編者按:在體驗不斷更迭的產品時需要明確的是,我們的信息和數據是否會受到威脅。網絡安全是一個悖論,在開發者眼里用戶只是薛定諤的貓。每一個新的攻擊方式出現時,可能用戶還沒有鑒定自己生死的能力。
移動支付在剛剛過去的春節掀起了2016中國互聯網第一陣風潮,隨之而來的是安全圈的一片質疑聲。首先我們需要強調的是產品體驗與安全機制是兩個層面的問題。春節前夕,筆者發起了關于移動安全話題的討論,從企業安全和用戶安全角度,移動設備本身帶來的便捷性就是一把雙刃劍,如果說移動設備和移動應用提供給開發者無數的機遇,那么也正意味著有更多的諸如后門之類的可乘之機開放給了攻擊者。
傳統用戶對于移動安全的認知主要停留在應用層面,很多用戶認為,移動安全問題與公眾的意識有關,一方面很多人根本不在乎隱私,覺得自己的信息泄露也也沒多大影響;另一方面,很多人喜歡沾小便宜,整個社會都是這樣,用著免費的東西就感覺是賺到了,為了幾分錢的紅包便不顧一切,用APP也一切向免費看,只要是APP就敢裝,只要免費的就敢用,特別對于掛著“安全”稱號的東西,從來深信不疑;還有一個愛炫耀的心理,走到哪兒拍到哪兒,安全根本不當成一回事。這些方面,造成了現在安全問題比較突出、但是沒人關心的現象,用戶一味追求免費好用,廠商一味追求廣告、隱私賺錢,各取所需。
就目前行業發展而言,移動設備最突出的應用領域在于支付問題。盡管移動支付和傳統業務形成閉環還有待時日,但是安全防護必須未雨綢繆,盡管針對于Apple pay安全方面的質疑很多,顯然在數據傳輸方面的加密技術已經十分成熟,產品體驗和底層安全問題的差異在于安全可能來自于開發工具本身,產品體驗只是停留在用戶行為中,斷網、宕機等安全問題解決方案屢見不鮮,針對開發工具以及發布平臺本身“潛伏”的安全問題也形成了很大威脅。
在今年的RSA上IOT安全也引發了新的技術浪潮,安全在用戶無感知的狀態下已經提前部署,物聯網、移動設備、企業安全邊界都屬于移動安全的范疇,隨著遠程通信和辦公業務向終端和云端遷移,必要的安全防護手段是必須的。針對移動安全筆者針對傳統IT企業、互聯網安全公司以及專業安全企業進行了采訪。業內專家各抒己見,從不同層面闡釋了移動安全的本質。本期@安全圈將圍繞“解析移動安全”進行深入探討。
首先,我們來看國內最大的互聯網安全企業奇虎360產品經理薛歡如何看待移動安全。
1,移動端安全威脅的主要特征是什么,與傳統安全威脅相比有哪些共性?
設備的移動性,丟失的風險;設備丟失后,從移動OS本身的漏洞來竊取其中數據。這點與傳統的電腦安全相似,但設備本身的風險大于電腦。另外,隨著移動設備逐漸成為人體的新器官,在個人生活和工作中起著不可或缺的作用,其應用的廣泛性和全面性使其自身具有更高價值。恰恰這種高價值,已成為例如制作木馬傳播木馬等黑色產業鏈牟取非法利益的對象。
與傳統安全危險相比,黑客都會進行資產侵害和盜取個人隱私的行為,但移動終端的侵害目的更加利益化更加赤裸直白,遠不再像傳統PC時代黑客還會單純的炫耀技術。
2,安全審計和數據加密如何與移動安全解決方案結合?
審計與加密有相對的矛盾性,數據加密了,就不容易做審計。若果想使其完美結合,就要在服務端加以管控,通過還原數據流量的方法加以審查,同時還應在應用程序的開發初期,把安全需求考慮進去。
3,遠程辦公的安全隱患有哪些?應該如何應對潛在的安全威脅?
安全隱患在于企業對數據的可控性。有別于移動數據本身的安全,設備的安全,員工的安全意識,也是要考慮的安全隱患。另外遠程辦公其實相當于給內網打開一個口子,建立一個安全通道,如何穿透內網并保證內網和數據通道的安全性,需要全面的安全風險考量和技術支持。
4,移動安全解決方案涵蓋范圍廣泛,如何從身份認證,通信加密,應用加密等專業角度審視企業安全
這些安全手段在傳統的安全產品中都有涉及,同時也是黑客進攻的主要手段。目前身份認證,通信加密,數據加密,都是相對成熟的技術,如果能確實落實,已經能做到相對安全。同時,如果能從數據本身出發,對終端的使用行為加以分析,預判,可以從未知的角度和風險防范角度對企業安全予以加強。
5,企業針對內部終端設備應該設置何種程度的安全管控?
根據不同業務應用來設計不同的安全管控策略,安全性加強的代價會是用戶使用體驗上的妥協。如何權衡才是企業著重考慮的問題。
6,除去企業用戶之外,公眾可能會面臨哪些廣泛存在的移動安全威脅,移動支付或者是無線安全?
公共Wi-Fi,騷擾信息,釣魚短信,詐騙電話,吸費木馬,移動支付陷阱,設備惡意偷盜,欺詐二維碼等,基本與移動終端本身的安全問題相似。
7,移動安全如何與云查殺向結合?
云查殺,或是說云數據,是安全防衛的新趨勢。對于可預知的安全問題在認知范圍內通過技術手段,只要準備到位,大多都可以預防。但是對于未知的威脅,傳統的手段這種后知后覺的方法,就顯得有些力不從心。通過和大數據的結合,通過行為分析,威脅感知技術,從另外一個維度,用另外一種思想,考慮安全問題。
綜上所述,互聯網企業顯然關注的是安全和業務的并行能力,移動安全與公眾息息相關的還是傳統詐騙、騷擾等行為。顯然,360在此方面的積累和造詣已經年深日久。根據不同企業的業務需求以及不同人群的使用習慣去制定相關的安全策略是互聯網安全機制的落地的切入點,云查殺的結合也引申出新的攻擊防范方式。
中國數據安全第一股企業明朝萬達如何從數據安全層面解讀移動安全?
移動端的安全威脅本質和傳統安全威脅沒有不同,僅增加了移動特征,這個特征導致了一些新的安全威脅,例如設備丟失、設備接入不可信網絡、攻擊設備易接入等。
安全審計與數據加密和關系解讀
在移動安全解決方案中,安全審計也是重要的組成部分,對于移動設備的位置、行為綜合安全審計是重要的組成部分,根據位置和移動設備的行為,可以審計出一些更加細節的安全威脅和行為。例如在不恰當的位置執行一個敏感操作,可以很容易判斷出一個非法行為。
在移動安全解決方案中,數據加密是一個核心和必備的功能。由于移動特性導致設備易丟失,物理容易被攻擊者接觸,此時對于核心數據的加密是保障數據不泄露的最后一道防線。
BYOD的潛在的安全威脅如何得到合理管控?
遠程辦公的安全隱患集中在于人員可信和數據泄露兩個方面,因此遠程辦公業務場景中,應加強人員的身份認證和全過程的數據保護。具體措施有采用多因素的身份認證和多種身份認證策略,加強對設備和人員的綁定關系,加強數據傳輸過程的加密,加強數據落地和使用過程的加密,增加遠程數據擦除等丟失應急措施等。
根據企業性質和終端性質不同,應設置不同程度的安全管控措施。如果企業應用數據敏感度不高,都采用BYOD模式,那么對于終端設備采用松散的注冊管理即可,加強應用自身的安全防護。如果企業數據敏感度高,設備都是企業自有,那么對終端設備應采用較強的安全管控措施,例如定位、綁定、強制安全措施、強制白名單應用、強制加密等。
淺析移動安全的未來
公眾在移動設備上做的各種敏感操作都會遇到廣泛的安全威脅,例如各類型的賬號竊取、偽造網站釣魚、偽造或惡意短信、虛構促銷騙取信息等。這些威脅都是從非移動端,根據移動設備和應用特性延伸出來的。
云查殺本質是利用大數據和集體智慧形成的惡意程序判斷結果,在移動上,一方面需要個體貢獻數據和判斷,一方面也需要利用其他大樣本個體的判斷結果來輔助自己的判斷。在移動安全上,實時傳遞各類型樣本是不現實和耗費流量的行為,因此需要考慮如何縮小傳遞數據,節約流量而又能達到良好的效果。
飛天誠信從移動支付領域解讀了加密技術與金融行業的耦合。
艾瑞咨詢數據顯示,2008-2012年,移動支付用戶規模從0.86億戶增長到2.86億 戶,年均復合增長率達35.04%;移動支付交易規模從275億元增長到1511億元,年均復合增長率達到53.10%。預計到2017年,中國移動支付市場交易規模將突破2萬億元。
統計顯示,用戶在使用移動支付時,對資金安全問題的關注程度極高。高達56.8%的手機銀行用戶希望有更多的安全措施,對資金安全的擔憂也導致移動支付進一步推廣的阻力較大。然而,移動支付系統分類方式繁雜,技術手段迥異,對于分析移動支付系統的安全需求造成了障礙。因此,有必要建立統一的適用于移動支付的安全模型,并在此基礎上對移動支付業務系統的安全要求進行分析。
與基于封閉專用網絡的核心業務系統不同,電子銀行必須抵御開放網絡帶來的病毒侵襲、黑客入侵、信息泄漏……等等各種安全風險。然而,開放網絡等并不在銀行控制范圍之內,銀行難以主動部署防控措施,也很難保證采取措施的效能,更難控制由此帶來的風險及危害。基于這樣的實際情況,從架構上將電子銀行系統分為前端、通信網絡、后端三部分。不同的前端、通信網絡以及后端的組合形成了多種多樣的電子銀行業務渠道。典型的電子銀行渠道包括網上銀行渠道、手機銀行渠道、電話銀行渠道、自助終端渠道等等。在渠道架構中,前端部署和實施安全保障措施,后端進行校驗鑒別,通信網絡只負責傳遞數據,由此可規避開放網絡帶來的潛在風險以及控制風險的難度。除此之外,渠道之間相對獨立,渠道與核心業務系統通過后端隔離開來。如果某個渠道發生安全事件關閉對應的后端,即可將該渠道從系統中“切除”,避免危及核心系統,同時不至于影響其他渠道。
金融IC 卡內置CPU 芯片,可存儲用戶指紋、照片、身份證、密碼等多種信息,具有獨立運算、加解密和存儲能力。金融行業標準JR/T 0025《中國金融集成電路(IC)卡規范》(以下簡稱《規范》)規定了金融IC卡與終端的接口、借記/貸記等金融業務應用的交易流程以及金融業務應用初始化等方面的要求。金融IC卡能夠獨立完成《規范》在報文及指令中融入的完整性校驗、信源認證等安全措施所需的密碼運算,并且為密鑰、PIN碼、運算過程等敏感信息和敏感行為提供足夠的安全防護。因此,金融IC卡有條件承擔除用戶交互之外的支付前端子系統的行為。與此同時,可以將支付中心看作核心支付子系統,而將金融IC卡通過移動終端、支付設備進而與支付中心之間的通信作為通信網絡處理。這意味著除了人機交互部分之外,可以不在移動終端部署額外的安全防護措施,金融IC卡基本能夠保證近場支付的安全性。
具備交互功能、支持移動終端應用的智能密碼鑰匙,是保障遠程移動支付系統安全性的重要組成部分。根據密碼行業技術指南GM/Z 0001-2013《密碼術語》的定義,智能密碼鑰匙是“實現密碼運算、密鑰管理功能,提供密碼服務的終端密碼設備,一般使用USB接口形態”。在遠程移動支付系統中,移動設備承擔了支付前端子系統的角色,負責根據與用戶交互的結果生成支付指令。這與手機銀行客戶端的功能十分相似(在實際應用中,遠程移動支付往往是通過手機銀行完成的)。可以比照現有較為成熟的網上銀行來評估其安全需求。金融行業標準JR/T 0068-2012《網上銀行系統信息安全通用規范》規定“USB Key應能防劫持,具有屏幕顯示或語音提示以及按鍵確認等確認功能,可對交易指令完整性進行校驗、對交易指令合法性進行鑒別、對關鍵交易數據進行輸入、確認和保護”。因此,遠程移動支付系統也應當使用防劫持的智能密碼鑰匙來保障系統的安全。
傳統安全廠商飛塔對于移動安全有著自己獨到的見解。
移動安全-傳統安全威脅的延展
動端安全威脅的主要概括為三類:應用安全,隨著越來越多的互聯網和傳統行業使用了移動端應用,比如目前針對APP的各類的病毒木馬,對移動APP的逆向及破解,甚至APP后端的安全接口問題。
系統安全,系統自身的存在的漏洞層出不窮,包括Android、iOS系統和芯片、設備及驅動本身的各種漏洞挖掘,例如權限提升漏洞等,讓越來越的系統安全問題暴露出來
內容安全,移動應用程序正成為新的數據泄露主體,包括各類訂票、社交、瀏覽器、論壇等APP,以及互聯網金融發展形成的第三方支付、P2P網貸等多種的金融模式對客戶信息發生的數據泄露。
移動端的安全實際上是傳統安全威脅的延展,共性也非常多,比如 1. 跟傳統安全一樣,面臨越來越多的0day漏洞和攻擊; 2. 傳統的PC平臺和手機的ios,andriod 雖然是不同的平臺,但是平臺以及平臺上的應用漏洞以及平臺的漏洞被利用進行破壞及竊取,3. 基于傳統行業安全的黑色產業鏈經過簡單修改可以復制利用到新的移動互聯網領域。
安全審計移動安全解決方案的耦合
安全審計和數據加密其實并不止限于傳統安全,對于移動安全解決方案尤為重要,Fortinet的移動客戶端Forticlient支持在防火墻FortiGate上注冊后起到終端管控的作用,我們可以在FortiGate防火墻上對所有終端的行為進行審計并發送至我們專有的安全審計設備FortiAnalyzer;
傳統PC終端使用的數據加密基本是使用用戶到端的,同樣在移動端我們也可以復制這種方式,在移動端安裝Forticlient連接遠端防火墻FortiGate 使用SSLVPN或IPsec進行數據加密,從而實現移動終端的數據加密。
Fortinet如何實現遠程辦公防護?
遠程辦公的安全隱患體現在幾個方面幾個,一,客戶端的身份憑據的泄露,如何驗證并確保移動端的真實身份,二.數據在傳輸過程中的安全,網絡是否可靠?是否有加密?是否有可能會被監聽及竊取,三.遠端應用服務器是否足夠安全,有沒有對應的安全保護措施。
了解了遠程辦公的隱患,那我們就可以很好的對癥下藥,從身份識別的角度來看,我們可以通過用戶口令和Fortitoken動態令牌或證書的方式來確保客戶端的真實身份;數據傳輸我們可以利用IPSec/SSL的加密特性來進行數據傳輸,保證數據的可靠性。最后呢也是最重要的遠端應用服務器,實際上大部分都是傳統的安全領域,比如Web應用,IPS,0day漏洞&攻擊,Fortinet有諸多非常優秀的解決方案,比如FortiGate(防火墻), FortiWeb(Web應用防火墻),FortiSandbox(沙盒)產品之間的安全聯動,虛擬化以及云安全解決方案等等,完全可以對后端起到完好的保護效果
企業針對內部終端設備應該設置何種程度的安全管控?
針對于內部的終端設備設備,我們認為至少需要具備以下幾種防護措施,
1. 安全隔離,對于移動終端使用內部企業網絡資源進行相應的網絡訪問控制與隔離;
2. 病毒防護,Fortinet致力于移動終端安全,在病毒防護方面,Fortinet 幾乎參加所有VB100 對比,檢測結果識別率,結合我們防火墻FortiGate在反病毒方面的優勢以及FortiGuard移動安全服務,可以有效的針對所有移動端的流量進行病毒和安全檢查。
3. 惡意網址攔截,通過FortiGate上的FortiGuard網絡全球網址分類有效保護內部終端遠離惡意網站訪問。
4. 數據泄露防護,針對企業內部涉及到的內部關鍵信息,如員工編號,電話號碼,郵件信息等等進行數據防泄漏。
公眾可能會面臨哪些廣泛存在的移動安全威脅?
Fortinet認為,在移動端面臨的各類安全威脅,移動端的各類支付的APP的安全,比如 電商、支付、理財、團購、銀行的各類支付目前都有相應的APP病毒;那么這些病毒都會存在竊取用戶銀行帳號密碼,轉發用戶短信、讀取用戶通訊錄等隱私風險;
公共WIFI以及終端應用涉及到的信息泄露,當我們連接公共的WIFI的時候,很有可能這個WIFI是個偽造者提供的,終端用戶接入到該WIFI,偽造者就會盜取用戶的密碼、竊取他們的身份信息、或是獲取他們的銀行賬戶等。
勒索軟件/惡意軟件,終端用戶下載某些偽裝的游戲外掛或者付費破解,一旦運行之后會將手機鎖定,需要支付Q幣進行解鎖。
移動安全如何與云查殺向結合?
移動安全和云查殺相結合可以分為2個方面,一方面企業在云端部署了的應用提供給移動終端應用服務,包括許多企業部署了自己的云業務,包含了公有云,私有云,以及混合云。Fortinet與目前主流的公有云平臺如amzon、微軟、Ctrix都有比較深度結合的虛擬化解決方案,在私有云我們也有Vmware,Openstack,KVM上相對應同樣的虛擬化產品,其中就包括了云病毒查殺,0day的攻擊&漏洞的沙盒檢測及攔截,惡意網址攔截等一系列的安全措施。
另一方面,移動終端上的惡意軟件或者惡意網址的訪問,在移動終端和FortiGate防火墻聯動之后,可以通過FortiGate進行初次查殺及過濾,可疑文件則上傳至云端進行云查詢及云的沙盒檢測,最終通過我們的FortiGuard網絡來進行攔截。在15年的Q4,Fortinet全球每分鐘攔截4.4萬次的僵尸網絡&CC攻擊,13萬次的惡意軟件,18萬次惡意網站訪問,55萬次網絡入侵行為。
小結:移動安全解決方案的涵蓋范圍非常廣泛,同樣企業對于自身的安全防護愈加重視,那么如今的安全形勢,并非像以往一樣可以通過某一個點的形式完全解決,必須通過完整的安全構建來體現和考量,除了問題3提到的FortiGate,FortiWeb,Fortisandbox之間的安全聯動以外,在身份認證方面,我們有統一的安全認證平臺FortiAuthenticator,不僅如此,Fortinet在終端安全,無線安全,企業的一體化安全解決方案,APT邊界安全,數據中心應用安全以及云安全都有對應完整的解決方案。
移動辦公已經逐漸普及,在BYOD盛行的當下如何保證移動辦公設備的安全性成為眾多安全企業的攻堅課題。
在虛擬化領域深耕多年的亞信安全科技在2015年提出虛擬化移動安全解決方案。亞信安全移動安全專家劉政平認為,移動安全具備各種不同層面的解決方案,從Gartner的分析報告來看,加密技術和應用安全都是在企業中廣泛探討的技術,綜合而言,單一的認證技術并不足以保證移動設備的安全性,因此,需要融合多種方式的認證。政府廣泛采用的VPN加密、支付類的應用加密技術、本地加殼技術都屬于傳統安全技術范疇。 越來越多的數據向云端遷移的大背景下很多業務數據都是通過網絡實現的,因此移動安全的探討也是建立在這一理念的基礎之上的。亞信安全的虛擬化移動安全技術采用了類似于docker虛擬技術,在移動終端上虛擬安卓系統,其實際業務數據是保存在云端的。通過圖像方式,用戶在虛擬機中看到的是來自于數據中心的圖片影像。這一虛擬化技術不同于傳統的堆疊式安全防御,并沒有一味的增加安全防護的門檻,而是利用既有的數據中心和網絡虛擬化技術解決安全問題。
盡管虛擬化技術并沒有全面普及,但是隨著移動技術的發展,未來5G技術的傳輸速度將對虛擬化技術提供強有力的支撐。針對無線WiFi安全問題,劉政平認為企業內網邊界依舊需要通過無線網絡加密方式解決。亞信安全預測,隨著移動支付的普及,在2016年移動支付領域的安全問題將是問題多發區域。對于頻繁出現的開發平臺出現的安全問題,劉政平進一步指出第三方開發來源的安全意識問題亟待解決,很多開發人員并不注重安全問題,這也使得開發工具本身存在可乘之機。
在技術發展趨勢上看,虛擬化技術不斷發展的今天,云和端的防護手段都是十分必要的,很多黑客利用移動端漏洞攻擊云端,因此云端的防護將是未來企業安全防護的重點。由于物聯網基礎本身的非開放性,移動安全專家們對于物聯網本身的走向還十分謹慎。從亞信安全產品來看,虛擬化移動安全解決方案已經開始在行業和一些政府涉密單位落地,基于移動安全辦公的相關產品也將進一步在市場中普及。
京公網安備 11010502049343號