106黄志敏-应用数据安全主动防御（43页）.pdf

《106黄志敏-应用数据安全主动防御（43页）.pdf》由会员分享，可在线阅读，更多相关《106黄志敏-应用数据安全主动防御（43页）.pdf（43页珍藏版）》请在三个皮匠报告上搜索。

1、瑞数应用数据安全解决方案 应用数据安全主动防御瑞数信息 黄志敏34 2020年，网宿拦截了358.54亿次爬虫攻击，平均每秒发生约1134起，攻击量是2019年攻击量的3倍。2020年，恶意爬虫攻击有所上升。攻击源分布来看，恶意爬虫流量90%来自境内，来自海外的攻击同比减少。数据来源：网宿科技2020年中国互联网安全报告5 恶意爬虫是 API 攻击中最主要的攻击方式，占攻击总量的76.39%，与2019年的77.85%基本持平；过半的 API 攻击集中在政府机构和电子商务行业，占比分别为32.79%和21.16%。数据来源：网宿科技2020年中国互联网安全报告6数据来源：F5撞库攻击报告 在过

2、去五年中，报告的凭证泄露事件数量变化很大，但总体呈上升趋势 2020 年的凭证泄露总数仍然多达 18.6 亿。7中华人民共和国数据安全法，自2021年9月1日起施行；中华人民共和国个人信息保护法，自2021年11月1日起施行。数据来源：威瑞森数据泄露调查报告39%的数据泄露事件由Web攻击导致80%的数据泄露来自外部85%的数据泄露涉及人的因素39%80%85%61%的数据泄露牵涉登录61%82020年3月19日，媒体报道新浪微博因用户查询接口被恶意调用导致App数据泄露。新浪微博方面称此次数据泄露可追溯至2018年末，有用户非法调用App用户查询接口，通过批量上传手机通讯录匹配用户账号昵称，

3、并结合其他渠道获取的信息进行出售。9逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝 昵 称、手 机 号 码 等 淘 宝 客 户 信 息 共 计1180738048条；被告人逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用共计19712611条。在2020年7月6日到2020年7月13日时，通过mtop订单评价接口绕过平台风控批量爬取加密数据，爬取字段量巨大；7月6日至7月13日之间平均每天爬取数量500万。102021年10月5日，Apache官方发布一批漏洞信息，包含了该Apache HTTP Server路径穿越漏洞 CVE-2021-41773；攻击者可以通过

4、路径遍历攻击将url映射到预期文档根以外的文件，前提是Apache为2.4.49版本且文档根目录以外的文件不受“require all denied”保护；网络空间搜索数据，10月5日漏洞发布时，处于2.4.49版本的apache总数达到11万台，10月11号降至7万余台服务器。11业务战略合规责权划分数据控制权转移数据收集数据存储数据使用数据传输数据提供数据公开数据生命周期安全管理数据资产梳理数据分类分级确定数据安全策略数据风险评估数据保护与审计数据主动防御数据加密数据脱敏分析运营支撑工具数据发现、分类分级数据分布图识别发现认证、授权、访问控制加密、脱敏、匿名化管控保护攻击防护，风险分析环境

5、感知、行为分析告警、阻断检测响应数据安全项目要先从管理和业务开始，避免从技术开始数据安全策略要围绕数据全生命周期数据安全策略要结合数据属性和访问者权限设计灵活恰当的数据访问规则1、平衡业务需求与风险3、标识、优先级排序和管理数据集的生命周期2、数据分类定级4、部署安全产品5、定义安全策略数据加工传统数据安全治理，大多关注在内部数据上，数据安全法明确提出了两个之前不常出现的针对数据的处理“提供”、“公开”，这也成为对外开放性数据安全治理的重点，如：数据防爬、API数据泄露防护等。应用数据安全主动防御系统13Web/H5APP微信小程序API系统管理统一配置和管理个性化展示多租户支持一次性令牌客户

6、端合法性验证应用代码混淆数据传输混淆Cookie混淆运行环境侦测1数据共享丰富的API 接口第三方输入第三方输出全访问记录接入渠道客户端行为识别访问行为分析数据防爬数据传输保护API敏感数据管控身份信息防护系统功能核心技术14主动防御全息指纹智能分析动态响应动态引擎AI引擎业务无感知持续对抗内置多种数据安全模型全业务渠道关联分析多维度威胁信誉评级全息设备指纹用户行为分析精准采集、人机识别全访问记录、威胁透视动态封装动态验证动态混淆动态令牌动态挑战15全日志记录融合分析Web/H5访问API访问APP访问小程序访问动