激變時代,隨處可見的安全風(fēng)險!梆梆的六塊安全防護(hù)“無限寶石”

2018年是一個讓人無法忘記的年份，在這一年3000萬Facebook用戶數(shù)據(jù)泄露、十幾億條快遞信息泄露、2.4億條酒店入住信息泄露、900萬條某網(wǎng)站用戶數(shù)據(jù)信息泄露、超過2億份個人簡歷數(shù)據(jù)泄露，臨近過年有超過400萬條12306用戶數(shù)據(jù)被掛暗網(wǎng)售賣，太多太多的負(fù)面消息讓網(wǎng)絡(luò)安全、數(shù)據(jù)安全、移動端安全得到了前所未有的關(guān)注。

據(jù)統(tǒng)計，我國2018年網(wǎng)民數(shù)量達(dá)到了8.29億，其中98.6%是手機(jī)網(wǎng)民，截止2018年12月，我國手機(jī)App總量達(dá)到449萬款。很明顯449萬款A(yù)pp的安全就是8億手機(jī)網(wǎng)民的安全，總有人在背后守候這份安全。

誰在背后守護(hù)這份安全呢？近日，移動支付網(wǎng)記者對梆梆安全進(jìn)行了采訪。

梆梆的六塊安全防護(hù)“無限寶石”

中國有449萬款A(yù)pp，這個數(shù)據(jù)來自于工信部在2月發(fā)布的《2018年互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)經(jīng)濟(jì)運(yùn)行情況》，想要守護(hù)App安全，最好的辦法就是身在其中，但是449萬款A(yù)pp中沒有一款屬于梆梆安全。

要想知道在449萬款A(yù)pp中梆梆安全在哪里，我們首先要知道梆梆安全是做什么的。

在采訪中，記者了解到梆梆安全是做應(yīng)用程序加固起家的，2010年成立公司；2011年提出“應(yīng)用加固”；2013年定位于應(yīng)用安全服務(wù)提供商；然后一步步走到了今天。

應(yīng)用程序在發(fā)布之后，總會碰到破解、篡改、盜版、釣魚欺詐、內(nèi)存調(diào)試、數(shù)據(jù)竊取等各種攻擊，應(yīng)用安全加固就是在程序發(fā)布之前使用各種技術(shù)手段保護(hù)程序不受到攻擊的影響。當(dāng)然，隨著時代的不斷變化，對安全的需求不斷刷新，梆梆安全也在不斷進(jìn)步。

現(xiàn)在梆梆安全有“泰固”、“泰聚”、“泰鏡”、“泰知”、“泰睿”、“泰極”六大產(chǎn)品服務(wù)平臺。六大產(chǎn)品服務(wù)平臺的關(guān)系有點像無限寶石，每一個都針對一個方面，并在那個方面做到了最好，如果只用其中一個或者幾個必然會出現(xiàn)漏洞，但是六個合到一起就成了梆梆安全守衛(wèi)移動應(yīng)用安全的無敵力量。

簡單來說，如果應(yīng)用程序是一座座城市，那么梆梆安全的工作就是給這座城市建造牢固的城墻、高聳的瞭望搭、訓(xùn)練士兵和警察。所以在449萬款A(yù)pp中，你不可能發(fā)現(xiàn)梆梆安全的身影，但是它確實存在于最需要它的地方，守護(hù)安全的屏障。

激變時代，隨處可見的安全風(fēng)險

社會總是在不斷的進(jìn)步當(dāng)中，我們從電氣化時代進(jìn)入了信息化時代，現(xiàn)在從信息化時代看到了數(shù)據(jù)化時代，在這個時代變化的前夕，什么東西都來得很突然，比如說科技在各個領(lǐng)域帶來的變革，還有這些變革帶來的風(fēng)險。

在金融領(lǐng)域，變革的速度總是會比其他領(lǐng)域快一些。變革帶來的利益是顯而易見的，大數(shù)據(jù)、即時通訊、生物識別等等技術(shù)的使用使金融業(yè)務(wù)的成本大幅降低，效率則是成倍上升，各種金融App層出不窮，開放銀行的概念大行其道，但是其中的風(fēng)險也不小。

開放銀行實際上是銀行業(yè)數(shù)字化轉(zhuǎn)型的一種表現(xiàn)形式，開放銀行提倡“數(shù)據(jù)”“服務(wù)”的共享、融合、開放。無論是“數(shù)據(jù)”還是“服務(wù)”的共享、開放無疑其中都會包含大量的風(fēng)險。

梆梆安全的專業(yè)人士告訴記者，在共享、融合、開放過程中銀行傳統(tǒng)的IT服務(wù)架構(gòu)會出現(xiàn)變化，通過SDK/API的形式對第三方合作伙伴開放數(shù)據(jù)和服務(wù)將成為常態(tài)。在這個過程中數(shù)據(jù)泄露風(fēng)險會大大增加，同時由于部分代碼運(yùn)行在第三方合作伙伴的程序中，如何建立第三方接入單位的接入篩查、接入后監(jiān)控將成為重點。

金融App則是另外一個重點，從技術(shù)角度來看，金融類App和其他類型App并沒有本質(zhì)的不同。單從商業(yè)價值角度來看，金融類的App涉及到資金、隱私數(shù)據(jù)較多，是黑客關(guān)注的重點領(lǐng)域，重點關(guān)注之下，暴露出來的問題就更多。由于其業(yè)務(wù)類型的特殊性，需要特別關(guān)注運(yùn)行環(huán)境可信、未知業(yè)務(wù)漏洞等方面安全問題。

但不論是運(yùn)行環(huán)境還是業(yè)務(wù)漏洞都屬于不可控變量，沒有人能確保業(yè)務(wù)一定沒有漏洞，也沒有人能確保運(yùn)行環(huán)境一定安全可信，金融領(lǐng)域的安全追求的是更加安全，因為黑灰產(chǎn)隨時可能發(fā)動攻擊，一旦順著漏洞攻破防線帶來的后果將是無法想象的。

“在運(yùn)動中消滅敵人”，梆梆安全在安全領(lǐng)域的“運(yùn)動戰(zhàn)”邏輯

無法控制的運(yùn)行環(huán)境、無法根除的業(yè)務(wù)漏洞、隨時可能發(fā)生的黑灰產(chǎn)攻擊是現(xiàn)在移動應(yīng)用，特別是金融領(lǐng)域App、互聯(lián)網(wǎng)金融面臨三大難題。面對這三大難題，梆梆安全提出了自己的解決方案。

梆梆安全認(rèn)為，傳統(tǒng)的靜態(tài)防御已經(jīng)不足以滿足現(xiàn)在的安全新需求，他們更強(qiáng)調(diào)動態(tài)監(jiān)測機(jī)制，通過運(yùn)行過程中持續(xù)的動態(tài)監(jiān)測，監(jiān)測應(yīng)用發(fā)布后可能存在的一切“滲透測試”行為，通過監(jiān)測滲透測試行為，通過感知滲透測試行為，提前阻斷，能夠精準(zhǔn)的預(yù)防可能發(fā)生的業(yè)務(wù)漏洞造成的業(yè)務(wù)損失。

在移動應(yīng)用安全的攻防戰(zhàn)場上，信息感知是十分重要的，以往的靜態(tài)防御后知導(dǎo)致后覺，后覺的結(jié)果就是造成損失。梆梆安全提出的動態(tài)監(jiān)測、態(tài)勢感知、代碼運(yùn)行時安全監(jiān)控讓安全防御處于動態(tài)當(dāng)中，整個過程讓記者想起來***的一句話：“在運(yùn)動中消滅敵人。”

守護(hù)數(shù)據(jù)安全是移動應(yīng)用程序防御的首要目標(biāo)，近年來，隨著監(jiān)管機(jī)構(gòu)和公眾對于個人隱私的重視，數(shù)據(jù)采集的合規(guī)性問題，成為數(shù)據(jù)安全中一個重要的環(huán)節(jié)。梆梆安全特別指出，目前主流的數(shù)據(jù)保護(hù)技術(shù)都關(guān)注的是數(shù)據(jù)采集后的安全問題，對于數(shù)據(jù)采集階段的安全性問題是相對空白的領(lǐng)域。

在最后，記者就市監(jiān)總局和網(wǎng)信辦決定開展App安全認(rèn)證工作向梆梆安全詢問看法，梆梆安全表示：“國家在監(jiān)管方面將越來越嚴(yán)厲，同時我們是否做好自身App的安全，對App安全做靜態(tài)、動態(tài)的安全檢測，包括運(yùn)行中的威脅檢測與防御，就將成為廣大App運(yùn)營者的一個新課題。”