2021年6月10日，《中華人民共和國數據安全法》正式公布，將于9月1日開始實施。《數據安全法》強調了企業在保護數據安全中應承擔的責任：企業需要制定相關制度來保障數據安全，補救數據安全風險，上報數據安全事件。如拒不遵守法律或釀成重大數據泄露事故，企業將被處以十萬元以上、一百萬元以下的罰款，直接負責的主管人員和其他直接責任人員，則將被處一萬元以上、十萬元以下罰款。如果企業中存在大量數據，安全運維人員必須認真對待這些法律法規，因為一旦發生數據泄露事件，受處罰的不光是企業，還有直接責任人。

[[405273]]

TDP是微步在線旗下情報驅動的新一代網絡流量檢測與響應（NDR）產品，基于旁路流量的全方位威脅檢測與響應平臺，廣泛覆蓋傳統僵木蠕、APT、Web 和非 Web 攻擊、業務風險挖掘、資產梳理。一直以來，微步在線都會陸續收到金融、互聯網等行業客戶的咨詢：“你們TDP能防止敏感數據泄露嗎？”今天就來拆解一下TDP的資產&風險模塊中防止數據泄露的功能。

流量被動監聽發現所有API接口

“你知道的不知道的API我都知道”

敏感數據泄露的最主要途徑就是API接口。然而實際工作中想做好對接口的管理，是一件很難的事。企業的安全運維人員往往難以回答這幾個問題：

1. 企業現在有多少接口？這些接口中究竟有多少個能被爬取敏感信息？
2. 這些接口中是否有不該對外暴露，但能被爬取到的？
3. 就現在，企業的敏感信息接口是否在對外傳輸數據，傳出了什么數據？

有資產的地方就有風險，TDP通過旁路鏡像的方式監測企業各處資產的流量，從而發現潛在的數據泄露風險。在TDP接入了企業網絡的所有出口流量后，對該企業所有API接口的摸排就開始持續進行，順著流量，TDP可以發現被企業忽略或未納入管理的對外接口，還能夠實時展現接口是否傳輸了敏感信息。安全運維人員在發現敏感信息泄露時，可以根據TDP給出的用戶IP進行封禁等處理。

接口被排查清楚后，企業安全運維人員就可以使用TDP的“明文敏感信息”和“API風險”兩個功能，可以防止信息泄露，同時也可反爬蟲。

明文敏感信息功能：

“我知道誰一秒前拖走了什么！”

根據用戶業務特點，TDP把郵箱、手機、身份證號、銀行卡號定義為敏感信息，為了防止“2年11.8億”的事故重現，TDP有對明文敏感信息的監測機制：

1.如果有接口返回明文敏感信息，TDP的界面中就會留下記錄；

2.TDP會用字段和代碼展示用戶訪問和返回了哪些明文敏感信息，同時也會記錄用戶的IP、訪問次數等信息；

對所有信息解讀以后，能夠得出一個完整故事：

在某地IP為***.***.*.*的某人

在時段2021/06/08 16:00時

拿到了郵箱/手機/身份證/銀行卡 等明文敏感信息。

并且，安全運維人員能看到返回內容的具體代碼，對細節有更清晰的了解。

接下來，只需對相關IP進行排查即可真相大白：若是內部正常業務，則放行，若內部主機存在風險，則查殺，若是通過威脅情報確認了這是黑客/黑產的IP，輕則封禁，重則報警。

API風險功能：

“在我的接口反復橫跳，你是不是有問題？”

有些黑灰產需求的并不是企業的敏感數據，而是企業日常業務中產生的數據，如企業信息數據、新聞稿件等，他們也會對業務接口進行大量的爬取，如果爬取次數過多，可能會導致網站崩潰等后果。所以，在業務接口反復橫跳的行為，也很受安全人員關注。

TDP也有對API接口風險的監測機制：

1.TDP會監測企業API接口的訪問次數，并用訪問次數和時間段來形成趨勢圖；

2.TDP也會監測所有用戶訪問企業API的總次數，并可以展示單個用戶的訪問數是否過多，同時，單個用戶返回的數據將以JSON格式展現；

同樣，對所有信息進行解讀后，也能得到一個完整的故事：

在某地IP為***.***.*.*的某人

在時段2021/06/08 16:00時

訪問頻次比普通用戶高 4.5 倍，累計訪問了 124500 次

爬取到了JSON格式的某些信息。

接下來，只需對相關IP進行排查即可真相大白：若是內部正常業務，則放行，若內部主機存在風險，則查殺，若是通過威脅情報確認了這是外部違規爬蟲的IP，則封禁處理。

TDP還能監測哪些風險？

我們認為，企業資產中有三種風險最值得注意：登錄風險、數據泄露風險和API風險，TDP通過鏡像旁路流量，可以用被動監聽的方式發現企業可能成為攻擊面的終端、登錄后臺、端口，同時也可以發現哪些賬號存在弱口令、哪些登錄行為比較可疑等，此外TDP還能防范撞庫、DDoS攻擊等常見的業務風險。