企业中的API安全治理如何落地实践？如何防护让域控DC更加安全？｜总第204周

‍‍

0x1本周话题TOP2

话题1：企业中的API安全治理如何落地实践，包括API资产的梳理（增量，存量），包括其他的一些风险和异常监控，以及验签，脱敏等等。

A1：可以利用出口镜像流量，部署api监测系统。

A2：目前探针、镜像流量和代理应用三种方式都有商业化的产品和方案，还有类似rasp的产品应该也可以实现。

Q1：探针的这个具体的实现方式是什么？类似IAST那种吗？agent的形式，感觉还是对业务有影响的。

A3：嗯嗯，最简单的是流量分析，探针和代理业务量大推动难度大，但效果会好一些。

A4：或者和pinpoint这种全链路监控使用一个agent，并且数据也沿用他们采集上来的，应该影响小点。

A5：商用产品：镜像流量 + nginx agent；全链路监控侧重故障分析，如报错、高延迟场景下的数据采样，可能会不全。

A6：探针有几种形式：在交换上做抓包的，优点是侵入性最小，缺点是ssl包抓不到，而且丢失率较高。有串联的，采集率提升了，缺点是流量大会打挂，并且也解不了很多ssl。有agent形式，缺点是agent没法直接拿到服务状态，峰值时期会干挂服务。还有定制化sdk进基础组件，优点是可自动降级，而且丢失率最低，缺点是要定制开发。

用什么探针也要看你目标场景，如果只是为了做API管理（有什么资产、包含什么数据、谁访问了）那流量镜像抓可以解决7、80%的问题了，但如果要考虑溯源问题（某条数据是什么时间泄漏的）那就得侵入性强一些，尽量保证流量召回率。

A7：那如果是非自研情况下，有哪比较OK的方案可以落地，例如利用开源和部分二开定制的。

Q2：如果报文做了一层应用层加密，这种场景用流量方式好落地吗？

A8：这种方式抓应用日志合适点。

Q3：对于api安全，各位是用专用api监控防护产品还是用态势感知来监控api？

A9：专用api监控防护产品，即有一大堆的规则来防护api。

A10：API防火墙，用了个所谓的API网关，其实就是个代理服务器。

A11：专门的api监控产品你要串进去就是又多了一个风险点，不串进去现在很多加密流量都解不了，而且起不到防护的作用。

A12：api监控产品，有通过流量镜像方式，然后专门识别API接口的调用和回包数据报文，针对捕获的流量，进行API接口的规则监控和告警，识别高风险接口和敏感数据接口；我们之前测试过，产品扛不住大流量，后作罢。

A13：是不是给你们测试设备的配置问题，这个是可以加的，目前这个产品最大的问题就是加密流量的问题，这个目前还没听说有什么好的方法。

A14：我们有ssl卸载产品，给一份解密后的流量就可以了，测试也是2年前了，估计厂家应该优化了吧，我们最后在soc上做了些规则监控，暂时也算能监控下敏感信息了。

A15：在基础安全的视角，确实不需要专门api安全产品。 api安全解决的是数据安全和业务安全问题。因为数据安全的思想，不止于防护异常。在大多数内鬼行为行为是符合预期的，不会产生告警，只是最终把数据泄漏出去了，就需要去判断数据从哪里来的。或者是反欺诈这类业务风险。这个时候api安全产品的价值才展现出来。

话题二：针对DC（Domain Controller）的安全防护，老师们有什么好的方案吗？

A1：自己收日志，分析日志，做规则预警，或者买商业产品。

A2：一些基线的检测，补丁安装，管理员账户，各种写和委派权限的管理。

A3：可用HIDS来做定时的离线和漏洞检测，也能做虚拟补丁，主要是DC就得在域内暴露445端口，而445和相关的smb冷不丁就有新的漏洞。

A4：检查下 ADCS，微软AD域控的证书服务器错误配置容易导致域控失陷技术，错误的CS配置问题很大，需要对ADCS进行有效加固。可以自查AD域控中是否存在CS证书配置错误，建议有条件的可以自己跑一下，如果看到有配置错误的输出报告，需要谨慎对待：https://github.com/GhostPack/PSPKIAudit。

如果需要再更进一步审查 AD 的 ACL 权限等问题可以采用 Locksmith 进行检查：https://github.com/TrimarcJake/Locksmith。

还有若有用到 SCCM 的，今年攻击重点肯定利用 SharpSCCM 进行攻击，有兴趣的可以自行验证，妥妥拿到 SCCM 账号。

A5：有个开源的域流量日志分析系统，WatchAD，功能比较完善。基本的攻击都能覆盖，也可以做二开。

A6：误报高到不想看，漏报才是致命一击，有条件还是上商业域控监控产品吧。

Q：策略检查、日志监控。架构上呢？

A7：微软本身给的就要AD安全基线，能把微软的安全建议做好，基本问题不大。参考微软官方提供的加固https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory。

A8：普通用户终端禁用powershell可减少大部分的远程命令执行。Domain Users本身用不到PowerShell的功能，CMD都少，针对Domain Users禁用PowerShell对终端影响几乎为0。软件安装能做到统一从wdt或者sccm下发，你把cmd禁用了对他们都没影响，组策略右键功能其实也可以禁用了，如果你是互联网企业就两说。