2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。
医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。
Leo下载APP进行测试后,发现该医院存在一个严重的问题,可能导致百万级敏感数据泄露……
他发现医院APP存在GraphQL接口,可通过其自省功能获取所有API接口。
GraphQL是目前最为流行的查询语言之一,它能够让API变得轻巧、灵活,而且对于开发人员十分友好且方便他们进行快速开发。
但是它也容易放过、甚至给应用程序服务器带来各种恶意的查询。并且随着API普遍被使用,针对它的攻击尝试也在迅速增加。这意味着开发人员和API生产者保证他们的GraphQL API 安全至关重要。
在接下来对接口进行请求、测试的过程中,Leo更是发现了大量无需鉴权即可访问的API,可以直接获取病患身份、就诊信息等大量敏感数据,高达百万级。
除信息展示接口之外,Leo还发现存在大量未鉴权的数据修改API,通过这些API可以任意登录他人账号、修改他人信息,甚至修改APP链接进而实现投毒攻击。
不可忽视的API安全
实际上,这并非个例,近年来Web应用数据泄露案例层出不穷。比如说7亿多Linkedln用户的数据泄露,并在暗网被售卖;Parler网站涉及1000万用户超过60T的数据泄漏;Clubhouse泄露130万条用户记录……
究其根因,其实就是——API不够安全。
在千行百业数字化转型的背景下,API成为了数字化体验的中心,APP、Web网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。
不过,许多企业追求快速的API和应用程序交付,却并不了解自己拥有多少API,就更别提保证每个API都具备良好的访问控制策略,未知的僵尸API、未知的影子API、未知的敏感数据暴露等比比皆是。
腾讯云WAF-API助力企业管控敏感数据
如何帮助医院保障API安全,满足合规要求的同时防止敏感数据泄露呢?
治本求源,要想彻底收敛风险,首先需要深入了解医院存在大量敏感数据泄露风险的原因。随着智慧医疗的普及,医院和医疗机构越来越依赖于网络和Web应用程序来管理患者信息、诊断结果、药物处方等敏感数据。
而这些数据往往成为攻击者的目标,未经盘点的影子API、存在逻辑漏洞的API、未鉴权的API等,往往是攻击者窃取敏感数据的突破口。因此做好API 风险暴露面的识别与管控就是敏感数据的重中之重。
对症下药,腾讯安全专家为医院部署了腾讯云WAF-API安全,可以通过以下方式帮助医院有效管理API,防止敏感数据泄露:
1、资产全自动发现:腾讯云WAF-API安全能够实时分析业务访问流量,自动发现及识别业务流量中涉及的API资产及应用场景,帮助医院及时梳理并下线影子API、僵尸API,及时把控API暴露面,有效控制API暴露风险。
2、敏感数据防泄露:持续识别API暴露面信息,精准识别API中相关参数与类型,内置敏感数据识别规则,智能识别身份证、手机号等19种敏感参数信息,覆盖《个保法》提及的个人身份信息、财产信息、上网信息、位置信息等信息类型,防止敏感信息泄露,确保数据安全。
3、异常事件管控闭环:持续检测API存在的各类安全风险,覆盖登录动作异常、用户身份验证相关异常、API滥用、恶意调用接口消耗业务资源等类型风险事件,帮助医院分级分类处置风险,一键添加专家建议的处置规则,助力安全事件快速闭环,降低业务安全风险。
4、实时流量分析报表:总览医院的API资产、风险数量及变化趋势,助力企业可视化管理API全生命周期防护,及时感知并处置威胁。
通过使用腾讯云WAF-API安全,医院可以大大降低敏感数据泄露的风险,保障患者信息和医疗数据的安全,同时提高医院网络和Web应用程序的整体安全性。
