科技云报道原创。
由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间,从行业、技术、市场等多角度探讨网安相关话题,探究企业背后的创新力量和安全实力。
安全是数字时代的基础,也面临着最严峻的挑战。随着5G和互联网技术的不断成熟,人类正从移动互联网步入万物互联的“大连接”时代。
小到手机中的App、智能家居产品,大到智能汽车、工业领域各种设备,无处不在的移动应用、智能设备与网络连接在一起,连接点越多,被攻击可能性越大。
8月9日,梆梆安全创始人、董事长兼CEO阚志刚做客“解码2022中国网安强星”直播间,与大家共同分享了关于移动应用安全和物联网安全的最新观点。
小步快跑,植根于移动应用安全基因
在移动应用安全领域,梆梆安全已处于行业领跑地位。
从最早的工具化技术服务到移动安全服务,梆梆安全犹如一只啄木鸟,不断搜索着生病体,啄出病虫害,为用户提供全面的移动安全保障。
梆梆安全成立于2010年,那一年被公认为“移动互联网元年”,移动设备正在经历从功能手机向智能手机转变的关键时刻。
围绕移动安全,梆梆安全潜心打磨安全技术,从技术和服务理念两个层面为用户提供安全感。
业界首创的加固技术及“安全即服务”交付模式,奠定了梆梆安全在移动应用安全领域的独特优势和领先地位。
经过12年发展,梆梆安全已经形成4条产品线、将近20多个子类产品,从保护、检测、加固、监测到响应,形成了完整的产品闭环链条,为包括关键信息基础设施企业在内的4800多家企业客户提供安全服务。
尽管安全目标永恒,但网络安全威胁却一直在不断变化。梆梆安全因时而进、因势而新,将在移动安全领域的技术优势延伸至物联网安全领域。
在物联网安全领域,梆梆安全建立了贯穿物联网开发、测试、运营、决策全生命周期的安全防护体系,从物联网研发生产、测试发布,到运营监管都提供相应的安全咨询、检测、评估、防护、监管、预警、响应能力,防止针对物联网应用、固件的破解、篡改以及各类攻击行为,及时发现网络资产风险,为保护整个物联网生态安全贡献力量。
如今,梆梆安全已经推出了车联网、智能家居等物联网安全相关解决方案,并积极投入面向未来的“认知安全”。
对于梆梆安全的策略来说,一是稳固并继续深入移动应用安全,二是研发探索新的安全市场,如物联网安全、人工智能安全等。
凭借领先的移动安全和物联网安全技术,在2022年6月中国网络安全产业联盟(CCIA)最新发布的“2022年中国网络安全竞争力50强”榜单中,梆梆安全荣登“中国网安强星50强”。
**把根扎深,筑牢防线守护移动应用安全
**
随着移动互联网和数字化的深入发展,移动互联网逐渐成为企业业务服务和办公协同的核心入口。
与此同时,围绕移动应用的恶意攻击愈发猖獗,安全漏洞、恶意代码、钓鱼欺诈、垃圾信息等安全问题层出不穷。由于移动终端更多地涉及个人信息,隐私性更强,也面临诸多新的安全问题。
针对当下严峻移动安全形势,阚志刚表示,移动应用形态已经从单一的App向小程序、H5等多元应用扩展。
这些程序中,不仅包含个人信息,还有API、SDK数据等,因此保护对象数量基本上扩大了4-5倍。
基于此,政企机构面临的移动安全挑战主要来自于两个方面。
一方面,移动应用正逐渐成为恶意攻击者的主要目标,应用漏洞、隐私违规问题最为突出,盗版仿冒应用、数据境外传输等安全威胁同样不容小觑。
另一方面,移动应用安全监管逐步强化。
从2020年开始,工信部、国家互联网信息办公室等四部门对移动应用进行常态化监管,定期对不合规移动应用进行通报。
基于“有法可依”原则,安全法规及标准持续落地;基于“执法必严”原则,违法违规通报已成为了常态化。
这些变化使政企机构在移动应用的个人信息保护、数据安全治理、技术能力、人才储备等多方面,均面临新的风险与挑战。
比如,绝大部分银行都有自己的手机银行、小程序,银行普遍担心用户在通过手机银行和小程序进行交易时,黑客会窃取用户财产。
同时,银行在开发手机银行、小程序等应用的同时,也引入了新风险,黑客能够通过手机银行,渗透到银行后端的服务,从而盗取用户个人信息和交易记录。
这会给整个国家金融系统造成很大风险,引发用户不信任感,因此银行必须要有能力堵住这些安全风险。
再比如,电商平台担心最多的是被薅羊毛。
与普通消费者领取平台各种优惠不同,恶意团伙大多利用黑客软件,进入电商后台并绕过风控系统,以机器代替人批量获取优惠券、现金红包,从中获利。
除了抢券、抢红包外,恶意团伙也针对银行卡、短视频平台及部分App推出的新用户优惠及返现等活动“薅羊毛”。
针对不同行业时常遭遇的移动应用安全风险,梆梆安全提供从底层代码加固、测评检查、运行安全监测到安全运营的整个安全流程的全周期解决方案,构建起完整的移动应用安全防御体系。
其解决方案充分考虑移动应用建设过程的不同阶段,融合应用安全保护、安全与合规检测、运行安全监测、安全运营、安全制度和标准体系以及安全和运营保障体系等方面,设计开发了包括检测、加固、管控、监测在内的一体化安全服务平台,覆盖Android、iOS、H5、服务端等主要移动应用场景,并针对个人信息保护领域的法律法规研发了移动应用合规平台,助力企业实现移动应用安全合规。
**
开源当道,企业软件安全风险与破解之道**
开源技术的流行,为支持业务与服务场景创新,适应移动互联网时代千变万化的需求提供了技术支撑。
开源软件开放共享、易于获得、快速迭代的特性,在让企业享受到技术红利的同时,也带来了数据安全、运维技术、知识产权、供应链安全等多方面的挑战。
阚志刚表示,数据安全风险是在应用开源软件过程中的头号挑战。
开源软件的源代码共享,使得很多配置信息中会涉及账号、密码等敏感信息,如果未能对代码进行审核,有可能造成数据泄露风险。
其次,运维技术风险。开源软件缺乏相应的厂商服务、运维支持和SLA承诺。
因此,在开发和运维阶段需要公司内部有专业技术团队提供支持,很多企业本身的技术和运维人员在数量和能力上有一定的局限性,解决相应运维问题会存在一定难度。
第三,知识产权风险。企业在应用开源软件时最隐蔽的问题应属开源许可证的“商用”。
不遵守开源许可协议、未得到开源软件专利权人的许可、许可证冲突等,会导致一系列的知识产权等法律风险。
第四,供应链安全风险。开源软件供应链相较于传统软件有着更复杂的网络,也受地缘政治影响。
对于App使用者,由于缺少对相关信息跟踪能力,存在一定的消息滞后性,也增加了开源软件供应链管控难度。
站在企业实践的角度,梆梆安全长期关注移动互联网应用程序在信息安全、隐私合规、开源技术等维度所面临的风险,并建立了相应的安全防护体系。
通过梆梆安全渗透测试服务、隐私合规评估服务及安全测评、合规测评平台,形成以自动化工具为主、人工为辅的“2+2”整体安全及隐私合规评估体系,全面识别移动应用引入的开源SDK、资产清单并关联整体安全及隐私风险,提供具有实操性整改建议,全面协助进行风险修复,将开源SDK引入的系统性风险降低至可接受范围内。
在“2+2”安全框架下,梆梆安全为客户提供包括隐私合规和安全测评在内的双平台自动化测试,可实现移动应用所引入的开源SDK整体通用性风险输出,涵盖开源SDK面临的安全风险和隐私合规风险。
同时,辅以渗透测试及隐私合规评估双服务,可实现移动应用所引入的开源SDK具体业务逻辑风险输出,具体包括开源SDK二进制代码保护缺失风险、数据传输安全风险、加密算法及密钥泄漏风险、用户数据存储安全风险、跨进程交互风险及面临的隐私合规风险。
针对愈发凸显的隐私合规问题,阚志刚表示,目前安全行业开展隐私合规主要是通过安全服务,纯自动化安全产品的准确率,还无法达到商业化水平,仍然存在需要突破的技术瓶颈等现实问题。
今年,梆梆安全在合规产品检测工具方面又进行了大规模投入,预计未来2-3年,其自动化程度会越来越高,比较理想的模式是70%-80%的工作都由工具去完成,其余部分辅以人工方式完成。
新革命,从“移动应用”到“万物互联”
每一次应用场景和应用需求的大变迁都在孕育新的机遇。后疫情时代,业务在线化比例急速提升,万物智联真正成为产业发展的主旋律。在5G、人工智能等技术的推动下,物联网的内涵也在不断扩展和升级。
据Statista、Aruba、福布斯等多家机构的数据,2021年,活跃的物联网设备超过100亿台;到2025年,每分钟将有152200台物联网设备连接到互联网;83%的组织通过引入物联网技术提高了效率。但48%的企业承认他们无法检测到网络上的物联网安全漏洞。
如何利用安全新技术将物联网安全与未来发展联结起来,是梆梆安全一直在思考的事情。
不论是稳固现有移动安全市场,还是对物联网领域的探索,梆梆安全都有自己的一条主线,这也是阚志刚认为的网络安全本质——以软件为核心,建立安全防御体系。
“软件定义一切”阚志刚坚信软件是未来很重要的一个因素,无论是移动应用安全、物联网安全,仍然依赖于软件、依赖于数据。
2010年,梆梆安全成立之初,聚焦在移动应用安全领域,但随着客户业务发生快速变化,物联网成为越来越多企业新的业务场景。
为此,梆梆安全将在移动应用安全领域的技术优势延伸至物联网安全领域,并开拓出梆梆安全的第二曲线业务。
从软件安全层面看,尽管移动应用安全与物联网安全在形式上大同小异,都会存在软件漏洞、数据隐私泄露、数据安全、业务安全等安全问题,但从安全的严重性角度看,如果能源、电力、通信、交通等国家关键信息基础设施行业遭遇破坏或袭击,可能导致企业和国家的巨额经济损失,甚至会威胁到整个国家安全。所以物联网安全的重要程度要大于移动应用安全。
面对从移动应用安全到物联网安全的转变,阚志刚认为安全的内涵发生了很大变化。物联网安全除了关注安全之外,需要更加关注系统的可靠性。
传统意义上的安全,注重的是通过各种防护设备、加固组件等,让企业不受到外界侵袭。
但过渡到物联网之后,需要关注系统的可靠性。要防止当系统本身出现问题的时候,不会对环境、社会、群众造成实质性伤害,这需要安全人员的认知从过去的IT安全转到OT安全。
基于在移动应用安全领域的积累与丰富实践,梆梆安全逐步建立起物联网安全防护体系,为物联网开发者和企业提供安全可靠、全面兼容、服务便捷和响应迅速的安全服务能力。
面对物联网的安全风险,阚志刚也给出了自己的建议。
他表示,目前企业需要在身份认证、访问控制、数据加密这三个方面做好安全防护,尤其是对IoT资产的盘点、管理,一定要投入安全力量。
与此同时,梆梆安全还参与了物联网相关标准编写,例如《CNCERT车载App安全标准》《汽车信息安全通用技术要求》等,推动物联网安全发展。
对于未来安全技术发展趋势,阚志刚认为,软件供应链安全、关键信息基础设施保护、数据安全、个人隐私领域会受到更多关注。
梆梆安全在技术上将沿着“4+1”战略发展方向,“4”包含API安全、数据安全、车联网软件安全、软件供应链安全。“1”是一体化安全运营运维。
**结语
**
面向未来,网络安全不应只依托一件工具、一件产品,更应该是通过持续的服务,助力企业的顺畅发展,做好物理世界和网络世界的重要枢纽。
梆梆安全从“保护您的App”到“保护您的软件”,从提供移动App全生命周期的一体化安全服务解决方案,到如今可以提供满足车联网、智能家居等物联网领域的泛应用保护需求,梆梆安全正跑在万物互联的赛道上,期待它为产业创造更多惊喜。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。