移動(dòng)應(yīng)用的爆發(fā)式增長(zhǎng)及其在各行各業(yè)的普及，因其影響范圍之大、影響程度之深使得黑客逐漸聚焦移動(dòng)應(yīng)用攻擊，移動(dòng)應(yīng)用逐漸成為黑客的高價(jià)值攻擊目標(biāo)。與此同時(shí)，應(yīng)用保護(hù)技術(shù)變得越來(lái)越普遍，然而移動(dòng)應(yīng)用攻擊手段和技術(shù)的發(fā)展卻遠(yuǎn)超企業(yè)信息安全防御能力。

避免移動(dòng)應(yīng)用程序開發(fā)隱患該從哪里著手？

2018年5月，被稱為史上最嚴(yán)格的數(shù)據(jù)保護(hù)條例“GDPR”正式生效是保護(hù)個(gè)人數(shù)據(jù)與安全邁出的重要一步，其實(shí)施使移動(dòng)應(yīng)用、IoT應(yīng)用等的保護(hù)面臨更加嚴(yán)苛的合規(guī)條件。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等的實(shí)施在隱私保護(hù)層面對(duì)于移動(dòng)應(yīng)用開發(fā)提出了更嚴(yán)苛的合規(guī)要求。

[[239874]]

Gartner今年發(fā)布的《應(yīng)用保護(hù)市場(chǎng)指南》中指出，在主流組織的安全部門之外，人們對(duì)應(yīng)用保護(hù)技術(shù)的認(rèn)知程度且采用的迫切性很低。雖然業(yè)務(wù)部門的管理人員認(rèn)識(shí)到它是一種客戶體驗(yàn)改進(jìn)工具，但是開發(fā)人員并不覺得其應(yīng)用程序可能成為攻擊目標(biāo)。作為Gartner指南里唯一總部位于中國(guó)的供應(yīng)商梆梆安全更是早已意識(shí)到了這一點(diǎn)。(*)

在近幾年發(fā)現(xiàn)的針對(duì)移動(dòng)應(yīng)用的攻擊和漏洞中，比如國(guó)內(nèi)發(fā)現(xiàn)的應(yīng)用克隆漏洞、Zipperdown、寄生推等，很多都屬于無(wú)差別式攻擊范疇，任何應(yīng)用都可能成為相關(guān)攻擊對(duì)象，加之來(lái)自于合規(guī)層面的要求，需要從移動(dòng)應(yīng)用保護(hù)思路著手轉(zhuǎn)變，從意識(shí)培養(yǎng)入手，重新對(duì)安全進(jìn)行戰(zhàn)略定位，選擇適合的應(yīng)用保護(hù)技術(shù)，使得應(yīng)用保護(hù)策略逐步逐級(jí)實(shí)施。

構(gòu)建更為有效的移動(dòng)應(yīng)用防護(hù)體系

依據(jù)PPDR下一代安全體系框架思路，移動(dòng)應(yīng)用保護(hù)需要從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度，強(qiáng)調(diào)安全防護(hù)是一個(gè)持續(xù)處理、循環(huán)的過(guò)程，細(xì)粒度、多角度、持續(xù)化的對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。

縱觀近年來(lái)應(yīng)用保護(hù)市場(chǎng)的發(fā)展，應(yīng)用保護(hù)的技術(shù)和理論研究從未停止過(guò)，從最初的應(yīng)用加固、到源碼混淆、白盒密碼、數(shù)字簽名、SO文件加固、SDK加固、應(yīng)用沙箱，再到安全軟鍵盤、多態(tài)、清場(chǎng)SDK以及其他可以保護(hù)應(yīng)用本身安全及其資源環(huán)境等安全的組件。技術(shù)的發(fā)展使得有意識(shí)且需要采用應(yīng)用保護(hù)的企業(yè)面臨越來(lái)越多的選擇，越來(lái)越多的組織開始采用組合式的應(yīng)用保護(hù)技術(shù)以避免他們開發(fā)的應(yīng)用遭遇黑客攻擊，但如何來(lái)構(gòu)建更為有效的移動(dòng)應(yīng)用防護(hù)體系成為難點(diǎn)。采用平臺(tái)化技術(shù)能夠更好地幫助企業(yè)完成應(yīng)用保護(hù)，并對(duì)應(yīng)用保護(hù)實(shí)施的全生命周期進(jìn)行更為有效的安全管控。

Gartner今年發(fā)布的《應(yīng)用保護(hù)市場(chǎng)指南》中提到，到2021年，一半以上的企業(yè)將通過(guò)單通道多通道應(yīng)用保護(hù)平臺(tái)來(lái)進(jìn)行應(yīng)用保護(hù)。(*)

聚焦平臺(tái)賦能企業(yè)移動(dòng)安全

然而，現(xiàn)實(shí)的情況是，很多安全產(chǎn)品還無(wú)法有效整合，企業(yè)安全思維仍然停留在“事件響應(yīng)”階段。而好消息則是，近年來(lái)，在業(yè)務(wù)和合規(guī)雙軌驅(qū)動(dòng)的環(huán)境下，諸如銀行、政府、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等企業(yè)正在開始采用新技術(shù)的同時(shí)注重安全技術(shù)的引入和管理，其思路正在向持續(xù)響應(yīng)思維轉(zhuǎn)變，并且開始嘗試以平臺(tái)化方式、從用戶視角面向業(yè)務(wù)實(shí)現(xiàn)精細(xì)化安全過(guò)程管控。

基于此，梆梆安全發(fā)布了全新的應(yīng)用安全開發(fā)管控平臺(tái)，在深度研究應(yīng)用行業(yè)規(guī)范及業(yè)務(wù)特性基礎(chǔ)上，通過(guò)場(chǎng)景化威脅分析和應(yīng)用安全建模，為行業(yè)應(yīng)用打造專屬的安全基線標(biāo)準(zhǔn)，客觀展現(xiàn)每一個(gè)安全需求細(xì)節(jié)。同時(shí)以自動(dòng)化方式指導(dǎo)、監(jiān)控應(yīng)用安全開發(fā)生命周期，并在其中提供靈活的應(yīng)用安全解決方案及服務(wù)集成。

服務(wù)開發(fā)

長(zhǎng)期以來(lái)，安全部門和業(yè)務(wù)部門對(duì)于安全需求及其重要性的理解存在嚴(yán)重的信息不對(duì)稱，一方面業(yè)務(wù)部門不太重視安全需求開發(fā)的重要性，且不了解安全開發(fā)的必要性，因此使得安全開發(fā)不能得到有效執(zhí)行。另一方面，安全部門不能全面了解其所在機(jī)構(gòu)開發(fā)應(yīng)用的安全實(shí)施進(jìn)展，因此無(wú)法確保在關(guān)鍵節(jié)點(diǎn)采用應(yīng)用安全保護(hù)方案，導(dǎo)致安全開發(fā)與規(guī)劃脫節(jié)。應(yīng)用安全開發(fā)管控平臺(tái)可以有效緩解安全部門和業(yè)務(wù)部門關(guān)于安全開發(fā)信息不對(duì)稱的現(xiàn)狀，根據(jù)組織特性及行業(yè)特性定義安全基線，并在規(guī)劃階段制定適合的應(yīng)用保護(hù)策略，將其細(xì)化至安全開發(fā)的每一個(gè)環(huán)節(jié)，確保閉環(huán)防御流程的落地實(shí)施。

智能管控

新一代自適應(yīng)安全防御架構(gòu)強(qiáng)調(diào)通過(guò)預(yù)測(cè)、檢測(cè)、防御和響應(yīng)的流程實(shí)現(xiàn)持續(xù)監(jiān)控與分析，完成閉環(huán)防御流程。應(yīng)用安全開發(fā)管控平臺(tái)正是基于這一架構(gòu)及思想，根據(jù)移動(dòng)應(yīng)用業(yè)務(wù)功能特性，自動(dòng)化為用戶同步生成具有針對(duì)性的移動(dòng)應(yīng)用安全開發(fā)規(guī)范，實(shí)現(xiàn)移動(dòng)應(yīng)用在需求分析階段、設(shè)計(jì)階段、安全編碼階段、安全策略執(zhí)行階段、測(cè)試階段、投產(chǎn)運(yùn)維階段的全生命周期安全管理，形成防御閉環(huán)，并以自動(dòng)化的方式實(shí)現(xiàn)安全流程指導(dǎo)和管控。

量化管理

網(wǎng)絡(luò)安全可視化及量化管理是近年來(lái)網(wǎng)絡(luò)安全的熱點(diǎn)趨勢(shì)，同時(shí)對(duì)產(chǎn)品的數(shù)據(jù)處理和分析能力提出了更高的要求。應(yīng)用安全開發(fā)管控平臺(tái)將安全管理工作量化，并以報(bào)表的形式直接呈現(xiàn)。一方面可以基于業(yè)務(wù)全流程生命周期管理推進(jìn)安全管理工作的實(shí)施，凸顯安全管理工作的價(jià)值；另一方面基于平臺(tái)實(shí)現(xiàn)跨部門的最大化協(xié)同工作，使移動(dòng)應(yīng)用保護(hù)工作不再成為組織網(wǎng)絡(luò)安全保護(hù)的短板。

應(yīng)用安全開發(fā)管控平臺(tái)是幫助組織完成從移動(dòng)應(yīng)用保護(hù)1.0到2.0邁進(jìn)的重要里程碑，是梆梆安全在應(yīng)用保護(hù)領(lǐng)域的重要探索成果，梆梆安全堅(jiān)持踐行“自適應(yīng) 御未來(lái)”，與用戶一起共同筑起全球應(yīng)用保護(hù)的圍墻，將攻擊消弭于圍墻之外！

(*) Gartner, Market Guide for Application Shielding, 27 June 2018

聲明：

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.