2024年1月12日发(作者:)
关键信息基础设施
API安全评估服务方案
2022年12月
目录
1 服务概述 .............................................................................................................................................. 1
1.1 服务概念 ........................................................................................................................................... 1
1.2 服务必要性 ....................................................................................................................................... 1
1.2.1 API面临的数据安全挑战 .............................................................................................................. 1
1.2.2 合规监督力度加强 ........................................................................................................................ 2
1.3 服务收益 ........................................................................................................................................... 2
2 实施标准和原则 .................................................................................................................................. 2
2.1 政策文件或标准 ............................................................................................................................... 2
2.2 服务原则 ........................................................................................................................................... 3
3 服务详情 .............................................................................................................................................. 4
3.1 API安全专家分析服务(SPA-DSP/ADP) .................................................................................... 4
3.1.1 服务内容 ...................................................................................................................................... 4
3.1.2 服务范围 ...................................................................................................................................... 4
3.1.3 服务方式 ...................................................................................................................................... 6
3.1.4 服务流程 ...................................................................................................................................... 6
3.1.5 服务工具 ...................................................................................................................................... 8
3.1.6 服务交付物 .................................................................................................................................. 8
3.2 API安全调研咨询服务 ..................................................................................................................... 9
3.2.1 服务内容 ...................................................................................................................................... 9
3.2.2 服务范围 ...................................................................................................................................... 9
3.2.3 服务方式 .................................................................................................................................... 12
3.2.4 服务流程 .................................................................................................................................... 12
3.2.5 服务交付物 ................................................................................................................................ 13
3.3 API安全渗透测试服务 ................................................................................................................... 14
3.3.1 服务内容 .................................................................................................................................... 14
3.3.2 服务范围 .................................................................................................................................... 14
3.3.3 服务方式 .................................................................................................................................... 15
3.3.4 服务流程 .................................................................................................................................... 16
3.3.5 服务工具 .................................................................................................................................... 18
3.3.6 服务交付物 ................................................................................................................................ 19
4 服务优势 ............................................................................................................................................ 19
4.1 方案优势 ......................................................................................................................................... 19
4.1.1 API安全调用全程跟踪 ................................................................................................................ 19
4.1.2 API安全建设全面可视 ................................................................................................................ 19
4.1.3 API安全隐患深入排查 ................................................................................................................ 19
4.2 服务优势 ......................................................................................................................................... 20
4.2.1 提供质量稳定的效果 ................................................................................................................. 20
4.2.2 提供问题闭环的方案 ................................................................................................................. 21
4.2.3 提供高性价比的服务 .................................................................................................................. 21
4.3 工具优势 ......................................................................................................................................... 21
1 服务概述
1.1 服务概念
数字化转型过程中的信息流通以及各种程序、应用和系统之间的连接,API 在应用架构中变得更加普遍,作为连接数据和应用之间的重要通道,在提升业务服务效能的同时,也增加了企业的风险敞口,尤其是数据泄漏问题。
API安全评估服务通过调研咨询、专家分析和技术评估等手段,针对API在传输、存储、认证、授权、输入和输出的各个阶段的脆弱性和风险进行评估检测,深度排查客户实际应用架构中的潜在API安全隐患。服务内容主要包括三种类型:API安全专家分析服务(SPA-DSP/ADP)、API安全调研咨询服务、API安全渗透测试服务。
1.2 服务必要性
1.2.1 API面临的数据安全挑战
随着数字化转型的不断深入,各行各业的业务不断向云化、微服务化的趋势发展,API 在应用架构中的使用变得更加普遍,承载着越来越复杂的应用程序逻辑和越来越多的敏感数据。API作为数字化转型过程中的信息流通以及各种程序、应用和系统之间的重要通道,已成为黑产的重点攻击目标,国内外因为API而遭受安全攻击的事件屡见不鲜,并且带来了巨大的影响。在未来,业务云化、微服务的演化步伐会逐渐渗透进各类信息化,这会导致API的爆发性增长,面对这些变化,传统的应用防护方案捉襟见肘,一方面无法贴合客户的业务,另一方面也很难对抗当前出现的各类基于API服务的数据泄露问题,这些API导致的大规模数据泄露风险正面临诸多挑战。
据统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次,API滥用将使得针对API的攻击成为最常见的攻击方式。随着数据的重要性与价值越来越高,针对数据的泄露与网络攻击行为也越来越多,研究部门Salt Labs发布的《2022年第一季度API安全状况报告》显示,过去12个月,恶意API流量增加了681%,95%的组织都经历了API安全事件;根据Gartner提供的数据显示,到2025年,将有50%的企业出现API安全防护缺位,1
并且有90%的企业仅能为其公开发布的API进行保护,而其他API则不受监控。API已成为数据安全最大的风险敞口。
1.2.2 合规监督力度加强
数据作为继土地、劳动力、资本、技术之外的第五大生产要素,数据的价值在于融合与流动,数据共享有利于促进数据的融合与治理,提升数据价值,推动数字经济和公共治理的发展。近几年,国家相继出台了《网络安全法》、《数据安全法》和《个人信息保护法》,对企业数据处理活动、保障数据安全、促进数据开发利用,保护个人、组织的合法权益等工作,都提出了更高的要求。在新形势下,API接口作为数据共享传输的重要手段,不管是已建成或未来将建设的API接口,都需在现有基础上继续提高口数据安全防护手段,以便满足国家要求,承担企业相应职责。
1.3 服务收益
对于组织而言,API安全评估服务可以带来如下收益:
提升组织对于内部系统的API漏洞检测能力
全面掌握组织内部的API安全漏洞
为组织业务系统API测评、检查等提供有效的依据
为组织制定科学、有效地API安全加固方案提供依据
降低因为API漏洞导致安全事件发生的概率
审计API接口调用,为责任界定提供依据
2 实施标准和原则
2.1 政策文件或标准
深信服API安全评估服务将参考以下法规、标准实施:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
2
《信息安全技术 关键信息基础设施保护要求》(GB/T 39204-2022)
《信息安全技术个人信息安全规范》(GB/T 35273-2020)
《物联网信息交换和共享 第4部分:数据接口》(GB/T 36478.4-2019)
《政务信息资源交换体系 第3部分:数据接口规范》(GB/T 21062.3-2007)
《信息技术 会计核算软件数据接口》(GB/T 19581-2004)
《信息技术-安全技术-信息系统规范与使用指南》(GB/T 36627-2018)
《信息技术 安全技术 安全保证框架 第1部分:介绍和概念》(ISO/IEC TR 15443-1:2012)
《信息技术 安全技术 安全保证框架 第2部分:分析》(ISO/IEC TR 15443-2:2012)
《信息技术 安全技术 运行系统安全评估》(ISO/IEC TR 19791:2010)
《信息系统灾难恢复规范》(GB/T 20988-2007)
《信息技术安全技术信息技术安全性评估准则》 (GB/T 18336.1-2015)
《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
《信息安全技术 数据库管理系统安全技术要求》 (GB/T 20273-2019)
《信息安全技术 网络基础安全技术要求》 (GB/T 20270-2006)
《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2006)
《信息系统安全等级保护基本要求》 (GB/T 22239-2019)
《商业银行应用程序接口安全管理规范》(JR/T 0185-2020)
《个人金融信息保护技术规范》(JR/T 0171-2020)
《期货市场客户开户数据接口》(JR/T 0160-2018)
《期货公司柜台系统数据接口规范》(JR/T 0151-2016)
《智能电视支付应用规范 第 4 部分:通信接口规范》(JR/T 0109.4-2015)
《银行间市场数据接口》(JR/T 0078-2014)
2.2 服务原则
深信服API安全评估服务将遵循以下服务原则:
保密性原则
对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。
3
标准性原则
项目实施依据国内、国际的相关标准进行。
规范性原则
项目实施由专业的项目经理、服务专家和服务工程师依照规范的操作流程进行,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则
项目实施的方法和过程及使用的工具在双方认可的范围之内,保证项目实施的可控性。
最小影响原则
项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
3 服务详情
3.1 API安全专家分析服务(SPA-DSP/ADP)
3.1.1 服务内容
安全专家分析(Security Professional Analysis)服务是深信服安服专家通过定期或持续上门的方式,综合运用丰富的技术经验及威胁情报知识库,借助深信服数据安全大脑(DSP)和代理网关(ADP)强大的设备对接能力及安全检测能力结合客户业务应用、实际情况,以及安全专家现场的自主发现,对安全日志、流量进行分析研判,并对发现的API威胁、脆弱性、事件进行挖掘和定位,最终得出较为精准的安全分析结果,通过面对面汇报与解读,使客户尽早发现关键风险问题,并通过提供可落地修复处置建议和指导,推动客户闭环API相关风险问题。
3.1.2 服务范围
API安全专家分析服务不限定服务资产数量,由服务专家对深信服数据安全大脑(DSP)和代理网关(ADP)采集的流量数据及安全日志进行深入分析,并根据现场实际情况与经验判断是否是关键风险,从而辅以主动发现。
4
受到服务时间和业务权限的限制,安全专家保证发现问题的有效性,但无法保证全面性,每次报告的内容不代表组织全部的安全问题。因为无法完全了解组织业务情况,安全专家原则上不直接上手进行处置操作,但会针对发现的关键风险问题输出后续的可落地处置建议方案及问题跟踪清单,由用户进行后续处置工作。API安全专家分析服务的范围包括:
(1) API资产分析
协助构建API资产梳理能力。服务专家结合工具采集的API服务器流量和平台分析结果对API接口进行全面排查,梳理当前对外的接口、接口类型、活跃API接口数量、涉敏API接口、最近上线时间、调用数据类型等内容,进行梳理与综合分析,对于未审核或违规的API建议用户暂停上线并及时调整,确保上线API的安全性。上线后对其运行情况进行监控分析,发现接口运行异常、恶意调用等情况及时建议用户采取防护措施,修复相应问题;此外还会梳理并发现应用系统涉及敏感数据流转的接口以及敏感数据暴露面。
(2) API流转分析
协助构建API流转监测能力。服务专家协助建立 API 数据流量监测机制,通过分析数据流向,排查数据调用过程中是否存在非法API接口与敏感API接口调用,深入分析并记录API接口调用过程,包括数据被什么用户使用,通过什么方式使用数据,使用了什么数据等,以便数据管理人员对数据流转情况的把控。通过对数据使用情况的监测和分析,识别其中可能存在的风险和异常情况,构建数据流转全景图。
(3) API攻击检测与异常行为分析
协助构建API攻击检测与异常行为分析能力。服务专家结合平台基于大数据计算和机器学习,对采集到的API应用服务器进行安全建模,生成安全基线,构建数据安全访问模型。在业务运行过程中,对敏感数据的访问行为进行分析,出现如数据违规使用、API异常调用、运维人员大量获取敏感数据等异常行为时,及时向用户预警。此外针对短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据、敏感数据外发等异常调用、异常访问行为进行实时监测分析,根据自身业务应用程序接口(API)情况建立正常行为基线,防范内部违规获取数据、外部攻击或网络爬虫等数据安全风险。
(4) API数据泄露溯源分析
协助构建API数据泄露溯源审计能力。一旦发生数据泄露能及时追踪数据泄露途径、类型、规模、原因,分析根本原因,提取有效证据。结合审计机制协助进行事件溯源。API 数据泄露5
溯源机制可分为线索溯源和主体溯源,线索溯源以泄露数据内容为线索,在系统中进行回溯,提取 API 日志中的相关记录进行分析,确定责任人和泄露路径;主体溯源根据账号、接口信息等访问特征线索在日志流量信息中进行筛选,分析匹配特征,追溯事件源头。
3.1.3 服务方式
标准版:安全专家分析服务的服务方式为委托或派出专业服务人员到客户现场提供服务。服务次数每月或每季度提供一次,一年十二或四次,每次均会出具服务报告,具体次数根据双方签订的正式合同为准;每次服务天数根据客户实际情况评估,一般需要2人天。
单次版(应急/重保):和客户沟通确定数据安全大脑(DSP)和代理网关(ADP)部署的合适位置,并完成上线后,开始进行流量采集,采集时间按需一般为2~14天,然后安全专家上门进行分析、挖掘并撰写服务报告。
3.1.4 服务流程
API安全专家分析服务主要分为三个阶段:准备阶段、分析阶段及总结汇报阶段。具体实施过程,如图3-1 API安全专家分析服务流程图。
图3-1 API安全专家分析服务流程图
6
3.1.4.1 准备阶段
确认客户侧是否具备分析环境,主要确认内容包括:是否部署深信服数据安全大脑(DSP)和代理网关(ADP)、部署位置是否合理并已采集一段时间(建议两周以上)的流量日志。
7
3.1.4.2 实施阶段
服务专家结合分析工具,进行API资产分析、API流转分析、API攻击检测与异常行为分析及API数据泄露溯源分析,深入分析和发现API相关的潜在安全隐患。按需出具《API安全问题跟踪清单》和《XXXX修复方案/处置方案》
3.1.4.3 总结汇报阶段
总结工作内容及成果,并向客户汇报安全专家分析结果,出具《API安全专家分析报告》
3.1.5 服务工具
API安全专家分析服务使用的工具,如表3-1 API安全专家分析工具清单。
表3-1 API安全专家分析工具清单
工具名称 工具介绍
数据安全大脑(DSP)主要用于API数据资产全面探查,全面梳理数据库、API接口调用过程中所涉及的敏感数据,支持自动化对数据库和API接口调数据安全大脑(DSP)
用过程中的敏感数据进行识别,实时感知API流转安全风险并告警,并提供以及风险举证参考。
API数据安全代理网关(ADP)主要用于针对Web、APP、小程序等应用系统的流量分析系统,以数据为中心实现对API数据暴露面的治理和对数据滥API数据安全代理网关(ADP) 用行为持续发现,实时对API的数据暴露面进行管控,通过Web应用或者API接口访问敏感数据,对访问敏感数据进行动态脱敏和Web水印以及访问管控。
3.1.6 服务交付物
《API安全问题跟踪清单》
《XXXX修复方案/处置方案》(一般脆弱性问题称之为“修复”,安全事件类称之为“处置”)
《API安全评估专家分析报告》
8
3.2 API安全调研咨询服务
3.2.1 服务内容
API安全调研咨询服务,主要通过调研的方式进行API安全建设情况的梳理,通过与客户安全管理员、应用程序管理员调研当前客户环境中API的使用情况,经过统计分析后形成安全建设建议,指导组织更好地开展API相关业务,规避安全问题。
3.2.2 服务范围
API安全调研咨询服务的范围包括不限于:应用程序、业务系统等使用API作为数据交互的业务环境。具体调研项及调研内容,如表3-2 API安全评估调研表。
表3-2 API安全评估调研表
序号 调研项 调研内容
不建议使用 Basic Auth ,建议使用标准的认证协议(如 JWT,1
OAuth)。
不建议重新构建 Authentication、token generating 和
2
password storing库,建议使用标准库。
3
4
建议限制密码错误尝试次数,并且增加账号冻结功能。
建议加密所有的敏感数据。
建议使用随机复杂的密钥(JWT Secret)以增加暴力破解的5 身份认证
难度。
不建议在请求体中直接提取数据,建议对数据进行加密6
(HS256 或 RS256)。
7
8
建议使 token 的过期时间尽量的短(TTL,RTTL)。
不建议在 JWT 的请求体中存放敏感数据(可被解码)。
建议避免存储过多的数据。 JWT 通常在标头中共享,并且有9
大小限制。
10 访问 建议限制流量来防止 DDoS 攻击和暴力攻击。
9
备注
11
12
13
建议在服务端使用 HTTPS 协议来防止 MITM (中间人攻击)。
建议使用 HSTS 协议防止 SSL Strip 攻击。
建议关闭目录列表。
建议对于私有 API,仅允许从列入白名单的 IP/主机进行访
14
问。
15 建议始终在后台验证 redirect_uri,只允许白名单的 URL。
建议始终在授权时使用有效期较短的授权码(code)而不是16
令牌(access_token)(不允许 response_type=token)。
授权
17
(CSRF)。
建议对不同的应用分别定义默认的作用域和各自有效的作用18
域参数。
建议使用与操作相符的 HTTP 操作函数,GET(读取),POST(创建),PUT(替换/更新) 以及 DELETE(删除记录),如19
果请求的方法不适用于请求的资源则返回 405 Method Not
Allowed。
建议在请求头中的 content-type 字段使用内容验证来只允20 许支持的格式(如 application/xml,application/json 等等)
并在不满足条件的时候返回 406 Not Acceptable。
建议验证 content-type 中申明的编码和你收到正文编码一输入
21 致(如 application/x-www-form-urlencoded,multipart/form-data,application/json 等等)。
建议验证用户输入来避免一些普通的易受攻击缺陷(如 XSS,22
SQL-注入,远程代码执行 等等)。
不建议在 URL 中使用任何敏感的数据(credentials,23 Passwords,security tokens,or API keys),建议使用标准
的认证请求头。
24 建议仅使用服务器端加密。
10
建议使用随机哈希函数的 state 参数来防止跨站请求伪造
建议使用一个 API Gateway 服务来启用缓存、限制访问速率25 (如 Quota,Spike Arrest,Concurrent Rate Limit)以及动态的部署 APIs resources。
建议检查是否所有的接口都包含必要都身份认证,以避免被26
破坏了的认证体系。
不建议使用特有的资源 id。使用 /me/orders 替代
27
/user/654321/orders。
28 建议使用 UUID 代替自增长的 id。
建议如果需要解析 XML 文件,确保实体解析(entity
29
parsing)是关闭的以避免 XXE 攻击。
处理
30
建议如果需要解析 XML 文件,确保实体扩展(entity
expansion)是关闭的以避免通过指数实体扩展攻击实现的
Billion Laughs/XML bomb。
31 建议在文件上传中使用 CDN。
建议如果数据处理量很大,尽可能使用队列或者 Workers 在32
后台处理来避免阻塞请求,从而快速响应客户端。
33
34
35
36
建议将 DEBUG 模式关掉。
建议可用时使用不可执行的堆栈。
建议增加请求返回头 X-Content-Type-Options: nosniff。
建议增加请求返回头 X-Frame-Options: deny。
建议增加请求返回头 Content-Security-Policy:
37
default-src 'none'。
建议删除请求返回中的指纹头 - X-Powered-By,Server,38
输出
X-AspNet-Version 等等。
建议在响应中遵循请求的 content-type,如果请求类型是
39 application/json 那么返回的 content-type 就是
application/json。
40 不建议返回敏感的数据,如 credentials,Passwords,11
security tokens。
建议为请求返回使用合理的 HTTP 响应代码。(如 200 OK,41 400 Bad Request,401 Unauthorized,405 Method Not Allowed
等等)。
建议使用单元测试以及集成测试的覆盖率来保障设计和实42
现。
43
持续集成和持44
续部署
45
46
47
48
49
50
51
52
监控
件静态地扫描过,包括第三方库和其他依赖。
建议对代码持续运行安全测试(静态/动态分析)。
建议检查依赖项(软件和操作系统)是否存在已知漏洞。
建议为部署设计一个回滚方案。
建议对所有服务和组件使用集中登录认证。
建议使用代理监视所有流量、错误、请求和响应。
建议配置短信、电子邮件、电话等告警通知方式。
建议使用API安全监测系统监视API请求和实例。
建议定期对API传输内容进行敏感信息泄露排查工作。
建议引入代码审查流程,禁止私自合并代码。
建议在推送到生产环境之前确保服务的所有组件都用杀毒软
3.2.3 服务方式
咨询专家通过访谈的方式,针对检查表中的调研项进行逐项访谈,结合客户实际应用场景,综合分析并输出调研报告。
3.2.4 服务流程
API安全调研咨询服务主要分为三个阶段:准备阶段、实施阶段及总结汇报阶段。具体实施过程,如图3-2 API安全调研咨询服务流程图。
图3-2 API安全调研咨询服务流程图
12
3.2.4.1 准备阶段
API安全评估专家根据客户实际环境制定《API安全评估调研表》。
3.2.4.2 实施阶段
实施阶段开始现场与安全管理员、业务系统管理员针对API使用情况进行安全访谈并记录访谈内容,根据访谈结果出具《API安全评估调研表》。
3.2.4.3 总结汇报阶段
总结工作内容及成果,并向客户汇报安全评估专家分析结果,出具《API安全评估调研报告》
3.2.5 服务交付物
《API安全评估调研表》
《API安全评估调研报告》
13
3.3 API安全渗透测试服务
3.3.1 服务内容
API安全渗透测试服务,服务工程师从攻击者的角度,利用主流的攻击技术,以人工为主、工具为辅的形式探测和发现API业务环境中的存在的安全漏洞和风险点,将发现的安全漏洞进行整理,给出详细说明,漏洞根据被利用性分级和影响程度分级进行定级,并针对每一安全漏洞提供相应的修复方案。
3.3.2 服务范围
API安全渗透测试服务的范围包括应用程序、业务系统等使用API作为数据交互的业务环境。根据API测试的最佳实践,主要识别以下漏洞类型:
无效的对象级别授权
API倾向于暴露那些处理对象识别的端点,造成了广泛的攻击面访问控制问题。在每个能够访问用户输入数据的功能中,都应考虑对象级别授权检查。
损坏的用户身份验证
身份验证机制通常实施不正确,从而使攻击者可以破坏身份验证令牌或利用实施缺陷来临时或永久地假冒其他用户的身份。损害系统识别客户端/用户的能力会整体损害API安全性。
过度的数据泄露
开发人员倾向于公开所有对象属性而不考虑其个体数据敏感性,依靠客户端执行数据过滤并显示。
缺乏资源和速率限制
API一般不会对客户端/用户可以请求的资源大小或数量施加任何限制。这不仅会影响API服务器的性能,从而导致拒绝服务(DoS),而且还为诸如暴力破解之类的身份验证漏洞敞开了大门。
功能级别授权损坏
具有不同层级、分组和角色的复杂访问控制策略,以及管理功能和常规功能之间的模糊不清,往往会导致授权缺陷。通过利用这些问题,攻击者可以访问其他用户的资源和/或管理功能。
14
批量分配
将客户端提供的数据(例如JSON)绑定到数据模型,而没有基于白名单的适当属性过滤,通常会导致批量分配。无论是猜测对象属性、浏览其他API端点、阅读文档或在请求有效负载中提供其他对象属性,都是攻击者可以修改权限之外的对象属性。
安全性配置错误
最常见的安全配置错误是不安全的默认配置、不完整或临时配置、开放的云存储、错误配置的HTTP标头,不必要的HTTP方法、跨域资源共享(CORS)以及包含敏感信息的冗长错误消息导致的。
注入
当不受信任的数据作为命令或查询的一部分发送到解释器时会发生注入缺陷,例如SQL、NoSQL的命令注入等。攻击者的恶意数据可能会诱使解释器执行非预期的命令,或未经授权访问数据。
资产管理不当
与传统的Web应用程序相比,API倾向于公开更多的端点,这使得文档的准确性和及时更新显得尤为重要。健康的主机和最新的API版本能够有效减轻诸如API版本过期以及调试端点暴露之类的安全问题。
日志和监控不足
日志和监控不足,再加上事件响应的缺失或无效集成,使攻击者可以进一步攻击系统,长期驻留,并横向移动到更多系统以篡改、提取或破坏数据。大量入侵调查研究表明,检测到入侵的平均时间超过200天,而且入侵检测警告通常来自外部第三方,而不是企业内部安全流程或监控来检测。
3.3.3 服务方式
API安全渗透测试服务根据测试的位置不同可分为现场测试和远程测试;根据测试的方法不同可分为黑盒测试和白盒测试两类。
(1) 现场与远程测试
15
现场测试是指经过用户授权后,测试人员到达用户工作现场,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。
远程测试与现场测试相反,测试人员无需到达客户现场,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户,主要用于检测外部威胁源和路径。
(2) 黑盒白盒测试
黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好地模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:API接口详细地址、授权测试账号等。这种情况用于模拟并检测内部的恶意用户可能为系统带来的威胁。
3.3.4 服务流程
API安全渗透测试服务主要分为四个阶段:准备阶段、测试阶段、总结汇报阶段及加固后的复测阶段。具体实施过程,如图3-3 API安全渗透测试服务流程图。
图3-3 API安全渗透测试服务流程图
16
3.3.4.1 准备阶段
与客户进行沟通、确定渗透测试的时间、范围、深度、测试方式(黑盒/白盒、现场/远程)等问题,并获取客户签署的渗透测试授权函。
3.3.4.2 测试阶段
进行情报搜集工作,包括:基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功17
能收集、接口信息收集等。
对业务系统进行验证性测试,测试内容包含表3-1 API安全评估检查表中所列出的测试项中的适用部分,分析与验证业务系统可能存在的漏洞。
3.3.4.3 总结汇报阶段
测试工作全部完成后输出《API安全渗透测试报告》,报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议。
由服务团队向客户汇报本次渗透测试的成果,并现场对客户提出的疑问进行现场答疑。
3.3.4.4 复测阶段
当客户业务系统的漏洞修补完成后可申请一次免费的漏洞复测服务,用于验证业务系统的漏洞修补情况,并向客户提交《API安全渗透测试复测报告》。
3.3.5 服务工具
API安全渗透测试使用的测试工具,部分如表3-3 API安全渗透测试工具清单:
表3-3 API安全渗透测试工具清单
工具类型 测试工具名称
搜索引擎:Google、百度、Bing等
DNS工具:Nslookup、DIG、DNSmap等
信息收集工具
信息探索工具:matigoo
在线网络数据库:APNIC、Ripe、Sucuri、Netcraft等
扫描工具
口令猜测工具
溢出测试工具
脚本测试工具
接口测试工具
Nmap等
Hydra
MetaSploit工具集
Burpsuite、JbroFuzz等
Astra、fuzzapi、Postman工具等
18
3.3.6 服务交付物
《API安全渗透测试报告》
《API安全渗透测试复测报告》
4 服务优势
4.1 方案优势
4.1.1 API安全调用全程跟踪
通过API安全专家分析服务,使用大数据与用户行为分析技术,对用户数据访问流量进行建模,能够自动生成安全基线,基于安全基线以及异常行为特征模型对数据访问行为进行研判,实时感知风险并告警,如:数据越权使用、API异常调用、运维人员批量读取敏感数据等,实现针对大数据平台API接口访问链条的全程跟踪,为决策提供依据。
4.1.2 API安全建设全面可视
通过API安全调研咨询服务,能够梳理清晰的API安全建设现状,及整个生命周期的关键环节是否有安全防护设计,从API设计、开发、测试、上线各阶段进行安全管理的全面可视,指导API风险感知及阻断能力的持续建设。
4.1.3 API安全隐患深入排查
通过API安全渗透测试服务,能够有效验证API安全建设的防护强度,直观了解API资产的安全风险,及时发现在开发、运维、管理等方面存在的技术短板,洞悉安全隐患,提供有效的整改建议并在完善后进行全面复查,保障客户的API运营安全。
19
4.2 服务优势
4.2.1 提供质量稳定的效果
4.2.1.1 专业的评估人员
评估人员经过深信服安全服务工程师专业认证,具备相应的安全服务能力。结合深信服多年的积累的专业、独特的风险评估方法论和流程,以及行业特点及客户的现状,从管理和技术等多方位对用户进行全方位的安全评估,帮助用户准确发现风险并及时解决问题。
4.2.1.2 先进的评估工具
深信服自研的数据安全大脑(DSP)、代理网关(ADP)和漏洞扫描工具(TSS),具有效果好、速度快、操作简单的优势,可以大规模减少安全管理员的手工劳动,有利于保持风险分析算法的统一和风险评估报告的质量稳定。
4.2.1.3 完善的服务质量管理
深信服API安全评估服务质量管理活动包括两个方面:项目实施过程、项目实施的交付成果。评估服务的过程文件和阶段性报告等,均通过严格的文档评审活动来完成质量保证。项目经理和服务质量监督员定期跟踪项目实施过程的各项任务的执行及其质量,检查和督促各项评审活动的执行,及时发现项目工作中的问题,并通过内外部满意度评价来保证服务质量管理活动的闭环。
4.2.1.4 全过程要素自动记录
深信服API安全评估服务通过采用过程记录工具对API安全评估产生的过程数据进行记录,扫描数据保存为统一的格式,由信息库进行分类,统计和总结。
4.2.1.5 标准化项目管理
项目团队将与客户保持密切的交流和沟通,以保障实施过程中系统的安全性及稳定性。评估的实施和管理以国标实施规范和国际化的项目管理规范为指引,指导整个评估的实施过程,确保高水平、高标准、高质量地完成交付,为用户提供更高满意度的服务。
20
4.2.2 提供问题闭环的方案
4.2.2.1 可闭环的加固建议
针对评估发现的安全问题,提供全面的可闭环的安全加固建议;并且结合深信服强大的知识体系平台,对问题处置方法进行持续补充及提升。
4.2.2.2 丰富的解决方案
行业多年沉淀积累,熟悉各大品牌安全设备性能功能,为用户提供最适合的安全解决方案。
4.2.3 提供高性价比的服务
4.2.3.1 更加及时的服务响应
丰富的人员体系,为用户提供更加及时的响应体系。根据安全事件/需求的级别进行定义,快速精准响应用户服务需求。避免在服务协调时间中,爆发更大的安全问题。
4.2.3.2 更清晰的能力分层
通过对于不同服务的能力要求进行分层,原厂工程师承担更高级的安全脆弱性挖掘及问题溯源分析工作,日志巡检及扫描通过原厂认证工程师进行交付,在保证服务质量的同时提升整体方案性价比。
4.3 工具优势
深信服自研的数据安全大脑(DSP)、代理网关(ADP)和漏洞扫描工具(TSS),具有效果好、速度快、操作简单的优势,可以快速准确定位内网安全问题。
权威、完备的知识库
高效、智能的识别技术
多维、细粒度的统计分析
数据资产精准定位、梳理
符合信息安全政策、合规需求
全方位风险监控、快速入库检索分析
21
发布评论