2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》正式公布，將于9月1日開始實施。《數(shù)據(jù)安全法》強調了企業(yè)在保護數(shù)據(jù)安全中應承擔的責任：企業(yè)需要制定相關制度來保障數(shù)據(jù)安全，補救數(shù)據(jù)安全風險，上報數(shù)據(jù)安全事件。如拒不遵守法律或釀成重大數(shù)據(jù)泄露事故，企業(yè)將被處以十萬元以上、一百萬元以下的罰款，直接負責的主管人員和其他直接責任人員，則將被處一萬元以上、十萬元以下罰款。如果企業(yè)中存在大量數(shù)據(jù)，安全運維人員必須認真對待這些法律法規(guī)，因為一旦發(fā)生數(shù)據(jù)泄露事件，受處罰的不光是企業(yè)，還有直接責任人。

[[405273]]

TDP是微步在線旗下情報驅動的新一代網(wǎng)絡流量檢測與響應（NDR）產品，基于旁路流量的全方位威脅檢測與響應平臺，廣泛覆蓋傳統(tǒng)僵木蠕、APT、Web 和非 Web 攻擊、業(yè)務風險挖掘、資產梳理。一直以來，微步在線都會陸續(xù)收到金融、互聯(lián)網(wǎng)等行業(yè)客戶的咨詢：“你們TDP能防止敏感數(shù)據(jù)泄露嗎？”今天就來拆解一下TDP的資產&風險模塊中防止數(shù)據(jù)泄露的功能。

流量被動監(jiān)聽發(fā)現(xiàn)所有API接口

“你知道的不知道的API我都知道”

敏感數(shù)據(jù)泄露的最主要途徑就是API接口。然而實際工作中想做好對接口的管理，是一件很難的事。企業(yè)的安全運維人員往往難以回答這幾個問題：

1. 企業(yè)現(xiàn)在有多少接口？這些接口中究竟有多少個能被爬取敏感信息？
2. 這些接口中是否有不該對外暴露，但能被爬取到的？
3. 就現(xiàn)在，企業(yè)的敏感信息接口是否在對外傳輸數(shù)據(jù)，傳出了什么數(shù)據(jù)？

有資產的地方就有風險，TDP通過旁路鏡像的方式監(jiān)測企業(yè)各處資產的流量，從而發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風險。在TDP接入了企業(yè)網(wǎng)絡的所有出口流量后，對該企業(yè)所有API接口的摸排就開始持續(xù)進行，順著流量，TDP可以發(fā)現(xiàn)被企業(yè)忽略或未納入管理的對外接口，還能夠實時展現(xiàn)接口是否傳輸了敏感信息。安全運維人員在發(fā)現(xiàn)敏感信息泄露時，可以根據(jù)TDP給出的用戶IP進行封禁等處理。

接口被排查清楚后，企業(yè)安全運維人員就可以使用TDP的“明文敏感信息”和“API風險”兩個功能，可以防止信息泄露，同時也可反爬蟲。

明文敏感信息功能：

“我知道誰一秒前拖走了什么！”

根據(jù)用戶業(yè)務特點，TDP把郵箱、手機、身份證號、銀行卡號定義為敏感信息，為了防止“2年11.8億”的事故重現(xiàn)，TDP有對明文敏感信息的監(jiān)測機制：

1.如果有接口返回明文敏感信息，TDP的界面中就會留下記錄；

2.TDP會用字段和代碼展示用戶訪問和返回了哪些明文敏感信息，同時也會記錄用戶的IP、訪問次數(shù)等信息；

對所有信息解讀以后，能夠得出一個完整故事：

在某地IP為***.***.*.*的某人

在時段2021/06/08 16:00時

拿到了郵箱/手機/身份證/銀行卡 等明文敏感信息。

并且，安全運維人員能看到返回內容的具體代碼，對細節(jié)有更清晰的了解。

接下來，只需對相關IP進行排查即可真相大白：若是內部正常業(yè)務，則放行，若內部主機存在風險，則查殺，若是通過威脅情報確認了這是黑客/黑產的IP，輕則封禁，重則報警。

API風險功能：

“在我的接口反復橫跳，你是不是有問題？”

有些黑灰產需求的并不是企業(yè)的敏感數(shù)據(jù)，而是企業(yè)日常業(yè)務中產生的數(shù)據(jù)，如企業(yè)信息數(shù)據(jù)、新聞稿件等，他們也會對業(yè)務接口進行大量的爬取，如果爬取次數(shù)過多，可能會導致網(wǎng)站崩潰等后果。所以，在業(yè)務接口反復橫跳的行為，也很受安全人員關注。

TDP也有對API接口風險的監(jiān)測機制：

1.TDP會監(jiān)測企業(yè)API接口的訪問次數(shù)，并用訪問次數(shù)和時間段來形成趨勢圖；

2.TDP也會監(jiān)測所有用戶訪問企業(yè)API的總次數(shù)，并可以展示單個用戶的訪問數(shù)是否過多，同時，單個用戶返回的數(shù)據(jù)將以JSON格式展現(xiàn)；

同樣，對所有信息進行解讀后，也能得到一個完整的故事：

在某地IP為***.***.*.*的某人

在時段2021/06/08 16:00時

訪問頻次比普通用戶高 4.5 倍，累計訪問了 124500 次

爬取到了JSON格式的某些信息。

接下來，只需對相關IP進行排查即可真相大白：若是內部正常業(yè)務，則放行，若內部主機存在風險，則查殺，若是通過威脅情報確認了這是外部違規(guī)爬蟲的IP，則封禁處理。

TDP還能監(jiān)測哪些風險？

我們認為，企業(yè)資產中有三種風險最值得注意：登錄風險、數(shù)據(jù)泄露風險和API風險，TDP通過鏡像旁路流量，可以用被動監(jiān)聽的方式發(fā)現(xiàn)企業(yè)可能成為攻擊面的終端、登錄后臺、端口，同時也可以發(fā)現(xiàn)哪些賬號存在弱口令、哪些登錄行為比較可疑等，此外TDP還能防范撞庫、DDoS攻擊等常見的業(yè)務風險。