目前,很多企业都上线了自己的APP或者小程序,在5G时代,开放的接入网络使得任何一个接入设备都可能成为网络攻击的入侵点,在线监测管理和安全防护的重要性日益凸显。6月17日,CIO发展中心特别邀请爱加密CTO程智力作为群访谈嘉宾,分享爱加密的最新企业移动安全理念和最佳实践以及在疫情期间,如何助力企业移动安全。我们对专访进行了整理,现在将文字分享给大家。
北京智游网安科技有限公司(爱加密)CTO 程智力
程智力从事信息安全领域超过20年,持有CISSP、CISA等国际公认的安全行业权威认证,曾先后就职于Symantec、McAfee和Check Point等国际知名的安全厂商,分别担任资深安全顾问、产品经理和安全顾问等职位。熟悉移动安全、云计算、大数据、物联网、工业互联网、IAM、零信任、威胁情报、安全治理等相关技术领域。
主持人:目前,很多中大型企业都上线了企业APP,移动应用安全是一个十分重要又长期被忽视的领域,企业所面临的安全威胁也越发严峻。那么在移动安全领域,大型企业通常会遇到哪些问题?
爱加密 CTO 程智力:信息安全问题无论是对中大型企业还是小型企业都非常重要。在传统大型企业中,原先信息化的承载设备比较单一、数据边界清晰、使用环境明确,使得企业数据始终在可控范围内流转;然而随着移动互联网相关技术的高速发展,尤其是5G技术的成熟促使企业数字化转型加速,企业数据的载体已由传统的PC、笔记本,转移到了智能移动设备、移动App等平台上。这些新型的设备和应用将企业数据的安全管理边界无限延伸开来,早已超越了企业内部的管控环境,简单来说就是移动信息化打破了传统信息化基于专网运行的边界,企业APP给企业带来业务创新的同时引入了更多的安全风险与问题,具体包括几个方面:
移动APP开发过程中存在的风险:企业数字化转型使得绝大部分应用都会通过移动APP的形式展开,促使企业通过自行研发或者委托第三方代为开发等方式大量开发移动APP。在开发过程中,开发者往往以实现业务功能为主,忽视了代码中的安全因素和要求,因此源代码中存在大量的安全漏洞和风险,给后续业务的开展带来了巨大风险。
移动APP自身存在的安全漏洞:以金融企业为例,爱加密通过对全网移动金融APP进行观察了解到,目前移动金融APP中,互联网第三方支付和信托类APP的高危漏洞问题较为突出,存在高危漏洞APP的比例达到93.87%和93.44%。
金融移动应用中存在的高危漏洞可以被攻击者直接利用,攻击者可以获取到使用者的账号、密码、姓名等多种关键性个人信息,进而可以盗用用户身份,发起转账或恶意交易,不但给个人造成经济损失,严重时还会扰乱正常金融秩序。
企业APP接口集成风险:第三方SDK/API接口是指企业为了互联网引流、业务功能快速实现等目的,将自身APP集成了大量第三方互联网企业提供的SDK/API,因而一旦这些第三方SDK/API内含恶意代码或隐藏的推送广告代码,就会造成短时间、大范围的恶意传播和感染。很多SDK/API还具有收集企业APP敏感信息的能力,给企业数据安全带来严重威胁。
企业APP个人信息合规问题:这两年个人信息问题日显突出,监管力度也逐渐加大,给很多企业带来了合规的压力。企业APP由于业务功能设计与广泛存在超范围读写用户设备文件等越权行为,对用户的个人信息安全造成潜在安全威胁。
爱加密在协助监管单位进行监控的企业APP当中发现,每款应用平均申请25项权限,其中申请与业务无关的拨打电话权限的APP数量占比超过30%;每款应用平均收集20项个人信息和设备信息。APP强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出和普遍。
国家对于企业自有APP的监管要求也越来越严,中国网信办、公安部、工信部、质量监督总局四部门在19年组织开展的APP违法违规收集使用个人信息专项治理行动,先后成立专项治理小组,建立APP违法违规收集使用个人信息的举报平台,对存在严重问题的APP采取约谈、曝光、下架等处罚措施。
2019年6月全国信息安全标准化技术委员会发布《移动互联网应用基本业务功能必要信息规范》,针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题给出了合规检测标准,为相关监管机构与检测机构提供检测依据。配合发布的自评估指南供企业进行合规自查使用。违法违规认定办法(191号文件)是监管机构用于检查是否合规的依据标准。
当前我国企业的移动业务已经从单纯的市场开拓阶段进入到了基于风险防范的发展阶段,随着监管框架的完善与安全意识进一步提高,移动APP的合规监管问题愈发突出,也是未来企业APP安全中面临的主要挑战和风险。
主持人:好,感谢程总的解答。刚刚程总也提到随着5G时代的到来,5G+移动+智能物联设备作为新的业务形态不断地在各行各业中推广应用。请您结合企业的一些落地场景,具体介绍下爱加密在大型企业的应用。
爱加密CTO 程智力:5G的本质是解决了物联网和工业互联网场景中的通道问题,极大的丰富了实际落地的业务场景和服务方式。爱加密对于5G网络带来的多端网络安全接入进行了安全与合规方向的测试与防护技术储备,主要对于泛物联网设备终端的固件、操作系统、应用软件源代码与SDK/API进行合规检测与防护。同时结合未来安全防护形势的发展趋势,注重安全威胁情报的收集分析,对安全的预警和响应有更高的要求。企业计划筹建5G网络空间移动业务安全态势感知平台项目的建设,将相关安全业务变为公司未来业绩增长点之一。
2019年,爱加密参与了河北联通、重庆移动的5G示范项目,项目基于5G网络的医疗应用、高清视频等业务应用进行安全保障,为远程医疗提供数据安全防护能力。依托 5G 低时延和精准定位能力,可穿戴监护设备在使用过程中持续上报患者位置信息,进行生命体征信息的采集、处理和计算。爱加密在可穿戴设备端与服务端提供数据监测与防护,保障传输数据不被篡改以及传输过程不被中间人劫持,确保远端医护人员获得准确病情信息,做出及时的病情判断和处理。同时爱加密安全研究院在5G金融应用与发展方向上,与信通院等研究单位共同编写了金融安全白皮书,未来将投入高端的研发力量进行关键技术攻关,更好助力行业客户实现5G业务场景的安全保障。
主持人:感谢程总的实践分享。在爱加密的产品体系中,安全检测是其中重要的一环,那爱加密都提供哪些服务?
爱加密CTO 程智力:从检测角度来说爱加密主要提供以下安全检测能力服务:
源代码安全性检测服务(白盒检测):针对软件开发生命周期阶段早期及时发现问题,找到问题的根源,改进代码质量,提高攻击门槛。主要代码语言包括:AJava、JavaScript、Xml、Html、Sql与iOS端的PHP、Python、C++、C、JavaScript、Xml、Html、Sql等。
应用安全性检测服务(黑盒检测):爱加密移动应用安全检测平台是爱加密拥有完全自主知识产权的核心产品,平台采用静态检测、动态检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、系统缺陷等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险。平台出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、微信公众号检测、微信小程序检测、内容检测等。
应用合规性检测服务(个人信息合规检测):爱加密移动应用个人信息合规检测是针对移动应用、SDK、小程序、H5等中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测系统。该系统针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度测试与评估帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
安全检测工具箱,这是一种一体机工具箱的形式,融合如上所有的自动化检测能力。企业的内部审计或者政府监管机构,携带一个检测工具箱能够方便的在远程现场进行检测、取证,出具报告等操作。
人工业务渗透测试服务:通过模拟黑客的攻击方式对移动应用分别从源码/代码、调试安全、数据安全、加密算法安全、常见安全漏洞、传输协议安全、身份鉴别安全、接口安全等方面进行人工渗透,输出渗透报告,帮助安全开发人员快速明确移动应用客户端的安全风险所在。
主持人:在疫情期间,大部分企业采取线上办公的方式,爱加密对于企业移动安全部署了哪些安全保障,有没有具体案例?
爱加密CTO 程智力:疫情期间,远程移动办公确实成为了主流,因此也带来了很多额外的风险和问题。2020年3月13日,全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—远程办公安全防护》,给出了远程办公的典型应用场景,分析了远程办公可能面临的办公系统自身安全、数据安全、设备安全和个人信息保护等风险问题。
《指南》针对远程办公系统的使用方和用户,分别给出了安全控制措施建议。爱加密为进一步保障远程办公模式下的企业移动安全,满足《网络安全标准实践指南—远程办公安全防护》合规要求,主要提供了以EMM移动管理平台为核心的安全保障服务。在确保不影响用户使用习惯及体验,保障个人私密性的前提下,解决企业移动远程办公的数据存储安全,办公文档安全,数据传输安全、移动设备安全接入与实时控制。此外,爱加密也提供了基于远程办公的个人信息安全风险评估与合规服务。
数据存储安全:企业数据在个人移动设备存储,难以有效管控,无法区分企业数据与个人数据,存在重要数据被有意或者无意的泄漏风险;需要确保企业数据在移动端的安全存储。一般通过设立终端沙箱环境,进行数据的隔离和本地安全防护。
办公文档安全:通过文档附件防分享、终端防截屏、移动应用水印等,避免从移动端泄漏企业数据。
数据传输安全:所有的移动应用的业务服务器部署在企业的内部安全网络,不对外映射开放访问端口等,所有的移动应用访问,都通过安全通道进行访问。安全通道可以是传统VPN/SSL VPN或者基于零信任的SDP等解决方案实现。
移动设备接入安全:由于接入企业内网的移动终端设备种类繁多,需保证凡接入内网的移动设备均达到安全要求标准,具体标准可以由管理员根据不同的场景制定,如:移动设备不可越狱/ROOT、不可携带病毒等。这些都是通过EMM中MDM的组件模块来编写安全策略,通过下发安全策略在本地终端实现设备安全的同一控管。
移动设备实时控制:要求支持通过管理后台对移动设备的远程实时管控,当发生突发情况时(如:设备丢失、员工离职、被盗等情况)可对移动设备做出实时应急控制,锁定手机、禁止访问内部系统,远程消除终端内的重要数据等,确保企业的网络及数据安全。大家熟悉的共享单车的停车到特定位置区域就是基于位置的具体应用场景,和我们对设备的位置控制是一个原理。
个人信息安全风险评估与合规服务:基于企业的远程办公场景,提供在国家《个人信息安全规范》等相关法律法规要求下的风险评估和合规安全服务。安全服务包括对企业目前的个人信息安全现状进行差距分析,帮助企业完善目前的个人信息安全规范、流程和相关制度,对企业的远程办公APP进行技术层面的合规评估并提供相关整改意见建议,帮助企业进行个人信息安全合规的风险防护矩阵建设,最后是进行员工个人信息安全风险意识培训等。
具体的案例是在某个移动省公司的政企部门采用爱加密EMM平台为其政企客户提供安全的远程办公接入平台,在进行远程办公的同时保障了安全性。
主持人:移动互联网发展迅猛,除了要在技术上不断创新突破,也需要安全厂商从不同角度多加思考、发现安全防护的关键点。那爱加密是如何打造并完善移动应用安全的生态体系的?
爱加密CTO 程智力:爱加密围绕移动应用,打造了一个核心,两个生态,三个维度和N个场景的泛移动安全生态体系。“一个核心”是以包括移动应用在内的泛在应用为核心打造完整的主动防护体系。
“两个生态”,是指从政府监管者的视角和企业自身视角打造两个自我运转、自我净化的生态系统。政府监管者侧重对整体移动互联网环境的合规性检测和持续性监督监测,目的是保持网络空间环境的安全可靠,因此需要针对特定的标准进行合规性检测,并且利用大数据技术持续对相关环境进行合规一致性的监测,基于监测结果及时响应风险并且督促违规企业进行整改。而企业生态则力求对整个泛在应用进行全生命周期的自动化防护,并且侧重构建以风险预警和实时响应为主的自动安全运维平台。这样的全生命周期防护包括应用的策划设计、需求调研、开发、测试、合规检测、防护和运维等各个环境。力求通过在每一个节点进行安全的自动化检测和基线的建立,进行安全数据驱动的自动安全风险预警和自动实时响应,最大的减少由于安全威胁带来的业务相关损失。
“三个维度”包括技术、数据和管理。技术上从被动到主动的防护转变,主动发现、事前监控,提高威胁感知、发现与遏制能力。从前期发现、前期修正的角度来节省企业的风险漏洞修复成本,在开发、上线阶段与溯源、响应为主的运维阶段进行技术贯通与流程贯通,打造开发安全运维(devsecops)一体化协同安全管理体系。
数据上从APP端数据采集、传输、处理、存储和销毁整体环节保障数据的安全性和合规性。安全性包括数据的保密、防泄漏、脱敏以及数据安全治理体系的构建。合规则主要是以个人信息安全规范为主要标准的合规体系建设。管理上则是围绕应用为核心,打造以DevsecOps为主的全生命周期管理和SOAR为核心的自动化预警响应能力,形成数据驱动的自动化安全管理体系。
最后我们说N就是以各种应用落地的N种场景,要求安全防护不能是固化不变的,必须是以特定场景为核心的个性化防护。这就对传统以安全功能为主的交付模式提出了挑战。爱加密基于现有的安全体系,搭建了以数据为基础的基于安全场景自定义的安全赋能式方案交付的方式,为不同的场景都构建自定义的安全防护平台。市场上从围绕各类企业移动业务发展需求、行业发展需求、市场技术发展需求到上游企业监管单位需求,形成监管赋能与企业赋能未来与C端用户赋能的安全生态体系。
主持人:感谢程总的精彩分享,此次访谈的第一个环节就先到这里了。下面开始问答互动环节。
问答互动
Q:企业在建设移动APP的安全防护体系时,应该侧重优先进行哪些防护能力的建设?
A:在现在的安全攻防形式下,默认安全攻击的结果是一定会成功。所以对于APP的安全防护体系建设时,需要优先构建的是感知预警和响应的能力。APP在下发以后,会在不可信的平台、环境中运行,操作APP的人也是不可信的,执行的行为动作也是不可信的。企业对于下发的APP不具有可视化的能力。因此需要通过感知的方式实时了解APP在互联网中的安全态势。通过对APP的安全态势的了解,能够拿到第一手的安全数据,通过分析形成安全情报,进而分析未来风险最大的安全威胁,做到主动的安全策略调优和防护,达到主动防御的效果。而安全态势感知的部署,也能够第一时间进行安全风险的响应,在针对APP的代码、数据、业务等层面攻击时,做到第一时间响应。在现在的形势下,响应的窗口大小直接决定了企业遭受的损失的大小。所以对于企业来说,首先需要有一个企业统一的安全防护平台,然后在平时的基础上优先部署感知和响应能力。当然,要形成完整的感知和响应不是一蹴而就的,也要根据企业现有的情况进行规划,分阶段部署。
Q:爱加密的加固方案是否适用于电视机顶盒里的android apk?是否有真实案例?机顶盒里的apk一般size都比手机端的要小很多,不知道通过爱加密加固前后的app的差别有多大?比如从包的大小、以及运行的性能等方面影响大么?
A:关于电视机顶盒的android apk防护,我们有真实案例,是在华东地区的,这个我们可以线下沟通具体细节。我们的APK防护会采取包替压缩的技术,一般来说防护以后的包体大小变化是原有的正负5%。基于不同包体的具体情况,性能影响也是在5%以内。
Q:程总您好,这两年以来,个人信息安全合规的要求日趋严格,对于企业来说,如何保障其移动APP的个人信息安全合规?需要注意哪些方面?
A:关于个人信息安全的合规要求,是这两年来每一个企业都面临的很大的挑战。传统的方式是在每一个APP发版的时候通过自动或者人工的检测发现评估违规的地方,然后进行整改。但这样的方式往往只能基于某个点的层面阶段性的解决问题,随时时间的推移,很可能会暴露问题,出现新的违规点。因此要做到持续性的合规,需要的是构建个人信息安全合规的管理体系,从组织结构,流程,技术支撑能力到规章制度,管理矩阵和人员意识培训多个层面进行立体化的建设。在这个建设中,首先需要有专业的安全服务团队基于企业的业务现状进行差距分析,然后提出管理、策略、流程上的整改要求,再结合APP和其他业务模式对数据流转的完整生命周期进行合规性评估测试,最后帮助企业建立完整的个人信息安全合规性体系。在做合规检测中技术是其中核心部分,但不是全部。这里面需要有目标,政策,组织结果,和人员培训等配合在一起,才能形成个人信息安全合规的长效机制。