访问)+机器特征(请求报文头含python关键字非正常浏览器、接口调用呈机器特征)+数据拉取(返回数据含大量个人敏感信息)几个要素,综合监控用户数据访问行为,形成用户数据画像,刻画用户数据访问基线。根据访问时间、访问数据量、访问IP、访问终端类型等维度,对偏离基线账号进行告警,可准确监测出该风险。
(三)身份自动关联,快速审计溯源
系统可以对登录API的账号、认证时账号token和单点登录(SSO)账号自动解析提取。利用实体识别及关联引擎,对不同流量中的同一身份实体进行唯一性关联,实现身份实体的数据归一。通过对特定账号的画像管理,监测账号敏感行为如一个IP登录多个账号或一个账号在多个IP上登录,实现事后快速审计溯源。
四、技术实现特点及优势
(一)API标签化,智能实现分组归类
系统通过轻量级NLP模型,对API接口进行聚合分组,给对应的API接口赋予数据标签。根据携带数据敏感程度,对API接口定义敏感等级定义,如包含手机号、身份证号、邮箱、金额等信息则定义为高敏感;从功能层面,将API接口分为登录、注册、短信验证码发送、数据导出、数据查询、文件上传、文件下载等;从数据暴露面方面,可将API接口分为互联网API,内部API,数据采集API等。通过对API标签化处理,便利了日常管理和风险排查。
(二)精准风险定位技术,提升风险识别准确率
为了提升风险监测效率,降低漏报误报,系统根据分类结果,先对高敏感API接口进行监测,再对有弱点的API接口进行监测,以此平衡风险误报和运行性能。不同类型的API接口,采用不同的风险监测模型。普通API,采用高频访问模型,关注访问次数;数据查询API,主要计算数据查询数量;对登录API接口则采用爆破撞库风险模型。通过上述措施,整体风险识别精准率大幅提升。
(三)API安全运营闭环与可视化
系统结合威胁情报和大数据分析,挖掘API请求中的恶意攻击IP和风险账号,提供攻击流量上下文,同时可联动旁路阻断设备对恶意IP进行自动封禁,做到攻击威胁的及时预防和响应。通过对API的持续监测审计,可及时感知到API的业务逻辑和数据更新变化,发现新增、变动和僵尸影子API等。推动对新增、变动的API进行安全评审,及时下线僵尸影子API资产。系统提供统一的安全态势可视化大屏,直观展示API资产、安全弱点和攻击威胁等,让安全风险看得见、理得清、判得准、响应快。
五、项目过程管理
本项目于2023年10月启动,2024年4月正式投入运行。项目主要经历了需求梳理和方案设计、方案验证、功能测试验证、系统正式上线等4个阶段,项目具体建设过程如下:
(一)需求梳理和方案设计
时间周期:2023年10月
工作内容:分析当前面临的API风险治理难点,调研业务系统API使用及管理情况,结合监管机构对API相关安全管理要求,梳理形成API安全治理目标。面向大型金融机构开展API治理调研,了解市场相关领域产品。确定从API识别、风险监测、数据保护、审计溯源等方面入手,制定出符合陕西省联社实际需求的API安全解决方案设计。
(二)方案验证
时间周期:2023年11月至2023年12月
工作内容:验证当前主流的API风险分析与治理方案,搭建测试环境进行验证。
(三)功能测试验证
时间周期:2024年1月至2024年4月
工作内容:在测试环境中对API风险分析与治理系统的各项功能进行对比测试,重点对API资产发现、API弱点分析、API攻击监测三个功能提供的管控能力进行逐项验证,确定是否能够满足实际工作场景的使用需求。
(四)系统正式上线
时间周期:2024年5月
工作内容:系统接入生产环境流量,开始正式上线运行。持续监测系统运行状况,定期分析陕西省联社API接口健康程度,对不规范的API接口进行反馈,对可能存在攻击或数据泄露的接口进行核查。
六、运营情况
API风险分析与治理系统于2024年4月份进入投产试运行阶段,目前已经接入陕西省联社互联网业务区边界流量。系统上线后,自动梳理出API接口15000余个,归类应用400余个。风险监测预警身份认证缺陷、配置文件泄露等10余个API接口风险,有效防止内部敏感数据因接口漏洞造成数据外泄。对接第三方封禁系统,自动拦截利用API漏洞的攻击行为,有效提升了API接口风险治理和数据安全防护水平。
七、项目成效
(一)具备API顶层视角,全面掌握API资产状态
系统智能识别未知应用和API资产,可在短时间内补全了API资产台账,保证了API资产的完整性。通过多维度API数据交叉对比,智能聚合,删除重复数据,保障API资产的唯一性。利用数据资产实时监测能力,标记API为新增、失活等状态,保障API资产的实时性。最终产出完整而准确的API资产清单,便于管理员实现API资产的统一管理。
(二)消除API弱点,防范敏感信息泄露
通过大量的无监督学习算法,对API交互和异常行为的实时监测,主动对API接口进行攻击学习,提前预警API存在的未授权访问、弱口令和敏感数据传输等安全弱点。通过上下文的数据行为风险规则,及时发现暴力破解、业务逻辑越权和数据批量拉取等攻击风险并告警,有效防范因API安全漏洞导致发生敏感数据外泄事件。记录API返回信息,精准定位数据泄露源头。减少数据泄露和滥用的风险,保护了个人隐私和敏感信息,增强了数据安全保护能力。
(三)完善API防护体系,满足内控合规要求
系统自动形成API资产台账,随时掌握API资产变化情况,为API全流程管理奠定了基础。基于API画像和利用大数据引擎技术,自动化识别API中可能存在的漏洞和弱点, 实时分析、精准识别 API 上存在的攻击行为,集成或联动第三方安全防护产品进行数据保护。为落实《商业银行应用程序接口安全管理规范》要求,提供了有力的技术支撑,提升了数据安全内控管理水平。
八、经验总结
API风险分析与治理系统的投产运行,实现了API 资产可视、安全风险感知,助力陕西省联社构建了API全生命周期运营体系,有效提升数据安全防护能力。通过项目落地实践,我们也深刻地感受到,做好API全流程安全管控实属不易,需要细心专注,持续练好内功。一方面,要在管理和流程上调整优化,持续完善组织和管理体系,构建适合本机构的API和数据安全管理体系。另一方面,将做好安全运营摆到重要位置,持续做好API资产和安全风险监测,不断优化调优风险监测规则,提升安全应急响应能力。只有这样,才能真正守住数据安全底线,才能发挥好数据的安全价值,真正提升数据安全治理水平。
更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。
热门跟贴