通過兩個數據泄露事件來分析數字政務在API安全上遇到的挑戰

一、先來看兩個真實的事件：

1、2022年1月，永安在線工具情報平臺發現了一款工具正在對某南方省會城市網上交管業務系統進行攻擊，這個工具利用了該政務系統注冊環節，某個API的實現邏輯問題，可以通過身份證號查詢到任意人的手機號

2、2022年2月，永安在線工具情報平臺發現一款工具正在對湖南某政務系統進行攻擊，同樣，也是可以通過身份證號獲取任意人的電話號碼

二、這兩個事件為什么會發生？

這兩個事件雖然是不同的業務系統，但問題發生的原因是相同的，原因我們可以分兩個維度來看：

1、首先最直接的原因是業務場景的實現需求，這兩個發生風險的API所實現的業務場景需求是相同的。

1）用戶輸入自己的身份證號

2）系統通過有安全缺陷的API來查詢對應的用戶真實手機號

3）系統直接給該手機號發送短信驗證碼

4）如果操作者是真的該身份證號擁有者，則輸入驗證碼完成身份驗證

可以說這個體驗是相當順滑的，但是問題出現在業務流程的實現過程中，稍不留意就會給攻擊者留下巨大的“后門”，在這里的第二步所用到的API就變成了攻擊者獲取公民個人信息的弱點。

2、其次，當前的政務數字化正處在第三階段，在這個階段，潛在的安全風險環境發生了質的變化。

整個政務的數字化可以分三個階段：

1）最早的階段是數據的數字化，是把紙質的數據變成電子的內容，這個階段下要考慮的是數據本身的存儲和權限管理

2）然后是政務內部的協同數字化，政務組織內部的多個團隊之間的協同和跨政務體系的協同，提升百姓百事效率，比如說以前要去兩個地方辦理的手續現在只需要一個地方了，這個就是由多個部門數字化后協同效率打開帶來的優化，這個時候安全要開始重視應用安全和權限管理，這些協同是在互聯網的協同，但這時候的風險環境并沒有發生質的變化。

3）而當前，為了進一步提升辦事效率，當前的政務數字化的重點是在業務流程的線上化，這時候帶來兩個巨大的變化，一個是這時候會直接改造個人辦事流程，流程的數字化會增加大量API，且這些API所包含的數據和邏輯更加復雜。其次，這些API都是公網的API，風險面的暴露是無限的。

這時候數字政務所面對的風險環境就發生了質的變化。這是為什么這兩個事件會發生的深層次原因。

三、那當前數字政務應該如何避免這類問題的發生？

1、首先，在開發環節就應該要規范API，包含的數據字段，以及不同數據字段敏感度級別的不同授權管控。在開發環節做好開發流程管理后，在測試環節和生產環境下，也需要反復的對API做驗證，確保所有API是按照該防范標準所運行。像英國的42crunch的API安全方案，就是從Devops環節為開始，在生產環境不斷的動態驗證API是否按照設計規范運行。在開發時維護好API Spec，在生產環境下通過旁路方式不斷驗證API的運行態是否匹配所對應的API Spec。

這種方式基礎且必要，但也有現實問題，就是開發環節的改造難度和落地執行的管理難度大。人的問題、流程的問題等等，周期長，同時也很難保證不再發生安全事故。

2、生產環境下的風險監測能力是當下階段的基礎設施

那有沒有一個產品可以在不改造開發流程，不增加人員管理成本的情況下，最大程度的避免風險事件的發生呢？

永安在線的API安全管控平臺就是以這樣的目標設計的。

API安全管控平臺有兩個核心模塊：

API資產管理：

會首先幫助業務梳理API資產，有多少API，以及API包含了哪些類型敏感數據，整個過程都是自動化且動態完成的，可以適應業務的變化。這是API安全管理的基礎。

API風險管理：

首先，對API資產做完整的風險評估，找出存在安全缺陷的API，展示缺陷細節，給企業提供一個管理API安全的視角。

其次，基于永安在線的情報能力，監測API架構的風險態勢，一旦有攻擊發生，有能力在第一時間發現且預警、阻斷，避免業務存在安全盲區，這是API安全管理的基礎設施。

四、還有什么需要關注的？

最后要提到的是現在API的分類有很多口徑，上面內容更多是基于近期我們發現的兩個事件展開說明下政務數字化所遇到的挑戰和解決思路。但實際上還有很多場景是沒有覆蓋到的，比如B2B類的API、企業內部系統API，數量都在快速增加，這類API也會有他們所遇到的安全管理難點，后續結合實際案例，我們會繼續這個話題。