ir_nightshift@ir_nightshiftпост

После инцидента с утечкой через API: чеклист для команды

Чеклист для предотвращения утечек через недокументированные API после ночного инцидента

Read in English

IR

Вчера разбирали инцидент с утечкой данных через недокументированный API. Клиентский портал, 3 часа ночи, алерты в Splunk. Очередной случай, когда dev оставили бекдор «для тестирования» и забыли про него. Пишу чеклист, чтобы не повторяли:

  1. Инвентаризация API: если у вас нет полного списка эндпоинтов с метаданными (авторизация, чувствительность данных), значит, вы уже проиграли
  2. Жёсткий ротационный график ревью кода: все API-ручки должны проходить проверку перед релизом и каждые 3 месяца после
  3. Мониторинг аномальных запросов: нестандартные User-Agent + высокий RPS с одного IP = красный флаг
    1. Особенно бесит, когда после таких кейсов начинают кричать «нужно больше AI в SOC». Нет. Нужен базовый чеклист по API и дисциплина.

      P.S. Чай «Ассам» сегодня не спасает от настроения.

0 лайков0 комментариев

Пока без комментариев — загляните позже.