1. 程式人生 > >移動智慧安全新形勢下的探索和實踐

移動智慧安全新形勢下的探索和實踐

開發十年,就只剩下這套架構體系了! >>>   

經過三年發展,國內移動領域安全狀態有了很大的提升,面對更新的行業環境,傳統的安全方案有哪些侷限?新的移動安全應該如何定義?新的安全挑戰又該如何面對?

近三年移動安全發展變化

2015年是移動應用安全開始的時間節點,360加固保和國內其他移動安全廠商都是在這個時間開始起步的。下面和大家一起對比一下近三年的移動安全的發展變化。

移動安全現狀對比

通過上圖我們看出,2015年安卓的新增惡意樣本的捕獲量超過1800萬個。而2018年上半年,捕獲量在280萬左右,預計2018年的全年捕獲量在500萬左右。2015年每月平均值在150萬,而2018年的平均值下降到了45萬,國內的移動安全狀態有了很大的提升。

行業安全意識對比

2015年開發者對應用安全的概念還比較模糊,大家更多應用基礎功能的建設,而到2018年,60%的應用都採用了安全加固來保護應用安全。同時,應用分市場相比三年前更為集中,應用上線稽核有了更完備的規範。從應用監管層看,三年前行業監管處於起步階段,很多標準還在確立中。而現在已有了多層次的安全監管保障,國家標準/行業標準也正在出臺和施行。

但是安全廠商還是和三年前一樣,一直做SDK、檢測、加固和渠道監控這些服務。這三年間,移動網際網路的變化是天翻地覆的,但是安全廠商還在止步不前。

這是一個最好的時代,也是一個最差的時代。現在是中國安卓安全性最好的時間點。但是,對於安全廠商來講,卻有點迷茫。

傳統移動安全的幾個問題

SDK、檢測、加固和渠道監控四個安全方案都是圍繞著應用開發進行防護的,它的原型脫胎於傳統防護,最終大家都以核心加固強度來衡量應用安全的強度。這樣做主要有以下五個問題:

1、誰的生命週期?

我們說目前的安全方案是全生命週期的方案,但是這個生命週期與應用開發者所認為的生命週期有非常大的錯位。工信部把應用開發劃分為六個階段,每個階段都有對應的安全策略。開發完成只是應用生命週期的初期階段,應用大部分時間都在運營。所以目前的安全方案與實踐是有錯位的,我們需要考慮的是“誰的生命週期”的問題。

2、銅牆鐵壁是否就能保證安全?

現在的安全方案是一種銅牆鐵壁式的方案。以加固為思路,對應用的Dex、so、資原始檔以及資料檔案進行加密。而單純的加密會導致應用效能和效率的下降。很多特別追求使用者體驗的公司做安全,就是怕效率降低。其次,我們將這些加固措施做好了也不能真正保證安全,因為如果黑客直接從業務漏洞繞過去,前面做的都無濟於事。

3、閃電般的速度?

這張圖是安全人員經常用的。攻擊事件發生時,黑客的攻擊是分鐘級甚至是秒級的,然後馬上就可以匯出資料。而問題發現一般是天和月級別的,緩和措施的實施和發揮效果則可能需要用月和年來衡量。

黑客攻擊就像閃電俠一般的迅速,而開發者就像樹懶一般的緩慢,目前移動安全攻防處於不平衡的態勢。現在的很多應用還需要通過使用者下載更新包才能實現安全修復,這種模式更加放大了這種不平衡。所以說目前的移動安全措施反應是不夠快的。

4、移動安全能否等同應用安全?

現在除了應用,大家做的SDK、H5、小程式、快應用等,都是需要安全守護的。所以說目前的移動安全早已不再等同於應用安全,其他的移動業務的安全也需要重視。

5、什麼才是真正的威脅?

一般情況下,我們認為病毒、木馬、Root、雙開等是存在的威脅的。但是跟不同的開發者交流,發現大家對威脅的看法並不一致。對於遊戲開發者來說 ,他們認為外掛是有傷害的,但是對於銀行的客戶來說,他們有自己的使用者畫像和風控系統,他們認為使用者手機上的遊戲外掛並不會對自己的業務產生危害。所以不同開發者對安全的認識和需求不是完全一樣的,不能一概而論。

如何應用新的安全挑戰?

通過以上對目前安全現狀的反思,我們對安全進行了方法論層面的重新定義。我們認為新的移動安全首先是對抗的,兵來將擋、水來土淹;其次它應該是全面的,對應用真正全生命週期進行保護;第三,它應該是即時的,應該馬上響應以應用安全風險;最後,它還應該是智慧的,匹配不同使用者對於威脅的認識,滿足不同使用者對安全的訴求。

360在新移動安全方面的實踐

下面介紹360在新移動安全方面的兩個實踐。

1、盜版和仿冒監控實踐

盜版和仿冒應用是大家非常痛恨的。之前通用的防治措施就是渠道監測,從源頭上抓盜版仿冒。思路就是通過爬蟲監測所有的下載渠道,與原有的應用包進行對比分析,看這個應用包是不是盜版。

這個思路現在遇到了很大的問題:一是現在使用者下載已經基本都在手機端,用Web端爬蟲無法抓取有效資料;二是目前主流應用下載渠道已經非常正規了,基本沒有盜版應用的存在。

通過目前的爬蟲方式效果不好,但是盜版應用又真實存在,如何破解呢?

360採用的就是從下到上的方式,通過360手機衛士的裝機量、手機廠商合作量,以及監管部門的合作量建立正版簽名庫。然後360監測全網安裝應用的簽名,排查盜版應用。對未知簽名的應用送到內部的安全檢測中心進行檢測,如果存在病毒則通知合作的應用市場進行下架,並通過手機衛士對相關應用進行報毒處理。

2、反作弊風控實踐

銀行的風控系統是基於使用者消費行為的,但是安全廠商的風控系統是基於系統行為和使用行為,兩者對風險的判定標準不一致。比如,安全廠商發現使用者的手機獲得了root許可權,認為支付行為存在風險,但是銀行則根據自己的使用者畫像認為使用者的操作不存在風險。

現在的解決思路就將安全廠商與銀行的風控系統進行合併,為銀行與外部的觸點安全賦能。觸點執行操作時產生的資料分成兩部分,分別進入銀行的風控系統和360大腦的風控系統,然後兩個系統進比對並共同提出一個解決策略。這個策略會同時作用到當時賦能的每一個元件中,在這個元件中執行相應的策略,是持續監控,還是進行挑戰驗證。最終達成了資訊維度的風險策略和業務維度風