近几年我国关于数据安全和个人信息保护等法律相继出台,为各行各业数据安全保护工作提出了严格的要求,金融行业因其业务和数据的特殊性更是面临着“严监管、高标准”的要求。2022年,在金融标准化“十四五”发展规划背景下,中国银保监会对外发布了多部有关银行保险业数字化转型的指导意见与管理办法,对银行保险业的数据安全管理做出了更加明确的要求和规定。

保险行业作为三大金融产业的支柱性产业,在数据的采集、存储、使用等方面的建设已较为成熟,但随着数字化转型的深入与疫情的到来,保险机构由线下交易转变为“零接触”的线上服务,大量的数据需要在平台与客户、企业内部、合作伙伴、第三方服务商之间通过API进行流通交互,而保险行业在流动数据的安全防护建设上却相对薄弱。作为用户与应用之间数据传输的通道,近年来,API已成为了数据泄露的主要媒介,因API缺陷导致保险机构数据泄露的事件层出不穷:
2021年3月,因API授权访问缺陷,美国Infinity财产保险公司网络服务器上的文件曾发生了未经授权的访问。在全面审查后,Infinity证实了这些文件信息被窃取,其中包含有社会安全号码或驾驶执照号码等重要敏感信息,还包括公司现任或前任员工的个人信息
2021年6月,由于API接口漏洞缺陷,某大型综合性保险集团客户信息遭到泄露,包括客户姓名、手机号码、性别、出生日期、运营商、身份证号码、户籍所在地、登录账号、邮箱、密码等重要信息。

2022年6月,永安在线监测到某大型金融保险服务集团由于未正确进行API权限设置,导致API接口被攻击者利用爬取的事件,攻击者无需授权,只用在接口参数中填入姓名、身份证即可遍历获取大量用户手机号、保单交易信息。

(永安在线在暗网监测到

大量保险机构用户保单数据泄露事件)

敏感数据一旦遭到泄露,对保险机构将造成非常严重的后果。不仅会损害客户的利益,导致大量客户投诉,机构也会面临监管部门的处分惩罚,其经济和品牌声誉均会受损。

那么,保险机构该如何保护好多方流动的数据安全,避免泄露敏感数据呢?本文以某大型人寿保险公司(C公司)为例,深入分析该公司面临的安全痛点和需求,并提供针对性的解决方案。

数据流动驱动业务发展的同时

也加大了数据泄露风险敞口

永安在线安全专家在与C公司安全负责人的合作沟通中了解到,该公司对内外部因素所导致的数据泄露隐患非常担忧:
1.保险公司数字化业务快速增长,新增大量的线上业务和多种接入渠道,如C端APP、小程序等,线上业务API接口增多,从而加大了API的风险攻击面。但相较于爆发式增长的业务需求,保险公司在API数据安全管理能力却相对落后,存在敏感数据未授权访问、关键涉敏数据未脱敏或者伪脱敏、过多数据返回等缺陷,很容易被攻击者利用威胁,造成数据被爬取泄露等严重后果。
2.除去企业内部的业务运营系统,保险公司还会跟其他代理机构和第三方服务机构的系统进行数据交互和信息共享。而许多给到合作方调用的系统存在API设计和需求不一致,暴露数据过多、权限校验不严格、无频率限制等缺陷,多方连通的复杂网络环境也让数据安全难以得到保证,且保险公司很难感知到合作方或第三方机构是否存在过多爬取敏感数据,异常调用数据的情况。
3.在保险公司数字化转型过程中,内部数据流转从文件到了数字化的系统。保险销售人员,保险客服,以及第三方服务人员等都可以查询到大量的客户个人信息,健康信息,财产信息等高价值敏感数据,数字化的交易模式让敏感数据在线上系统进行流通,员工的远程权限管理也变得更加复杂。如果企业内部未对API数据资产进行访问管控,就很容易造成客户敏感信息数据的泄露,这些数据可以被不法分子利用以谋取更大的利益,而且很难被审计和溯源。

通过API安全建设

有效保护数据安全流动

针对C公司的安全痛点和需求,永安在线提供新一代API数据安全解决方案,通过API提早感知风险。基于数据可见,风险可感,攻击可控三大关键能力,建设以API为中心的流动数据安全,先于攻击者发现攻击面,实现“安全前置”。该方案主要有三个步骤:

1)自动化梳理API和数据资产,敏感数据分级分类

自动化梳理面向客户、内部员工、保险代理人、合作伙伴及第三方供应商等数据流通场景下的API,建立完整可视化的API资产清单,及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API情况。
通过流量梳理API资产的同时,对流量中流动的敏感数据资产进行识别和提取,并对提取出来的敏感数据类型进行分级分类,确保数据资产持续更新和可见。同时,对于可返回明文「三要素」(用户姓名、手机号、身份证)、「四要素」(用户姓名、手机号、身份证、银行卡)的API进行重点监测,确保敏感数据安全合规。

「安全效果」

API资产梳理:接入客户业务和内部管理系统,共梳理出API 8251个,其中包括涉敏API 1534个,缺陷API 758个,风险API 514个。发现同时存在大量的多版本API,以及269个僵尸API。

涉敏数据:涉及敏感数据17类,包括有姓名、手机号、身份证、银行卡、密码等数据类型,发现明文返回个人三要素的API数量有32个,明文返回个人四要素的API数量有3个。敏感数据API接口1045个,敏感数据涉及账号3406个,企业违规风险较高。
合规自查:全面溯源审计敏感数据在各个应用系统的流动情况,及时了解敏感数据的出境合规风险。
账号资产:梳理出账号资产19021个,其中有223个账号存在弱密码的特征。发现有32个账号存在被盗用或者借用的情况,发现有使用异常的账号27个,有账号在凌晨4点非工作时间段内访问系统获取了姓名、手机号、身份证、邮箱、地址等大量敏感数据。

2)风控预警检测,及早发现数据安全漏洞和数据异常访问

在API和数据资产可见的基础上,还要对API在设计和开发方面存在的数据安全风险进行评估:全面检测返回数据过多、关键涉敏数据未脱敏或者伪脱敏、URL传输敏感数据、传入参数可遍历、未授权访问、越权访问等漏洞缺陷,同时,持续监测针对API流动数据的异常拉取、爬取、截留,以及账号权限滥用、违规访问等行为,先于攻击者发现API上的流动数据安全隐患。

「安全效果」

API安全缺陷检测:

检测出24类缺陷,其中主要包括授权类、敏感数据暴露类及认证类缺陷:

-->发现某接口存在未授权访问、关键涉敏数据未脱敏、参数可遍历的缺陷。攻击者可通过遍历用户手机号,直接获取到个人四要素信息,导致严重的数据泄露。
-->发现重要的数据库接口存在任意SQL查询的严重缺陷、攻击者可以直接利用该接口执行任意的SQL语句获取该数据库存储的所有信息,存在数据泄露的风险,给企业带来监管与法律责任方面的风险。甚至在未登录的情况下拥有删除权限,可以直接执行删库操作。
-->发现有API存在越权访问缺陷,可以通过相同的鉴权凭证获取到公司内部不同部门不同职级的员工个人信息和联系方式。
-->发现某内部报表系统API可直接获取明文的管理员账号和密码。攻击者可能利用此接口获取管理员权限,通过上传木马、修改文件的方式导致系统失陷,威胁客户的网络安全。

3)攻击行为提早感知,溯源定位阻断

基于永安在线多年威胁情报能力沉淀,利用攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,机器学习检测API访问序列中的异常行为,及时告警C公司所面临的攻击风险,找到攻击源头,分析攻击行为,并将情报同步WAF设备进行阻断。

「安全效果」

API攻击风险感知:检测到API风险620个,被攻击API 147个,涉及大量敏感信息泄露、营销欺诈、撞库攻击、短信轰炸等风险,存在严重的数据泄露、财产损失、监管处罚风险。

数据泄露:发现865个来自秒拨代理平台的IP对用户信息查询接口发起累计2983次攻击,聚集在中午12:00发起攻击,存在用户信息泄露风险。
使用永安在线API安全管控方案后,C公司实现了对系统全量API资产及敏感数据流动的安全把控、对内外部员工数据访问和账号行为的全面审计,并基于永安在线独有的情报能力及时感知API漏洞缺陷和数据泄露风险,保障企业流动数据安全,提高数据安全交互效率,确保数据使用合规可控,让API安全为企业数字化转型保驾护航。