逐渐成熟的信息化,促使新型IT技术应用不断涌现。云计算、物联网、移动网络、大数据、智能化,处于这些新兴技术应用中间的移动网络,正在推动着其他新IT技术的快速发展。而作为移动网络终端的各类智能设备由于自身的局限性,使其与PC相比而言安全性更为薄弱,运行于这些终端之上各类应用的安全性也就可想而知了。移动网络一旦出现安全危机,那么其所引发的连锁反应很可能会形成一场灾难。
移动安全的“变”与“不变”
那么如何保护移动网络、移动终端,甚至是终端里的移动应用呢?依然采用传统的防火墙、杀毒软件么?智能移动终端的出现,打破了原有的网络边界,个人隐私信息往往与企业机密数据混杂在一起,传统的安全防御方式明显已经无法有效应用于移动网络。
“数据”依然是移动安全时代的核心保护目标,但需要将移动终端里的个人隐私数据与企业机密数据分开防护,还要考虑智能移动终端自身有限的计算能力、有限的存储空间,以及有限的能源支撑。另外,如今的恶意攻击开始更多的针对应用层面。而由于各类移动应用往往与手机话费、流量相关联,恶意攻击者可以藉此获利,所以与移动应用相关的安全问题尤为凸显。这意味着,用于解决移动安全问题的安全产品与解决方案需要考虑到上述要素,而不可直接套用传统防御措施。
由此可见,移动安全防御的本质没有改变,但移动安全的防御方式却需要进行转变了。
移动应用的安全危机
体积并不大的移动应用却面临着重重威胁:二次打包和反编译、不安全的数据存储、传输层保护不足、意外的数据泄露、授权认证较弱、密码算法遭破解、客户端注入、通过不可信输入的安全决策、Session会话处理不当、缺乏二进制文件保护……无论是用户信息,还是企业业务都面临着由移动应用所引发的安全危机。
键盘作为敏感信息的输入手段,很容易成为攻击者的下手之处。恶意攻击者往往会将键盘钩子(监控程序)捆绑嵌入到热门移动应用里,藉此监控用户的输入数据。配合用户账号和密码信息,形成“账号密码+短信验证”的双因子身份验证机制,是现在移动应用最广泛的一种身份安全认证模式。而恶意攻击者正在采取各种方法对验证短信进行拦截,并借此发起欺诈攻击。另外,“钓鱼”式攻击在移动应用里同样存在,恶意攻击者所推出的高仿移动应用界面,帮助其实施界面劫持攻击,诱骗用户上当,窃取用户账号、密码等机密信息。
针对移动应用的攻击有很多,在攻击特征上有与传统攻击相类似的地方,同时也具有各类移动特性。所以移动安全技术人员需要犹如“庖丁解牛”般对移动应用本身进行非常深入的了解,发现移动应用的哪些环节存在安全隐患,这样才能设计出适用于移动应用、移动设备、移动网络的安全防护产品。
做移动应用安全领域里的“庖丁”
真正的安全公司永远都是“技术为本”,只有在专业细分领域里做得足够深入才能获得收获。这很是有些像挖井的故事,有的人井挖了一半,发现没有出水就另起炉灶开始挖第二口井、第三口井……最后回头一看,没有一口井出水。而有的人会将一口井挖得足够深,深到出水为止。
梆梆安全创始人、CEO阚志刚博士认为,“一个人要想飞的高,就必须扎得深”。所以梆梆安全如今的定位就是要把技术做到最深。
阚志刚博士表示“我始终以匠人的精神去做安全”,目前梆梆安全百分之七十的员工都是研发工程师,“我们始终把自己看成是一个匠人,希望把一个事情做到极致”,做到极致时所体现出来的价值将更容易被市场认可、接受,极致之后的突破也就更顺理成章了。而梆梆安全的经验就是必须要专注、坚持,要把技术做到世界第一好。
如今,梆梆安全正在打造一个面向开发者的移动应用安全平台,帮助开发者对其移动应用进行安全检测、安全加固、渠道监测。其所推出的安全SDK,就能够帮助开发者对其应用在开发阶段实施安全加固防护,而开发者不需具备任何安全知识。也就是说,开发者在开发应用时无需考虑任何安全问题,把专业的事情交由专业的安全人员人去做。
当如庖丁解牛般掌控了移动世界里的客观规律时,解决任何安全问题必将得心应手。
