2020年中,一名白帽子在GitHub上发现了某新能源车企的一个后台系统所使用的凭据,该凭据简单使用了Base64加密。虽然该凭据并不能直接登录对应的后台系统,但是白帽子通过掌握到的API列表,成功找到几个没有鉴权的接口,通过这些接口,可以批量获取后台数据。
这次潜在危机本应该敲响警钟,但是2020年8月,该车企又遇到了同类安全事件。车主爆料,自己的车辆管控APP上竟然出现了几辆别人的车。虽然车主反馈给车企之后,车企默默修复了该问题。白帽子们通过分析,一致认为该问题又是一起典型的接口缺少鉴权的漏洞。
随着云服务的兴起,传统的企业架构形成了当前比较常见的云+本地的混合部署形态,网络架构也朝混合部署转变,传统的安全防御已不足以应对混合部署下的威胁。
攻防的本质是信息不对称,而漏洞的本质是数据出入口缺少有效控制。在当前的混合部署形势下,“我知道我的企业资产有哪些出入口有问题”就显得极为重要。
行业痛点:盘点自家到底有“多少钱”
这个问题该如何解决,各个企业都有自己的探索与实践。不过在阿里安全看来,问题的根本是企业无法实时掌握自己的资产,尤其是混部结构下的资产。就是我“不知道”我有这些接口,或者我“不知道”这些接口存在安全问题。
当然,知道了我有哪些出入口,还远远不够,当评估业务风险时,又会发现一堆问题都没有得到答案:
l 风险有多大?影响面是多少?
l 现在的防护策略覆盖了多少?
l 如何判断策略是否有效?
l 是否还有遗漏在外的资产?
l 还有多少可提升的空间?
这一系列问题需要用具体的安全数据来回答,但是现实情况一点
最低0.47元/天 解锁文章
扫一扫
309
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
