群友晚上在群里拋了一個問題:
對於業務方應用日志里打印用戶敏感信息比如身份證密碼銀行卡這些,安全人員該怎么擦屁股?
寫一段,順便更新一下。
在日志中,身份證、銀行卡、手機號屬於強特征的,密碼屬於弱特征的。所以應該分開來對待。
1、首先要有制度。保障事情能夠順利推進,出事之后有法可依。其中身份證、銀行卡、手機號等用戶敏感信息可能需要存儲,除用戶登錄密碼場景以外,沒有強需求存儲就應該禁止。
2、提供加密能力。可以提供敏感數據加密sdk,同時提供數據解密能力等。這一套可以完全用在業務過程中,例如前端加密等,或者如果有這個能力的話,完全復用。全面推動sdk的落地,其實推動完日志中還有明文最多就是漏網之魚了。密碼加密使用MD5 sha1等,且明文肯定不落盤,及時登錄場景下的密碼肯定是加密存儲的。
3、日志采集,利用filebeat or logstash等采集, elk這一套,后分析完全是夠得。如果想搞流式計算也是可行的,有錢能上splunk的金主肯定沒有這個煩惱。
分析過程:強特征可以通過正則匹配。那弱特征的密碼呢?通過正則肯定是無法分析的,其實是個難點。需要結合上下文信息進行判斷。或者通過模型(誤報會逼瘋運營人員的)。
4、流量、rasp輔助。但是這方面會有一定的弊端,舉個栗子,流量中挖掘到明文了,但是不一定會落盤形成日志。所以具體得看企業內部是如何規划的,比如api中出現的參數都不允許明文等等。