群友晚上在群里抛了一个问题:
对于业务方应用日志里打印用户敏感信息比如身份证密码银行卡这些,安全人员该怎么擦屁股?
写一段,顺便更新一下。
在日志中,身份证、银行卡、手机号属于强特征的,密码属于弱特征的。所以应该分开来对待。
1、首先要有制度。保障事情能够顺利推进,出事之后有法可依。其中身份证、银行卡、手机号等用户敏感信息可能需要存储,除用户登录密码场景以外,没有强需求存储就应该禁止。
2、提供加密能力。可以提供敏感数据加密sdk,同时提供数据解密能力等。这一套可以完全用在业务过程中,例如前端加密等,或者如果有这个能力的话,完全复用。全面推动sdk的落地,其实推动完日志中还有明文最多就是漏网之鱼了。密码加密使用MD5 sha1等,且明文肯定不落盘,及时登录场景下的密码肯定是加密存储的。
3、日志采集,利用filebeat or logstash等采集, elk这一套,后分析完全是够得。如果想搞流式计算也是可行的,有钱能上splunk的金主肯定没有这个烦恼。
分析过程:强特征可以通过正则匹配。那弱特征的密码呢?通过正则肯定是无法分析的,其实是个难点。需要结合上下文信息进行判断。或者通过模型(误报会逼疯运营人员的)。
4、流量、rasp辅助。但是这方面会有一定的弊端,举个栗子,流量中挖掘到明文了,但是不一定会落盘形成日志。所以具体得看企业内部是如何规划的,比如api中出现的参数都不允许明文等等。