2023年4月的某一天,腾讯平安专家Leo正在为某家医院的重保防护做第一轮的平安危险排查。
医院的专用APP是内部网络拜访最高的,也就是最大的危险敞口,须要重点排查。
Leo下载APP进行测试后,发现该医院存在一个重大的问题,可能导致百万级敏感数据泄露……
他发现医院APP存在GraphQL接口,可通过其自省性能获取所有API接口。
GraphQL是目前最为风行的查询语言之一,它可能让API变得笨重、灵便,而且对于开发人员非常敌对且不便他们进行疾速开发。
然而它也容易放过、甚至给应用程序服务器带来各种歹意的查问。并且随着API广泛被应用,针对它的攻打尝试也在迅速减少。这意味着开发人员和API生产者保障他们的GraphQL API 平安至关重要。
在接下来对接口进行申请、测试的过程中,Leo更是发现了大量无需鉴权即可拜访的API,能够间接获取病患身份、就诊信息等大量敏感数据,高达百万级。
除信息展现接口之外,Leo还发现存在大量未鉴权的数据批改API,通过这些API能够任意登录别人账号、批改别人信息,甚至批改APP链接进而实现投毒攻打。
不可漠视的API平安
实际上,这并非个例,近年来Web利用数据泄露案例层出不穷。比如说7亿多Linkedln用户的数据泄露,并在暗网被售卖;Parler网站波及1000万用户超过60T的数据透露;Clubhouse泄露130万条用户记录……
究其根因,其实就是——API不够平安。
在千行百业数字化转型的背景下,API成为了数字化体验的核心,APP、Web网站和小程序等利用的外围性能、微服务架构等均离不开API的反对。
不过,许多企业谋求疾速的API和应用程序交付,却并不理解本人领有多少API,就更别提保障每个API都具备良好的拜访控制策略,未知的僵尸API、未知的影子API、未知的敏感数据裸露等亘古未有。
腾讯云WAF-API助力企业管控敏感数据
如何帮忙医院保障API平安,满足合规要求的同时避免敏感数据泄露呢?
治标求源,要想彻底收敛危险,首先须要深刻理解医院存在大量敏感数据泄露危险的起因。随着智慧医疗的遍及,医院和医疗机构越来越依赖于网络和Web应用程序来治理患者信息、诊断后果、药物处方等敏感数据。
而这些数据往往成为攻击者的指标,未经盘点的影子API、存在逻辑破绽的API、未鉴权的API等,往往是攻击者窃取敏感数据的突破口。因而做好API 危险裸露面的辨认与管控就是敏感数据的重中之重。
隔靴搔痒,腾讯平安专家为医院部署了腾讯云WAF-API平安,能够通过以下形式帮忙医院无效治理API,避免敏感数据泄露:
1、资产全自动发现:腾讯云WAF-API平安可能实时剖析业务拜访流量,主动发现及辨认业务流量中波及的API资产及利用场景,帮忙医院及时梳理并下线影子API、僵尸API,及时把控API裸露面,无效管制API裸露危险。
2、敏感数据防泄露:继续辨认API裸露面信息,精准辨认API中相干参数与类型,内置敏感数据辨认规定,智能辨认身份证、手机号等19种敏感参数信息,笼罩《个保法》提及的个人身份信息、财产信息、上网信息、地位信息等信息类型,避免敏感信息泄露,确保数据安全。
3、异样事件管控闭环:继续检测API存在的各类平安危险,笼罩登录动作异样、用户身份验证相干异样、API滥用、歹意调用接口耗费业务资源等类型危险事件,帮忙医院分级分类处理危险,一键增加专家建议的处理规定,助力安全事件疾速闭环,升高业务平安危险。
4、实时流量剖析报表:总览医院的API资产、危险数量及变化趋势,助力企业可视化治理API全生命周期防护,及时感知并处理威逼。
通过应用腾讯云WAF-API平安,医院能够大大降低敏感数据泄露的危险,保障患者信息和医疗数据的平安,同时进步医院网络和Web应用程序的整体安全性。
近日,腾讯平安重磅降级WAF-API平安能力,为了助力企业晋升数字平安免疫力,即日起限时凋谢Web利用防火墙、API平安收费试用,高级版及以上版本客户,能够收费试用15天API平安模块。
点击浏览链接,一键中转腾讯云WAF-API操作文档。
https://cloud.tencent.com/document/product/627/79101