业务方|大型车企隐秘接口连续被泄露我们该如何盘点公司资产_

本文为投稿作品作者：阿里安全安全专家郑虔
2020年中，一名白帽子在GitHub上发现了某新能源车企的一个后台系统所使用的凭据，该凭据简单使用了Base64加密。虽然该凭据并不能直接登录对应的后台系统，但是白帽子通过掌握到的API列表，成功找到几个没有鉴权的接口，通过这些接口，可以批量获取后台数据。
这次潜在危机本应该敲响警钟，但是2020年8月，该车企又遇到了同类安全事件。车主爆料，自己的车辆管控APP上竟然出现了几辆别人的车。虽然车主反馈给车企之后，车企默默修复了该问题。白帽子们通过分析，一致认为该问题又是一起典型的接口缺少鉴权的漏洞。
随着云服务的兴起，传统的企业架构形成了当前比较常见的云+本地的混合部署形态，网络架构也朝混合部署转变，传统的安全防御已不足以应对混合部署下的威胁。
攻防的本质是信息不对称，而漏洞的本质是数据出入口缺少有效控制。在当前的混合部署形势下，“我知道我的企业资产有哪些出入口有问题”就显得极为重要。
行业痛点：盘点自家到底有“多少钱”这个问题该如何解决，各个企业都有自己的探索与实践。不过在阿里安全看来，问题的根本是企业无法实时掌握自己的资产，尤其是混部结构下的资产。就是我“不知道”我有这些接口，或者我“不知道”这些接口存在安全问题。
当然，知道了我有哪些出入口，还远远不够，当评估业务风险时，又会发现一堆问题都没有得到答案：
? 风险有多大？影响面是多少？
? 现在的防护策略覆盖了多少？
? 如何判断策略是否有效？
? 是否还有遗漏在外的资产？
? 还有多少可提升的空间？
这一系列问题需要用具体的安全数据来回答，但是现实情况一点都不乐观。
不同类型的资产数据散落在各条业务线，一是很难搜集整合，二是很难理解消化，同时很难进行整体沉淀经验，不同业务线之间很难复用彼此的业务结果。
我们在期待这样的“天使同事”，她手里有我需要的所有“资产数据”，已经帮我把数据都关联解析完毕，还能根据自己支撑的业务场景，对数据进行了沉淀与打标，你可以完全复用她的方法论，不但可以直接用，还可以根据需要自由组合。
【业务方|大型车企隐秘接口连续被泄露我们该如何盘点公司资产】“资产蓝图”就致力于成为这样的“天使同事”。
资产蓝图的解法2020年3月，阿里巴巴发布了数字基建新一代安全架构。在新的安全架构下，我们重新思考安全防御该如何走的时候，急需一个能用数据说明的可量化驱动系统提供数据输入。这个系统最大的目标就是用数据驱动安全防御走向，这就是蓝图诞生的背景。
蓝图是一个资产采集系统，专注于梳理、盘点、管理大型企业内网资产，可用于发现企业内网的各类基础资产信息、资产指纹、资产间的数据流动血缘；并提供了多维度标签的资产清单，发布成为标签资产目录，以满足业务提出的各类分析应用需求的快速搭建，让资产流动起来，利用起来，让数据从业务中而来，最终为业务所用。

文章插图
“蓝图”的建设目前经历了四个阶段：
第一阶段，基础资产盘点，需要盘点清楚资产范围、状态、安全防控情况，并了解企业内部的主机、应用、存储、中间件、供应链、源代码、权限等等相关资源。
第二阶段，关联资产盘点，需要盘点不同类节点资产之间的访问关系、关联关系。
第三阶段，血缘资产盘点，需要分析数据在南北向（网络边界从外到内）、东西向（跨应用资源、跨节点访问）的流动路径，画出资产间的边界范围和链路血缘流动关系。