近几年,我国关于数据安全和个人信息保护法等法律相继出台,为各行各业数据安全保护工作提出了严格要求,证券行业因其业务和数据的特殊性更是面临着“严监管、高标准”的要求。

目前很多证券企业在数据的采集、存储、使用等方面已有较成熟的安全建设,但随着证券行业数字化发展加速,大量的数据通过API进行线上流动,流动数据的安全变得尤为重要,而这恰恰是现阶段证券行业数据安全建设相对薄弱的地方,近年来由于API管控不当导致数据泄露、恶意攻击等事件不在少数。

2021年,“券商巨头遭受黑客攻击致股价暴跌”的新闻在金融行业引起了不小的轰动,包括元大证券在内的多家券商的交易系统的API遭遇了猛烈的“撞库攻击”,大量用户的证券账号被暴力破解,随即被自动“下单”,大批量购买了港股股票,这些股票随即直线下跌,导致账号用户损失惨重。


同年,“证券公司员工当“内鬼”贩卖客户信息”的新闻也冲上了行业热搜,某证券公司员工利用工作之便,通过运营系统API违规获取公司客户信息,并进行售卖获利这些客户信息落到犯罪团伙手中,导致受害人遭受投资诈骗,造成严重的财产损失。

据永安在线情报系统捕获到的数据泄露事件来看,金融行业数据泄露一直排在前列,其中证券行业占比最多。数据泄露不仅会给企业客户带去严重的财产损失,还可能影响到整个金融秩序和稳定。对证券公司而言,因为泄漏客户数据会招致大量的投诉、法律处分或监管惩罚,经济和品牌声誉均会受损

那么,证券公司应如何做好API安全治理避免数据泄露事件发生呢?本文以某证券公司(B公司)为例,全面剖析该公司遇到的安全挑战和需求,并提供有效的解决方案。

在流动数据安全管理上

B公司面临“内忧外患”的局面

永安在线安全专家通过与B公司安全负责人深入了解发现,该公司在流动数据安全管理上面临“内忧外患”的局面:

1. 随着数字化发展,B公司开发了很多面向C端的数字应用,但由于“重业务轻安全”,很多新增的应用系统安全设计不够细致,一些系统的API接口存在未授权、越权等缺陷,攻击者利用这些缺陷轻松爬取用户资料、交易信息,或者利用撞库、扫号等攻击,窃取账号信息。

2. B公司的内部运营系统很多,既有自研系统,也有许多外部团队开发的系统(第三方系统)这些第三方系统的安全性难以保障,比如存在文件上传漏洞,或由于没有启动SSO统一的认证登录,登录API过多且部分存在弱密码属性,攻击者以这些漏洞为突破口打入了业务系统,这也是该公司在攻防演练中失分的原因。

3. B公司和其他证券企业一样,有大量的证券经纪人和客服工作者,这些人员基于工作需要可直接通过API接口访问业务系统,查看并下载用户敏感数据,个别人员可能为了获取更多利益,沦为“内鬼”非法窃取用户信息并售卖。由于缺乏有效的账号管理和行为审计,导致数据泄漏无法取证和溯源。

以情报能力构建API行为基线

助力证券行业流动数据安全防护

永安在线经过业务深入理解和多次调研,为B公司打造了一套以API为中心、以情报能力为核心技术的流动数据安全管理方案,整体分为三步走:

第一步:动态梳理API及账号资产;

第二步:持续检测系统API安全缺陷(未授权、越权等);

第三步:精准感知黑产攻击(扫号、撞库攻击等),及时监测异常数据访问和审计溯源。

1. 动态梳理API、流动数据、账号资产,全面了解系统资产安全状况

通过5层解析、过滤、规约过程,自动化梳理面向客户、内部员工、证券经纪人、客服、合作伙伴等场景下的API,建立完整API资产清单,及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况。

「安全效果」

API资产梳理:共梳理出API资产6878个,涉敏API 311个、僵尸API 236个、 缺陷API 161个。

进一步分析发现,B公司老旧系统存在大量已经不再使用却没有按规定下线的API,此类API由于缺少安全维护极容易被攻击。针对缺陷API进行逐一排查,发现存在被攻击或数据泄漏风险的API有34个。

另外,涉敏的311个API涉及了14类涉敏数据类型,包含密码、姓名,身份证、手机号、邮箱、账号等。

账号资产梳理:共梳理账号3521个,其中内部员工账号1373个,并存在不少数据泄漏隐患。

-->发现10个活跃度很低的僵尸账号,经核实账号的使用者已离职,但账号权限未回收,存在被非法滥用造成数据泄露的风险。

-->发现5个内部员工账号有违规盗取数据的行为,单日获取涉敏数据量大于同部门账号平均获取涉敏数据量的4倍,包含姓名,地址,邮箱等。

-->发现有Admin账号存在弱密码特征以及被违规借用的情况,单日内登录地点达到90个,作为管理员账号,登入地理位置过多,可能账号被共用或者盗用,存在严重的数据泄露风险。

2. 基于情报和攻防研究,持续、及时检测系统未授权、越权访问等高风险缺陷

在资产可见的基础上,还需对API在设计和开发方面的缺陷进行持续、全面评估,检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。

永安在线API安全管控平台基于特有的情报技术和攻防研究,可持续跟踪攻击者如何利用新型API漏洞进行攻击,并提取新型攻击面和攻击特征,持续优化API漏洞检测引擎,能及时覆盖最新的业务API逻辑漏洞和第三方组件、开源系统API的未授权漏洞等。

「安全效果」

API安全缺陷检测:

总共检测出20类309个安全缺陷,包括大量未授权访问、任意SQL注入、返回明文密码、密码明文传输、关键数据未脱敏等严重缺陷。

尤其是外部开发团队的系统存在过多未授权类缺陷,很容易被攻击者利用,造成严重的数据泄露。

3. 以精准情报为基础,及时感知API攻击和数据泄露风险

基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险,并将情报同步到WAF设备进行阻断

「安全效果」

API攻击风险感知:共监测到风险事件23起,涉及大量敏感信息爬取、撞库攻击等风险,存在严重的数据泄漏和数据出境风险

-->发现攻击者利用多个IP代理平台,如a****、Z****等,爬取了客户的账号信息,包括姓名、手机号、风险投资等级等。

-->发现攻击者利用境外IP6.6.*.**对某个系统API发起了5956次攻击,爬取了用户交易操作信息。

-->发现攻击者利用某数据中心IP发起了85569次撞库攻击,尝试获取账户登录信息。

此外,在今年的攻防演练中,帮助客户及时发现一起API被攻击的风险,攻击者利用存在任意文件上传缺陷的API发起攻击

自从使用了永安在线API安全管控方案,B公司实现了对系统全量API资产及敏感数据流动的安全把控对内外部员工数据访问和账号行为的全面审计,并基于永安在线独有的情报能力及时感知API攻击和数据泄露风险,切实构建可预防、可解释、可溯源的流动数据安全管理体系。