梆梆资讯
数据化浪潮之下的移动应用安全该怎么做?
2019-05-22
2018年是一个让人无法忘记的年份,在这一年3000万Facebook用户数据泄露、十几亿条快递信息泄露、2.4亿条酒店入住信息泄露、900万条某网站用户数据信息泄露、超过2亿份个人简历数据泄露,临近过年有超过400万条12306用户数据被挂暗网售卖,太多太多的负面消息让网络安全、数据安全、移动端安全得到了前所未有的关注。
据统计,我国2018年网民数量达到了8.29亿,其中98.6%是手机网民,截止2018年12月,我国手机App总量达到449万款。很明显449万款App的安全就是8亿手机网民的安全,总有人在背后守候这份安全。
谁在背后守护这份安全呢?近日,移动支付网记者对梆梆安全进行了采访。
梆梆安全的六块安全防护“无限宝石”
中国有449万款App,这个数据来自于工信部在2月发布的《2018年互联网和相关服务业经济运行情况》,想要守护App安全,最好的办法就是身在其中,但是449万款App中没有一款属于梆梆安全。
要想知道在449万款App中梆梆安全在哪里,我们首先要知道梆梆安全是做什么的。
在采访中,记者了解到梆梆安全是做应用程序加固起家的,2010年成立公司;2011年提出“应用加固”;2013年定位于应用安全服务提供商;然后一步步走到了今天。
应用程序在发布之后,总会碰到破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各种攻击,应用安全加固就是在程序发布之前使用各种技术手段保护程序不受到攻击的影响。当然,随着时代的不断变化,对安全的需求不断刷新,梆梆安全也在不断进步。
现在梆梆安全有“泰固”、“泰聚”、“泰镜”、“泰知”、“泰睿”、“泰极”六大产品服务平台。六大产品服务平台的关系有点像无限宝石,每一个都针对一个方面,并在那个方面做到了最好,如果只用其中一个或者几个必然会出现漏洞,但是六个合到一起就成了梆梆安全守卫移动应用安全的无敌力量。
简单来说,如果应用程序是一座座城市,那么梆梆安全的工作就是给这座城市建造牢固的城墙、高耸的瞭望搭、训练士兵和警察。所以在449万款App中,你不可能发现梆梆安全的身影,但是它确实存在于最需要它的地方,守护安全的屏障。
激变时代,随处可见的安全风险
社会总是在不断的进步当中,我们从电气化时代进入了信息化时代,现在从信息化时代看到了数据化时代,在这个时代变化的前夕,什么东西都来得很突然,比如说科技在各个领域带来的变革,还有这些变革带来的风险。
在金融领域,变革的速度总是会比其他领域快一些。变革带来的利益是显而易见的,大数据、即时通讯、生物识别等等技术的使用使金融业务的成本大幅降低,效率则是成倍上升,各种金融App层出不穷,开放银行的概念大行其道,但是其中的风险也不小。
开放银行实际上是银行业数字化转型的一种表现形式,开放银行提倡“数据”“服务”的共享、融合、开放。无论是“数据”还是“服务”的共享、开放无疑其中都会包含大量的风险。
梆梆安全的专业人士告诉记者,在共享、融合、开放过程中银行传统的IT服务架构会出现变化,通过SDK/API的形式对第三方合作伙伴开放数据和服务将成为常态。在这个过程中数据泄露风险会大大增加,同时由于部分代码运行在第三方合作伙伴的程序中,如何建立第三方接入单位的接入筛查、接入后监控将成为重点。
金融App则是另外一个重点,从技术角度来看,金融类App和其他类型App并没有本质的不同。单从商业价值角度来看,金融类的App涉及到资金、隐私数据较多,是黑客关注的重点领域,重点关注之下,暴露出来的问题就更多。由于其业务类型的特殊性,需要特别关注运行环境可信、未知业务漏洞等方面安全问题。
但不论是运行环境还是业务漏洞都属于不可控变量,没有人能确保业务一定没有漏洞,也没有人能确保运行环境一定安全可信,金融领域的安全追求的是更加安全,因为黑灰产随时可能发动攻击,一旦顺着漏洞攻破防线带来的后果将是无法想象的。
“在运动中消灭敌人”,梆梆安全在安全领域的“运动战”逻辑
无法控制的运行环境、无法根除的业务漏洞、随时可能发生的黑灰产攻击是现在移动应用,特别是金融领域App、互联网金融面临三大难题。面对这三大难题,梆梆安全提出了自己的解决方案。
梆梆安全认为,传统的静态防御已经不足以满足现在的安全新需求,他们更强调动态监测机制,通过运行过程中持续的动态监测,监测应用发布后可能存在的一切“渗透测试”行为,通过监测渗透测试行为,通过感知渗透测试行为,提前阻断,能够精准的预防可能发生的业务漏洞造成的业务损失。
在移动应用安全的攻防战场上,信息感知是十分重要的,以往的静态防御后知导致后觉,后觉的结果就是造成损失。梆梆安全提出的动态监测、态势感知、代码运行时安全监控让安全防御处于动态当中,整个过程让记者想起来毛主席的一句话:“在运动中消灭敌人。”
守护数据安全是移动应用程序防御的首要目标,近年来,随着监管机构和公众对于个人隐私的重视,数据采集的合规性问题,成为数据安全中一个重要的环节。梆梆安全特别指出,目前主流的数据保护技术都关注的是数据采集后的安全问题,对于数据采集阶段的安全性问题是相对空白的领域。
在最后,记者就市监总局和网信办决定开展App安全认证工作向梆梆安全询问看法,梆梆安全表示:“国家在监管方面将越来越严厉,同时我们是否做好自身App的安全,对App安全做静态、动态的安全检测,包括运行中的威胁检测与防御,就将成为广大App运营者的一个新课题。”
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1