在過去的幾年中，伴隨移動互聯網的發展，移動應用作為越來越多企業最重要的業務渠道之一，發揮著越來越重要的作用。移動應用的業務豐富性、便捷性不斷提升，移動安全防護也成為企業安全防護中重要的一個環節。然而最近一個公開案例，又再一次讓我們把目光轉向了移動安全。

　　2019年10月，只有初中文化的00后田某被福建省廈門市思明區人民法院以非法獲取計算機信息系統數據罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書表示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在某銀行手機銀行App內使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。2018年5月也曾有類似案例發生，當時黑客發現某銀行App軟件中的質押貸款業務存在安全漏洞，遂使用非法手段獲取了5套該行的儲戶賬戶信息，在賬戶中存入少量金額后辦理定期存款，后通過技術軟件成倍放大存款金額，藉此獲得質押貸款，累計非法獲利2800余萬元。

　　筆者就這兩次攻擊事件采訪了梆梆安全移動安全攻防實驗室高級研究員譚陽，譚陽表示，這兩起案件里的黑客行動從本質上來講其核心指向的攻擊就是：非授權惡意滲透測試+前端數據造假。

　　金融行業作為目前對于安全要求極高的行業之一，一直以來走在攻防對抗的前線。從移動安全防護本身來講，金融行業在移動安全防護中已經采取了眾多安全手段，如安全加固、滲透測試、安全鍵盤等，甚至更多的企業建立了完善的業務風控或反欺詐的保護機制。在攻防對抗不斷提升的大背景下，這類事件的發生，所有人都想問一個問題：作為安全防護等級要求已經很高的金融行業，為什么還會出現這類事件?除了金融行業是攻擊者關注的重點行業外，其最重要的一個方面是移動安全攻防對抗進入了新階段：動態安全對抗階段。

　　譚陽介紹說，當前移動安全攻防主要經歷了三個階段：靜態保護階段、業務安全階段以及當前最新的動態安全對抗階段。

　　移動安全攻防對抗的第一階段：靜態保護階段

　　在過去的很長一段時間，移動安全的攻防對抗，仍然停留在靜態保護和破解之間的對抗，來回交手數次，攻擊者門檻和成本逐漸提升。防御者一般會：

　　1. 通過應用加固，防止黑客破解應用，分析業務邏輯找出漏洞或繞過安全控制措施，或進行篡改二次打包;

　　2. 通過安全鍵盤，防止用戶輸入賬號密碼被竊取;

　　3. 通過滲透測試/代碼審計，盡可能的找出業務缺陷并在發布前修復掉;

　　4. 通過密鑰白盒，保證本地密鑰存儲的安全性;。

　　移動安全的第二階段：業務安全階段

　　業務安全階段最典型的特征就是通過制定專家規則或者利用機器學習技術，分析各類交易行為數據，試圖找出各種違反規則或者異常交易行為，防御者一般會：

　　1、 通過業務規則，從IP、地理位置、設備、身份證、手機號等多個維度制定業務規則，防止薅羊毛、刷單、批量開卡等業務交易行為;

　　2、 通過模型，利用機器學習及關聯分析，找出異常可疑交易行為。

　　通過第一階段和第二階段的保護，絕大部分移動應用的安全防護達到了一個新的高度，攻擊者的攻擊門檻和攻擊成本也在顯著提升。然而攻防對抗總是在不斷的提升，攻擊者正在另辟蹊徑，尋求產出投入比更好的攻擊路徑。移動安全攻防對抗也隨之逐步進入第三階段：動態安全防護階段。

　　在動態安全防護階段中，攻擊者的典型特征表現為：

　　1、 充分利用業務漏洞的普遍性：在傳統的靜態安全保護中，滲透測試本質上是用來降低業務漏洞帶來的影響。但滲透測試對滲透測試人員的依賴度過高，且無法保證所有的業務漏洞都被找到，而自動化檢測技術則無法達到人工的深度，加之業務迭代更新快速，無法保證每個版本都進行人工滲透測試。這些都導致了業務系統會有很大幾率存在潛藏、尚未被及時發現的安全漏洞。

　　2、 非授權滲透測試的便捷性：在第一階段和第二階段的防護中，無法鑒別和阻止非授權滲透測試行為，這個給黑客攻擊者制造了天然的攻擊條件。

　　3、 前端數據造假的低門檻：利用一些成熟的黑客攻擊軟件，能夠相對容易的實現終端設備信息造假、終端位置信息造假、影音數據造假。

　　譚陽提出，在這個攻防對抗的提升過程中，防守方目前處于弱勢，主要表現在幾個方面：

　　1、 在無法確保業務缺陷被完全消除的情況下，現有安全措施無法有效防御未經授權滲透測試行為;

　　2、 在終端數據造假的低門檻下，無法保證前端采集數據的真實性;

　　3、 對于依賴于前端執行的某些業務規則，無法保證是否正常執行或被繞過，如拍照(繞過拍照上傳一張本地PS照片)、OCR識別(繞過OCR識別填寫任意信息)等。

　　在這個大背景下，中國人民銀行在2019年發布的《中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》銀發【2019】237號文中，已經再一次明確要求：各金融機構要建立健全客戶端軟件風險監測管理機制，充分利用客戶端軟件風險監測平臺，識別和處置客戶端軟件潛在的安全漏洞、權限濫用、信息泄露等風險隱患，對發現的漏洞和潛在的風險及時采取補救措施。237號文的發布，是金融行業移動安全走向第三階段的重要標志。譚陽認為，在第三個階段的動態安全防護的對抗過程中，以下幾方面的能力獲取對于防守方而言顯得尤為重要：

　　1、 靜態保護閉環監測能力：對于傳統的加固、安全鍵盤等靜態保護手段，需要監測其是否遭受攻擊，是否還有效;

　　2、 終端環境可信檢測能力：對于系統環境風險、惡意軟件風險、終端數據造假等情況的檢測預警能力;

　　3、 非授權滲透測試行為監測能力：及時發現終端非授權滲透測試行為，及時作出預警和處置;

　　4、 終端惡意違規行為監測能力：及時發現繞過拍照、OCR識別等前端業務邏輯的惡意使用行為;

　　5、 持續的攻防對抗監測能力提升：能夠及時針對攻擊方式的轉變，及時分析攻擊路徑，提升監測對抗能力。

　　攻防對抗不斷提升是整個安全發展的必然趨勢，唯有安全廠商與客戶一起同步能力提升，才能有效應對新形勢下的安全挑戰。