2017移动应用安全防护:时刻在与黑客过招,态势感知需落地

posted at 2017.4.19 12:40 by Administrator

【51CTO.com原创稿件】移动互联网的火爆,让越来越多的企业选择用移动APP抢占市场“制高点”。与此现象相伴相生的,是移动APP的开发、运营、维护带来的压力,其中最无法令人忽视的,当属移动APP的安全保障问题,其中以金融行业客户、游戏行业客户重视程度为最。

当人们考虑如何抵御移动APP安全威胁时,通常跳入脑海的第一个选择是“加固”,殊不知移动APP安全防护服务从传统加固至今已经更迭几代了(爱加密的产品已经更新到第6代了),产品技术与服务内涵正在不断延伸。要想了解移动应用安全防护最新最全面的发展态势,记者选择了最直接的方法,采访占据中国移动应用安全领域“半壁江山”的爱加密,通过爱加密CEO郭训平的视角,还原这个领域一个真实生动的 “成长故事”。

四年磨一剑 需求始筑成

APP加固是市场对移动应用安全产品的俗称,主要是指通过安全加固技术弥补APP开发中所产生的自身安全漏洞、风险,提高APP安全健壮性,降低APP脆弱性风险。其中加固主要通过加密技术来实现。

郭训平介绍到,2013年初,创业型的安全公司开始尝试将加密技术应用到保护APP场景中来。到了2014年相关产品逐渐成熟,并在市场上渐渐推广开来,最初是从手机银行开始,主要用于保护资金交易、用户密码信息等数据。在2015年,金融行业客户成为APP加固的重要客户,从银行、证券公司到保险公司都开始产生移动APP安全防护需求。终于在2016年,移动应用安全防护市场迎来了高速增长,政府相关部门、大型企业都开始重视APP的安全。

爱加密就是在2013年初进入了移动APP安全市场,可谓是这个市场的见证者与建设者了。后来随着安卓应用的逐渐升温,诸如阿里、腾讯、百度等大型互联网公司也逐渐涉及该领域。但在企业级市场中,尤其是金融行业,目前仍以爱加密与梆梆安全这两家初创安全公司最为活跃,两家公司几乎覆盖了90%的市场份额。

加密有门槛 安全大不同

据郭训平所言,加密技术并不是新技术,只是应用到保护APP的场景中是一种新的尝试。APP加固本身并不难,其本质就是让加密过的源码,不论通过什么技术方式处理,都可以在安卓系统中运行,重点在于不能让用户受影响。“目前市场上采用的加固技术,大方向都是一致的,关键在于技术处理的区别。”

他强调,加密的APP一定要先解密,才能在安卓系统运行,倘若等到所有的程序都解密后再运行,显然APP使用者的使用体验会变得很糟糕。因此最好的办法是边运行边解密,在运行中解开,同时让使用者下载的东西是加固过的,不是原来的代码。“加密是有门槛的,但这门槛并不在于A能加密,B加密不了,而在于不降低使用体验,不牺牲安全加密效果的前提下,保证APP加密后的适配性、兼容性、可用性。”

那么如何用技术解决这些门槛呢?记者了解到,这与APP加密的底层构架密切相关。郭训平以爱加密为例,当安卓对APP解密后,有四类重要的文件待运行,一是运行源码文件,二是.so文件;三是资源文件.RES文件,四是数据文件包括存在本地的及运行中的临时文件,这四类文件的运营逻辑、调取比重各有不同,需要做大量的测试工作才能找到最优性能配置。

除此之外,还需要考虑到不同行业客户对APP安全的特殊性要求,记者了解到,政府部门、银行客户、游戏客户对安全加密的需求都不同。

郭训平透露,金融类APP,重点关注的是资金安全和用户账号信息安全,这就要用到动态口令技术。此外例如手机银行的APP,其用户账号密码在原则上不能保存至本地,也需要被清理掉。而像新闻媒体类APP,重点考虑的是内容的安全,要求内容不能被篡改。

“从整个市场上看,监管的需求是最大驱动力。在APP上线之前,也需要厂商做大量测试工作,检验是否符合相关部门的监管要求。” 郭训平表示。

如何对暴力破解说NO?

自古“道高一尺魔高一丈”,有加密,自然就会有破解。对于肆虐的黑色产业链而言,一旦将源码破解,就意味着黑客可以对APP做所有的事,这对移动安全防护厂商的重要性也不言而喻。

郭训平将对APP的保护分为几个层面。首先是对源码的保护,虽然大多数厂商都通过深度混淆、加壳技术、VMP技术来保护源码,但是保护的力度并不同。是保护所有的源码,还是保护关键功能的源码,还是源码.SO文件实现双重保护?他以VMP技术为例,这项技术本身比较复杂,破解难度很大,如果源代码有十万行,安全公司对此进行全部保护的话,对性能必然有影响,就需要通过其他技术进行优化,爱加密就可以做到全部保护而不影响APP性能。但有的安全公司技术能力达不到,在不牺牲性能的前提下,只能保护数行代码调用,如只保护用户输入账号密码安全。

“安全保护技术中,密钥的强度非常重要。如何保护自己不被黑客破解,有一个关键的点,就是你的密钥怎么被存储。” 郭训平指出,首先算法不能被黑客拿到,其次算法万一被黑客拿到了,密钥不能被拿到。“如何保护自己,就体现出公司技术实力和成熟度。”

虽然黑产攻击的手段在不断升级,但是移动APP安全防护也在不断演进。在上一代加固产品中,一旦黑客针对某一个APP实现暴力破解,那么意味着所有加固的同类APP都会被攻破。现在加固产品则不同,以爱加密为例,可以做到一户一密钥,一个APP就配有一个密钥,即使黑客攻破了某一个智能手机上的APP,信息泄露也只局限在这一个手机中,不会影响其他使用者,将损失降到最低。

移动APP的安全未来:态势感知

移动应用安全保护的理念正在被越来越多的行业客户所接受,客户的安全防护边界也正在变得越来越广泛。郭训平认为,在未来,移动应用安全态势感知类的解决方案将更受欢迎。

他所言的态势感知与目前安全企业口中的宏观态势感知略有不同。在他看来,宏观分析上的风险分析,对策略的制定有指导作用,但对于具体用户来说作用不大。因为用户最关注的是自身的安全问题能不能解决,如自己的移动应用有没有漏洞,有哪些人在发动网络攻击,能否定位到攻击位置,能否实施有效监控……而针对用户这样的需求,就需要对海量的权威数据进行深度的挖掘,从看似孤立的数据里找到内在的关联。

“要帮用户准确定位的话,在数据里只有移动端的数据是不够的,还需要结合移动应用的爬取、最新漏洞发布的漏洞库,最终汇总到一个分析引擎池中。” 郭训平表示,最终通过爱加密移动风险态势感知平台进行漏洞预警,攻击预警,让研发人员和产品人员了解风险状况、发展趋势、黑客偏好及目的、动机,真正有效地解决用户的安全需求。

采访结束后,记者想到了之前在朋友圈看到一则挺有意思的小故事:商人带两袋大蒜到某地,当地人没见过大蒜,极为喜爱,于是赠商人两袋金子。另一商人听说后,带两袋大葱去,当地人觉得大葱更美味,金子不足表达感情,于是把两袋大蒜给了他。虽是故事,但商场往往如此,得先机者得金子,步后尘者就只能得大蒜!善于走自己的路,才可能走别人没走过的路。爱加密在曾是一片空白的移动安全市场坚持了5年,终于赢来了这个市场的活跃期,记者期待在未来“井喷期”,能够有更安全更高效的移动信息服务为客户带来全新安全体验。

Tags:

防控BUG

添加评论

  Country flag

biuquote
  • 评论
  • 在线预览
Loading