梆梆安全观点:换个思路解决移动互联网时代安全问题
各类智能移动终端设备的快速普及,极大推动了人们进入移动互联网时代的速度。而有鉴于互联网日益严峻的安全形势,人们也在采取各种办法来加强对移动互联网的安全防护。
快速发展的移动互联网,在给人们生活带来便利的同时也带来了隐藏的安全问题。而且移动互联网安全问题与传统互联网安全问题相比还有许多不同之处,梆梆安全创始人及CEO阚志刚博士认为移动互联网时代的安全问题具有着“三高一多”的特点,即高频度、高密度、高隐蔽性、多样性。
移动互联网时代,便携的智能移动设备、无处不在的无线网络,使得发起恶意攻击十分容易,攻击频率、攻击密度也因此变得很高。这与互联网时代的攻击截然不同,互联网时代一次攻击的发起往往要历经很长的时间,比如现在极难防御的APT类攻击,其攻击时长可达半年甚至更久。
如今各类恶意攻击都十分注重隐蔽性,从互联网发起针对企业的恶意攻击还有可能被各类安全产品所察觉。但移动互联网当前主要的终端硬件载体智能手机里往往存有个人隐私数据,以及在线支付、手机话费等个人金融信息,非专业的个人用户面对专业骇客所发起的攻击,将更难及时察觉,一条貌似普通短信的背后往往就隐藏着不可得知的恶意攻击威胁。
另外,现在的智能移动终端除了手机外,还有平板电脑、智能手表、智能眼镜等等,相信随着人们步入万物互联时代,智能移动设备会变得更多。恶意攻击者可以从众多的移动设备上发起攻击,或者针对这些移动设备进行攻击,这使得攻击模式变得更具多样性。
移动互联网里的恶意攻击如此“与众不同”,那么传统安全防御方式是否还适用于解决移动互联网安全问题呢?答案很明显,安全企业、安全专家也都看到了这一点,所以面对移动互联网时代的安全问题,我们需要换个思路了。
这里有个好消息,那就是移动安全的防御本质依然与以往一样,那就是要做到“可管、可控、可防”, 可管理、可防控、可防治,防患于未然。网络安全防护上历来是“三分靠技术,七分靠管理”,再好的安全防护技术如果没有好的管理手段,那么依然很难达到安全防御目标,由此可以看到“管理”在安全防御里的重要性,在移动互联网里“安全管理”将继续发挥重要作用。
阚志刚博士表示,如果要管理就必须成体系,必须要有成体系的服务和技术予以支撑。而考虑到移动互联网恶意攻击的特征,需要将安全防御做到恶意攻击之前。基于大数据的安全技术,能够帮助人们进行先期安全预测分析,帮助人们建立起主动式的移动安全防御体系。
现在的移动互联网的安全问题主要涉及移动设备安全、移动应用安全和移动环境安全这三大方面。而各家App Store里丰富多彩的移动应用,使得应用本身正在成为移动互联网安全博弈的重点之一。手机里一排排小图标的背后,你可知哪个应用是山寨的、哪个应用的代码被动了手脚、哪个应用实际上是在偷偷吸费么?丰富的移动应用是支撑移动互联网快速发展的一大要素,应用安全问题也重来没有如此严峻过。而梆梆安全就正在从移动应用着手,帮助人们解决移动安全问题。
随着移动安全问题愈演愈烈,移动应用开发者也开始重视自身所开发应用的安全性。移动应用的开发者们知道如何开发一款满足用户需求的应用,但在如何使应用更加安全这一问题面前则都很茫然。安全专业人才的缺乏,使得解决应用安全问题变得十分困难。实际上,在应用的设计阶段就需要开始考虑安全问题了。梆梆安全的全服务体系能够在应用设计阶段就告诉开发者应该注意哪些安全问题,并在开发阶段为开发者提供安全的开发规范、安全咨询、安全培训。在应用开发完成后还会帮助开发者对应用源代码进行安全审计、安全加固。
这意味着开发者只要懂开发就好了,已经开发出来的应用只要交付到梆梆安全的移动应用测评云平台,就可以知道应用存在哪些安全隐患,如何修复。正在开发的应用,如果希望能够加强安全性,那么开发者需要做的仅仅是在开发过程中给自己的应用加入梆梆安全的各类安全SDK。
解决移动应用安全问题需要能够更好的对移动设备、移动应用、移动环境进行有效的安全管理。从移动互联网内部自身的各类元素——硬件设备、软件应用等——着手,由内而外提升移动体系整体的安全性,会更有利于解决移动互联网时代的各类安全问题。