激變時(shí)代,隨處可見(jiàn)的安全風(fēng)險(xiǎn)!梆梆的六塊安全防護(hù)“無(wú)限寶石”

2018年是一個(gè)讓人無(wú)法忘記的年份，在這一年3000萬(wàn)Facebook用戶數(shù)據(jù)泄露、十幾億條快遞信息泄露、2.4億條酒店入住信息泄露、900萬(wàn)條某網(wǎng)站用戶數(shù)據(jù)信息泄露、超過(guò)2億份個(gè)人簡(jiǎn)歷數(shù)據(jù)泄露，臨近過(guò)年有超過(guò)400萬(wàn)條12306用戶數(shù)據(jù)被掛暗網(wǎng)售賣，太多太多的負(fù)面消息讓網(wǎng)絡(luò)安全、數(shù)據(jù)安全、移動(dòng)端安全得到了前所未有的關(guān)注。

據(jù)統(tǒng)計(jì)，我國(guó)2018年網(wǎng)民數(shù)量達(dá)到了8.29億，其中98.6%是手機(jī)網(wǎng)民，截止2018年12月，我國(guó)手機(jī)App總量達(dá)到449萬(wàn)款。很明顯449萬(wàn)款A(yù)pp的安全就是8億手機(jī)網(wǎng)民的安全，總有人在背后守候這份安全。

誰(shuí)在背后守護(hù)這份安全呢？近日，移動(dòng)支付網(wǎng)記者對(duì)梆梆安全進(jìn)行了采訪。

梆梆的六塊安全防護(hù)“無(wú)限寶石”

中國(guó)有449萬(wàn)款A(yù)pp，這個(gè)數(shù)據(jù)來(lái)自于工信部在2月發(fā)布的《2018年互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)經(jīng)濟(jì)運(yùn)行情況》，想要守護(hù)App安全，最好的辦法就是身在其中，但是449萬(wàn)款A(yù)pp中沒(méi)有一款屬于梆梆安全。

要想知道在449萬(wàn)款A(yù)pp中梆梆安全在哪里，我們首先要知道梆梆安全是做什么的。

在采訪中，記者了解到梆梆安全是做應(yīng)用程序加固起家的，2010年成立公司；2011年提出“應(yīng)用加固”；2013年定位于應(yīng)用安全服務(wù)提供商；然后一步步走到了今天。

應(yīng)用程序在發(fā)布之后，總會(huì)碰到破解、篡改、盜版、釣魚(yú)欺詐、內(nèi)存調(diào)試、數(shù)據(jù)竊取等各種攻擊，應(yīng)用安全加固就是在程序發(fā)布之前使用各種技術(shù)手段保護(hù)程序不受到攻擊的影響。當(dāng)然，隨著時(shí)代的不斷變化，對(duì)安全的需求不斷刷新，梆梆安全也在不斷進(jìn)步。

現(xiàn)在梆梆安全有“泰固”、“泰聚”、“泰鏡”、“泰知”、“泰?！薄ⅰ疤O”六大產(chǎn)品服務(wù)平臺(tái)。六大產(chǎn)品服務(wù)平臺(tái)的關(guān)系有點(diǎn)像無(wú)限寶石，每一個(gè)都針對(duì)一個(gè)方面，并在那個(gè)方面做到了最好，如果只用其中一個(gè)或者幾個(gè)必然會(huì)出現(xiàn)漏洞，但是六個(gè)合到一起就成了梆梆安全守衛(wèi)移動(dòng)應(yīng)用安全的無(wú)敵力量。

簡(jiǎn)單來(lái)說(shuō)，如果應(yīng)用程序是一座座城市，那么梆梆安全的工作就是給這座城市建造牢固的城墻、高聳的瞭望搭、訓(xùn)練士兵和警察。所以在449萬(wàn)款A(yù)pp中，你不可能發(fā)現(xiàn)梆梆安全的身影，但是它確實(shí)存在于最需要它的地方，守護(hù)安全的屏障。

激變時(shí)代，隨處可見(jiàn)的安全風(fēng)險(xiǎn)

社會(huì)總是在不斷的進(jìn)步當(dāng)中，我們從電氣化時(shí)代進(jìn)入了信息化時(shí)代，現(xiàn)在從信息化時(shí)代看到了數(shù)據(jù)化時(shí)代，在這個(gè)時(shí)代變化的前夕，什么東西都來(lái)得很突然，比如說(shuō)科技在各個(gè)領(lǐng)域帶來(lái)的變革，還有這些變革帶來(lái)的風(fēng)險(xiǎn)。

在金融領(lǐng)域，變革的速度總是會(huì)比其他領(lǐng)域快一些。變革帶來(lái)的利益是顯而易見(jiàn)的，大數(shù)據(jù)、即時(shí)通訊、生物識(shí)別等等技術(shù)的使用使金融業(yè)務(wù)的成本大幅降低，效率則是成倍上升，各種金融App層出不窮，開(kāi)放銀行的概念大行其道，但是其中的風(fēng)險(xiǎn)也不小。

開(kāi)放銀行實(shí)際上是銀行業(yè)數(shù)字化轉(zhuǎn)型的一種表現(xiàn)形式，開(kāi)放銀行提倡“數(shù)據(jù)”“服務(wù)”的共享、融合、開(kāi)放。無(wú)論是“數(shù)據(jù)”還是“服務(wù)”的共享、開(kāi)放無(wú)疑其中都會(huì)包含大量的風(fēng)險(xiǎn)。

梆梆安全的專業(yè)人士告訴記者，在共享、融合、開(kāi)放過(guò)程中銀行傳統(tǒng)的IT服務(wù)架構(gòu)會(huì)出現(xiàn)變化，通過(guò)SDK/API的形式對(duì)第三方合作伙伴開(kāi)放數(shù)據(jù)和服務(wù)將成為常態(tài)。在這個(gè)過(guò)程中數(shù)據(jù)泄露風(fēng)險(xiǎn)會(huì)大大增加，同時(shí)由于部分代碼運(yùn)行在第三方合作伙伴的程序中，如何建立第三方接入單位的接入篩查、接入后監(jiān)控將成為重點(diǎn)。

金融App則是另外一個(gè)重點(diǎn)，從技術(shù)角度來(lái)看，金融類App和其他類型App并沒(méi)有本質(zhì)的不同。單從商業(yè)價(jià)值角度來(lái)看，金融類的App涉及到資金、隱私數(shù)據(jù)較多，是黑客關(guān)注的重點(diǎn)領(lǐng)域，重點(diǎn)關(guān)注之下，暴露出來(lái)的問(wèn)題就更多。由于其業(yè)務(wù)類型的特殊性，需要特別關(guān)注運(yùn)行環(huán)境可信、未知業(yè)務(wù)漏洞等方面安全問(wèn)題。

但不論是運(yùn)行環(huán)境還是業(yè)務(wù)漏洞都屬于不可控變量，沒(méi)有人能確保業(yè)務(wù)一定沒(méi)有漏洞，也沒(méi)有人能確保運(yùn)行環(huán)境一定安全可信，金融領(lǐng)域的安全追求的是更加安全，因?yàn)楹诨耶a(chǎn)隨時(shí)可能發(fā)動(dòng)攻擊，一旦順著漏洞攻破防線帶來(lái)的后果將是無(wú)法想象的。

“在運(yùn)動(dòng)中消滅敵人”，梆梆安全在安全領(lǐng)域的“運(yùn)動(dòng)戰(zhàn)”邏輯

無(wú)法控制的運(yùn)行環(huán)境、無(wú)法根除的業(yè)務(wù)漏洞、隨時(shí)可能發(fā)生的黑灰產(chǎn)攻擊是現(xiàn)在移動(dòng)應(yīng)用，特別是金融領(lǐng)域App、互聯(lián)網(wǎng)金融面臨三大難題。面對(duì)這三大難題，梆梆安全提出了自己的解決方案。

梆梆安全認(rèn)為，傳統(tǒng)的靜態(tài)防御已經(jīng)不足以滿足現(xiàn)在的安全新需求，他們更強(qiáng)調(diào)動(dòng)態(tài)監(jiān)測(cè)機(jī)制，通過(guò)運(yùn)行過(guò)程中持續(xù)的動(dòng)態(tài)監(jiān)測(cè)，監(jiān)測(cè)應(yīng)用發(fā)布后可能存在的一切“滲透測(cè)試”行為，通過(guò)監(jiān)測(cè)滲透測(cè)試行為，通過(guò)感知滲透測(cè)試行為，提前阻斷，能夠精準(zhǔn)的預(yù)防可能發(fā)生的業(yè)務(wù)漏洞造成的業(yè)務(wù)損失。

在移動(dòng)應(yīng)用安全的攻防戰(zhàn)場(chǎng)上，信息感知是十分重要的，以往的靜態(tài)防御后知導(dǎo)致后覺(jué)，后覺(jué)的結(jié)果就是造成損失。梆梆安全提出的動(dòng)態(tài)監(jiān)測(cè)、態(tài)勢(shì)感知、代碼運(yùn)行時(shí)安全監(jiān)控讓安全防御處于動(dòng)態(tài)當(dāng)中，整個(gè)過(guò)程讓記者想起來(lái)***的一句話：“在運(yùn)動(dòng)中消滅敵人?！?/p>

守護(hù)數(shù)據(jù)安全是移動(dòng)應(yīng)用程序防御的首要目標(biāo)，近年來(lái)，隨著監(jiān)管機(jī)構(gòu)和公眾對(duì)于個(gè)人隱私的重視，數(shù)據(jù)采集的合規(guī)性問(wèn)題，成為數(shù)據(jù)安全中一個(gè)重要的環(huán)節(jié)。梆梆安全特別指出，目前主流的數(shù)據(jù)保護(hù)技術(shù)都關(guān)注的是數(shù)據(jù)采集后的安全問(wèn)題，對(duì)于數(shù)據(jù)采集階段的安全性問(wèn)題是相對(duì)空白的領(lǐng)域。

在最后，記者就市監(jiān)總局和網(wǎng)信辦決定開(kāi)展App安全認(rèn)證工作向梆梆安全詢問(wèn)看法，梆梆安全表示：“國(guó)家在監(jiān)管方面將越來(lái)越嚴(yán)厲，同時(shí)我們是否做好自身App的安全，對(duì)App安全做靜態(tài)、動(dòng)態(tài)的安全檢測(cè)，包括運(yùn)行中的威脅檢測(cè)與防御，就將成為廣大App運(yùn)營(yíng)者的一個(gè)新課題?！?/p>