逐漸成熟的信息化,促使新型IT技術(shù)應用不斷涌現。云計算、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò )、大數據、智能化,處于這些新興技術(shù)應用中間的移動(dòng)網(wǎng)絡(luò ),正在推動(dòng)著(zhù)其他新IT技術(shù)的快速發(fā)展。而作為移動(dòng)網(wǎng)絡(luò )終端的各類(lèi)智能設備由于自身的局限性,使其與PC相比而言安全性更為薄弱,運行于這些終端之上各類(lèi)應用的安全性也就可想而知了。移動(dòng)網(wǎng)絡(luò )一旦出現安全危機,那么其所引發(fā)的連鎖反應很可能會(huì )形成一場(chǎng)災難。
移動(dòng)安全的“變”與“不變”
那么如何保護移動(dòng)網(wǎng)絡(luò )、移動(dòng)終端,甚至是終端里的移動(dòng)應用呢?依然采用傳統的防火墻、殺毒軟件么?智能移動(dòng)終端的出現,打破了原有的網(wǎng)絡(luò )邊界,個(gè)人隱私信息往往與企業(yè)機密數據混雜在一起,傳統的安全防御方式明顯已經(jīng)無(wú)法有效應用于移動(dòng)網(wǎng)絡(luò )。
“數據”依然是移動(dòng)安全時(shí)代的核心保護目標,但需要將移動(dòng)終端里的個(gè)人隱私數據與企業(yè)機密數據分開(kāi)防護,還要考慮智能移動(dòng)終端自身有限的計算能力、有限的存儲空間,以及有限的能源支撐。另外,如今的惡意攻擊開(kāi)始更多的針對應用層面。而由于各類(lèi)移動(dòng)應用往往與手機話(huà)費、流量相關(guān)聯(lián),惡意攻擊者可以藉此獲利,所以與移動(dòng)應用相關(guān)的安全問(wèn)題尤為凸顯。這意味著(zhù),用于解決移動(dòng)安全問(wèn)題的安全產(chǎn)品與解決方案需要考慮到上述要素,而不可直接套用傳統防御措施。
由此可見(jiàn),移動(dòng)安全防御的本質(zhì)沒(méi)有改變,但移動(dòng)安全的防御方式卻需要進(jìn)行轉變了。
移動(dòng)應用的安全危機
體積并不大的移動(dòng)應用卻面臨著(zhù)重重威脅:二次打包和反編譯、不安全的數據存儲、傳輸層保護不足、意外的數據泄露、授權認證較弱、密碼算法遭破解、客戶(hù)端注入、通過(guò)不可信輸入的安全決策、Session會(huì )話(huà)處理不當、缺乏二進(jìn)制文件保護……無(wú)論是用戶(hù)信息,還是企業(yè)業(yè)務(wù)都面臨著(zhù)由移動(dòng)應用所引發(fā)的安全危機。
鍵盤(pán)作為敏感信息的輸入手段,很容易成為攻擊者的下手之處。惡意攻擊者往往會(huì )將鍵盤(pán)鉤子(監控程序)捆綁嵌入到熱門(mén)移動(dòng)應用里,藉此監控用戶(hù)的輸入數據。配合用戶(hù)賬號和密碼信息,形成“賬號密碼+短信驗證”的雙因子身份驗證機制,是現在移動(dòng)應用最廣泛的一種身份安全認證模式。而惡意攻擊者正在采取各種方法對驗證短信進(jìn)行攔截,并借此發(fā)起欺詐攻擊。另外,“釣魚(yú)”式攻擊在移動(dòng)應用里同樣存在,惡意攻擊者所推出的高仿移動(dòng)應用界面,幫助其實(shí)施界面劫持攻擊,誘騙用戶(hù)上當,竊取用戶(hù)賬號、密碼等機密信息。
針對移動(dòng)應用的攻擊有很多,在攻擊特征上有與傳統攻擊相類(lèi)似的地方,同時(shí)也具有各類(lèi)移動(dòng)特性。所以移動(dòng)安全技術(shù)人員需要猶如“庖丁解牛”般對移動(dòng)應用本身進(jìn)行非常深入的了解,發(fā)現移動(dòng)應用的哪些環(huán)節存在安全隱患,這樣才能設計出適用于移動(dòng)應用、移動(dòng)設備、移動(dòng)網(wǎng)絡(luò )的安全防護產(chǎn)品。
做移動(dòng)應用安全領(lǐng)域里的“庖丁”
真正的安全公司永遠都是“技術(shù)為本”,只有在專(zhuān)業(yè)細分領(lǐng)域里做得足夠深入才能獲得收獲。這很是有些像挖井的故事,有的人井挖了一半,發(fā)現沒(méi)有出水就另起爐灶開(kāi)始挖第二口井、第三口井……最后回頭一看,沒(méi)有一口井出水。而有的人會(huì )將一口井挖得足夠深,深到出水為止。
梆梆安全創(chuàng )始人、CEO闞志剛博士認為,“一個(gè)人要想飛的高,就必須扎得深”。所以梆梆安全如今的定位就是要把技術(shù)做到最深。
闞志剛博士表示“我始終以匠人的精神去做安全”,目前梆梆安全百分之七十的員工都是研發(fā)工程師,“我們始終把自己看成是一個(gè)匠人,希望把一個(gè)事情做到極致”,做到極致時(shí)所體現出來(lái)的價(jià)值將更容易被市場(chǎng)認可、接受,極致之后的突破也就更順理成章了。而梆梆安全的經(jīng)驗就是必須要專(zhuān)注、堅持,要把技術(shù)做到世界第一好。
如今,梆梆安全正在打造一個(gè)面向開(kāi)發(fā)者的移動(dòng)應用安全平臺,幫助開(kāi)發(fā)者對其移動(dòng)應用進(jìn)行安全檢測、安全加固、渠道監測。其所推出的安全SDK,就能夠幫助開(kāi)發(fā)者對其應用在開(kāi)發(fā)階段實(shí)施安全加固防護,而開(kāi)發(fā)者不需具備任何安全知識。也就是說(shuō),開(kāi)發(fā)者在開(kāi)發(fā)應用時(shí)無(wú)需考慮任何安全問(wèn)題,把專(zhuān)業(yè)的事情交由專(zhuān)業(yè)的安全人員人去做。
當如庖丁解牛般掌控了移動(dòng)世界里的客觀(guān)規律時(shí),解決任何安全問(wèn)題必將得心應手。
