今年,GSMA移动大会首次在上海举办了GSMA移动安全论坛。这足以说明随着移动终端的发展,移动平台已经成为兵家必争之地,移动安全问题越来越受到安全从业者的关注。GSMA也花了足够的时间准备首届安全论坛,邀请了来自全球不同细分行业的22位从业者。“身份验证”、“移动安全”和“威胁”充斥了整整一天的演讲。
移动安全威胁的新趋势
听完整个大会,我发现,这次大会并没有太多关于技术发展的内容,更多的是在讨论现有的安全问题的解决方案。阿里移动安全总监陈淑华在上午的演讲中告诉我们,“根据我们的数据,现在安全问题更多的是围绕业务展开的,业务涉及的安全问题包括终端安全、链路安全和云安全。”
演讲结束后,当被问及如何看待业务安全的发展时,陈淑华解释称,这是安全环境演进的必然趋势,“安全问题和互联网几乎是同步的,从PC端开始,到互联网到云端再到BDP。”(这种跟业务安全相关的问题我们称之为BDP(Business Defined Platform))。
那么造成这种业务安全问题的根源是什么呢?我们面临的网络安全不仅仅是SQL注入、DDOS攻击,数据库碰撞、刷单、虚假注册、账号盗用、刷单(想想每年过年期间的12306)都成为我们面临的新问题。它们为何诞生?陈淑华为我们揭开了背后的谜团——灰色产业链。“利用网络账号实施诈骗、盗号、刷单等行为只是灰色产业链的下游,他们还有网络账号提供河流信息交换平台作为中游,最上面才是基础产业。从安全角度看,黑色产业的从业人员比互联网公司更专业,他们有专门的人员负责运营、开发,你可以想象我们的对手有多强大。”
听到这些,很难不让人吃惊。面对庞大的黑色产业链,当他们已经将触角伸向企业时,企业该如何自保?陈淑华给出了阿里巴巴针对业务安全问题的解决方案,供大家参考。“通过建立互联网业务的分级模型,将问题分为内容、用户、服务、应用、数据、传输、系统、硬件八个维度,针对不同的问题设置不同的解决方案。比如:针对禁播、淫秽色情图片内容,采用智能淫秽识别、文本过滤、禁播识别、图文识别等方法。”
我的感觉是:黑色产业的分工之细、技术手段之复杂,不是企业里几个安保人员就能对付的,企业需要建立完善的应对措施。
移动认证与识别引领未来
在这次论坛上,不知道主办方是否特意把赛峰集团和HID Global的演讲安排在一起。赛峰集团和HID Global在生物识别方面处于领先水平。虽然没有太多具体的信息,但赛峰集团身份与安全部门副总裁Yves Portalier表示,根据该公司的数据,2013年只有200部手机具有生物识别功能,他们预计到2018年,生物识别技术在手机上的普及率将达到100%。看来,生物识别技术在移动终端上的应用也呈现出美好的前景。
物联网安全引发激烈争论
说到移动安全问题,物联网是最容易被投诉的对象,因为物联网涉及的设备非常多。惠普的一项研究表明,70% 的常用物联网设备存在漏洞。本次 GSMA 大会上最受关注的议题就是物联网的安全性。共有 7 位演讲嘉宾就物联网安全的各个方面展开讨论。本次论坛上关于物联网的讨论总结如下:
1、被问到最多的问题是关于GSMA发布的小册子《GSMA物联网安全指南》,由GSMA执行董事Shane Rooney介绍,Shane表示,根据他们的调查,只有44%的公司设立了物联网设备的安全政策。
2、亚太互联网中心主席保罗·威尔逊对物联网的态度更侧重于管理。“互联网只有在控制之下才能发挥积极作用。”他认为,物联网的发展,技术是管理的次要因素,不管如何发展,互联网的整体安全才是最重要的。
3、英特尔中国物联网业务群首席技术官张磊针对物联网安全给出了三点解决方案:按行业标准满足设备连接的安全性;设备接入网络时增加云端防护措施;最后在边缘领域为物联网建立信任通道。
深有感触,通常都是智能汽车的安全隐患才引起我们对物联网安全的重视,但智能泰迪熊、智能儿童手表等小物件数据泄露带来的安全问题也不容忽视,物联网发展太快,相关安全措施应该加强~
移动应用程序安全不容忽视
既然是移动安全论坛,移动安全应用必不可少。2015年,移动设备数量超过全球人口,达到72亿。更可怕的是,人们每天87%的时间都花在应用上。斗象科技联合创始人兼CTO张天琪在演讲中表示:“移动安全之所以给我们带来如此严重的威胁,是因为应用更新非常频繁,必然导致旧代码留下漏洞,设备状态也是不可控的。”
那么如何增加移动端的安全性呢?张天琪给出了多种解决方案。“其实移动端的威胁非常复杂,而且是多方面的,组件安全、数据安全、通信安全都可以进行相应的防护。对于组件安全,我们有很多解决方案,比如尽量减少组件暴露、设置组件访问权限、将android:protectionLevel设置为sigature、对暴露的组件进行代码审计等。”
移动安全攻防
论坛90%都是国外公司,说实话很多趋势和解决方案跟国内市场环境结合得不是很好,比如国内生物识别技术在移动端的应用就需要好好考虑。小编最喜欢的还是圆桌讨论环节,相比国外的发展趋势,国内公司的讨论更接地气。
参与讨论的嘉宾包括斗象科技联合创始人兼COO谢晨、上海市信息安全测评认证中心研发总监徐宇、棒棒安全实验室主任何思静、猎豹移动国内安全运营总监谭宇、阿里巴巴高级安全专家张迅迪等。
圆桌会的主题围绕着“移动安全防御难在哪儿?”徐宇结合自己的工作观察向我们介绍道:“从应用厂商的角度来说,最重要的是事前把关。很多厂商只顾着抢占市场,所以在开发过程中不会过多考虑安全问题,以为事后再分析问题就可以了。但一旦出现问题,造成的损失和影响是很难弥补的,所以事前花一些时间和精力其实更划算。”
会议最后,各位专家也结合自身经验,对2016年下半年的移动安全趋势做出了自己的判断。张勋弟表示,阿里巴巴会更加重视业务攻击和破解,并预测PC端的恶意勒索病毒可能会转移到移动端。徐宇表示,国家会整合支付相关的厂商,比如很多P2P公司,他预测这次整合之后,金融理财相关的公司会凸显出来,似乎它们的春天来了。谭宇介绍,他们发现勒索病毒在手机端已经出现,预计2016年、2017年各类用户信息泄露会更加明显。何思静认为,随着现在的APP越来越注重对自身代码的保护,通过移动端发起的攻击会越来越多。
听完整个安全论坛,我发现中国和国外在不同行业的安全部署确实存在一定的差异。正如猎豹移动国内安全运营部负责人谭宇所说,很多时候安全短板都是人为的。现在企业面临的更大困难,有一部分来自于人们缺乏基本的安全意识。安全问题越来越受到重视。这是否预示着安全人才将长期处于供不应求的状态?
*FreeBuf官方报道,作者:Sophia,转载请注明FreeBuf Hackers and Geeks(FreeBuf.COM)