移动应用的爆发式增长及其在各行各业的普及,因其影响范围之大、影响程度之深使得黑客逐渐聚焦移动应用攻击,移动应用逐渐成为黑客的高价值攻击目标。与此同时,应用保护技术变得越来越普遍,然而移动应用攻击手段和技术的发展却远超企业信息安全防御能力。
避免移动应用程序开发隐患该从哪里着手?
2018年5月,被称为史上最严格的数据保护条例“GDPR”正式生效是保护个人数据与安全迈出的重要一步,其实施使移动应用、IoT应用等的保护面临更加严苛的合规条件。《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《信息安全技术 个人信息安全规范》等的实施在隐私保护层面对于移动应用开发提出了更严苛的合规要求。
Gartner今年发布的《应用保护市场指南》中指出,在主流组织的安全部门之外,人们对应用保护技术的认知程度且采用的迫切性很低。虽然业务部门的管理人员认识到它是一种客户体验改进工具,但是开发人员并不觉得其应用程序可能成为攻击目标。作为Gartner指南里唯一总部位于中国的供应商梆梆安全更是早已意识到了这一点。(*)
在近几年发现的针对移动应用的攻击和漏洞中,比如国内发现的应用克隆漏洞、Zipperdown、寄生推等,很多都属于无差别式攻击范畴,任何应用都可能成为相关攻击对象,加之来自于合规层面的要求,需要从移动应用保护思路着手转变,从意识培养入手,重新对安全进行战略定位,选择适合的应用保护技术,使得应用保护策略逐步逐级实施。
构建更为有效的移动应用防护体系
依据PPDR下一代安全体系框架思路,移动应用保护需要从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
纵观近年来应用保护市场的发展,应用保护的技术和理论研究从未停止过,从最初的应用加固、到源码混淆、白盒密码、数字签名、SO文件加固、SDK加固、应用沙箱,再到安全软键盘、多态、清场SDK以及其他可以保护应用本身安全及其资源环境等安全的组件。技术的发展使得有意识且需要采用应用保护的企业面临越来越多的选择,越来越多的组织开始采用组合式的应用保护技术以避免他们开发的应用遭遇黑客攻击,但如何来构建更为有效的移动应用防护体系成为难点。采用平台化技术能够更好地帮助企业完成应用保护,并对应用保护实施的全生命周期进行更为有效的安全管控。
Gartner今年发布的《应用保护市场指南》中提到,到2021年,一半以上的企业将通过单通道多通道应用保护平台来进行应用保护。(*)
聚焦平台赋能企业移动安全
然而,现实的情况是,很多安全产品还无法有效整合,企业安全思维仍然停留在“事件响应”阶段。而好消息则是,近年来,在业务和合规双轨驱动的环境下,诸如银行、政府、物联网、车联网等企业正在开始采用新技术的同时注重安全技术的引入和管理,其思路正在向持续响应思维转变,并且开始尝试以平台化方式、从用户视角面向业务实现精细化安全过程管控。
基于此,梆梆安全发布了全新的应用安全开发管控平台,在深度研究应用行业规范及业务特性基础上,通过场景化威胁分析和应用安全建模,为行业应用打造专属的安全基线标准,客观展现每一个安全需求细节。同时以自动化方式指导、监控应用安全开发生命周期,并在其中提供灵活的应用安全解决方案及服务集成。
服务开发
长期以来,安全部门和业务部门对于安全需求及其重要性的理解存在严重的信息不对称,一方面业务部门不太重视安全需求开发的重要性,且不了解安全开发的必要性,因此使得安全开发不能得到有效执行。另一方面,安全部门不能全面了解其所在机构开发应用的安全实施进展,因此无法确保在关键节点采用应用安全保护方案,导致安全开发与规划脱节。应用安全开发管控平台可以有效缓解安全部门和业务部门关于安全开发信息不对称的现状,根据组织特性及行业特性定义安全基线,并在规划阶段制定适合的应用保护策略,将其细化至安全开发的每一个环节,确保闭环防御流程的落地实施。
智能管控
新一代自适应安全防御架构强调通过预测、检测、防御和响应的流程实现持续监控与分析,完成闭环防御流程。应用安全开发管控平台正是基于这一架构及思想,根据移动应用业务功能特性,自动化为用户同步生成具有针对性的移动应用安全开发规范,实现移动应用在需求分析阶段、设计阶段、安全编码阶段、安全策略执行阶段、测试阶段、投产运维阶段的全生命周期安全管理,形成防御闭环,并以自动化的方式实现安全流程指导和管控。
量化管理
网络安全可视化及量化管理是近年来网络安全的热点趋势,同时对产品的数据处理和分析能力提出了更高的要求。应用安全开发管控平台将安全管理工作量化,并以报表的形式直接呈现。一方面可以基于业务全流程生命周期管理推进安全管理工作的实施,凸显安全管理工作的价值;另一方面基于平台实现跨部门的最大化协同工作,使移动应用保护工作不再成为组织网络安全保护的短板。
应用安全开发管控平台是帮助组织完成从移动应用保护1.0到2.0迈进的重要里程碑,是梆梆安全在应用保护领域的重要探索成果,梆梆安全坚持践行“自适应 御未来”,与用户一起共同筑起全球应用保护的围墙,将攻击消弭于围墙之外!
(*) Gartner, Market Guide for Application Shielding, 27 June 2018
声明:
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
