從“移動應用”到“萬物互聯”，「梆梆安全」筑牢防線守護移動應用安全

　　科技云報道原創。

　　由中國網絡安全產業聯盟（CCIA）、科技云報道共同主辦的“解碼2022中國網安強星”活動正式拉開帷幕。本次活動以“網安力量 照見未來”為主題，邀請榮獲“2022年中國網安產業競爭力50強、成長之星、潛力之星”的企業高層做客直播間，從行業、技術、市場等多角度探討網安相關話題，探究企業背后的創新力量和安全實力。

　　安全是數字時代的基礎，也面臨著最嚴峻的挑戰。隨著5G和互聯網技術的不斷成熟，人類正從移動互聯網步入萬物互聯的“大連接”時代。

　　小到手機中的App、智能家居產品，大到智能汽車、工業領域各種設備，無處不在的移動應用、智能設備與網絡連接在一起，連接點越多，被攻擊可能性越大。

　　8月9日，梆梆安全創始人、董事長兼CEO闞志剛做客“解碼2022中國網安強星”直播間，與大家共同分享了關于移動應用安全和物聯網安全的最新觀點。

　　小步快跑，植根于移動應用安全基因

　　在移動應用安全領域，梆梆安全已處于行業領跑地位。

　　從最早的工具化技術服務到移動安全服務，梆梆安全猶如一只啄木鳥，不斷搜索著生病體，啄出病蟲害，為用戶提供全面的移動安全保障。

　　梆梆安全成立于2010年，那一年被公認為“移動互聯網元年”，移動設備正在經歷從功能手機向智能手機轉變的關鍵時刻。

　　圍繞移動安全，梆梆安全潛心打磨安全技術，從技術和服務理念兩個層面為用戶提供安全感。

　　業界首創的加固技術及“安全即服務”交付模式，奠定了梆梆安全在移動應用安全領域的獨特優勢和領先地位。

　　經過12年發展，梆梆安全已經形成4條產品線、將近20多個子類產品，從保護、檢測、加固、監測到響應，形成了完整的產品閉環鏈條，為包括關鍵信息基礎設施企業在內的4800多家企業客戶提供安全服務。

　　盡管安全目標永恒，但網絡安全威脅卻一直在不斷變化。梆梆安全因時而進、因勢而新，將在移動安全領域的技術優勢延伸至物聯網安全領域。

　　在物聯網安全領域，梆梆安全建立了貫穿物聯網開發、測試、運營、決策全生命周期的安全防護體系，從物聯網研發生產、測試發布，到運營監管都提供相應的安全咨詢、檢測、評估、防護、監管、預警、響應能力，防止針對物聯網應用、固件的破解、篡改以及各類攻擊行為，及時發現網絡資產風險，為保護整個物聯網生態安全貢獻力量。

　　如今，梆梆安全已經推出了車聯網、智能家居等物聯網安全相關解決方案，并積極投入面向未來的“認知安全”。

　　對于梆梆安全的策略來說，一是穩固并繼續深入移動應用安全，二是研發探索新的安全市場，如物聯網安全、人工智能安全等。

　　憑借領先的移動安全和物聯網安全技術，在2022年6月中國網絡安全產業聯盟（CCIA）最新發布的“2022年中國網絡安全競爭力50強”榜單中，梆梆安全榮登“中國網安強星50強”。

　　把根扎深，筑牢防線守護移動應用安全

　　隨著移動互聯網和數字化的深入發展，移動互聯網逐漸成為企業業務服務和辦公協同的核心入口。

　　與此同時，圍繞移動應用的惡意攻擊愈發猖獗，安全漏洞、惡意代碼、釣魚欺詐、垃圾信息等安全問題層出不窮。由于移動終端更多地涉及個人信息，隱私性更強，也面臨諸多新的安全問題。

　　針對當下嚴峻移動安全形勢，闞志剛表示，移動應用形態已經從單一的App向小程序、H5等多元應用擴展。

　　這些程序中，不僅包含個人信息，還有API、SDK數據等，因此保護對象數量基本上擴大了4-5倍。

　　基于此，政企機構面臨的移動安全挑戰主要來自于兩個方面。

　　一方面，移動應用正逐漸成為惡意攻擊者的主要目標，應用漏洞、隱私違規問題最為突出，盜版仿冒應用、數據境外傳輸等安全威脅同樣不容小覷。

　　另一方面，移動應用安全監管逐步強化。

　　從2020年開始，工信部、國家互聯網信息辦公室等四部門對移動應用進行常態化監管，定期對不合規移動應用進行通報。

　　基于“有法可依”原則，安全法規及標準持續落地；基于“執法必嚴”原則，違法違規通報已成為了常態化。

　　這些變化使政企機構在移動應用的個人信息保護、數據安全治理、技術能力、人才儲備等多方面，均面臨新的風險與挑戰。

　　比如，絕大部分銀行都有自己的手機銀行、小程序，銀行普遍擔心用戶在通過手機銀行和小程序進行交易時，黑客會竊取用戶財產。

　　同時，銀行在開發手機銀行、小程序等應用的同時，也引入了新風險，黑客能夠通過手機銀行，滲透到銀行后端的服務，從而盜取用戶個人信息和交易記錄。

　　這會給整個國家金融系統造成很大風險，引發用戶不信任感，因此銀行必須要有能力堵住這些安全風險。

　　再比如，電商平臺擔心最多的是被薅羊毛。

　　與普通消費者領取平臺各種優惠不同，惡意團伙大多利用黑客軟件，進入電商后臺并繞過風控系統，以機器代替人批量獲取優惠券、現金紅包，從中獲利。

　　除了搶券、搶紅包外，惡意團伙也針對銀行卡、短視頻平臺及部分App推出的新用戶優惠及返現等活動“薅羊毛”。

　　針對不同行業時常遭遇的移動應用安全風險，梆梆安全提供從底層代碼加固、測評檢查、運行安全監測到安全運營的整個安全流程的全周期解決方案，構建起完整的移動應用安全防御體系。

　　其解決方案充分考慮移動應用建設過程的不同階段，融合應用安全保護、安全與合規檢測、運行安全監測、安全運營、安全制度和標準體系以及安全和運營保障體系等方面，設計開發了包括檢測、加固、管控、監測在內的一體化安全服務平臺，覆蓋Android、iOS、H5、服務端等主要移動應用場景，并針對個人信息保護領域的法律法規研發了移動應用合規平臺，助力企業實現移動應用安全合規。

　　開源當道，企業軟件安全風險與破解之道

　　開源技術的流行，為支持業務與服務場景創新，適應移動互聯網時代千變萬化的需求提供了技術支撐。

　　開源軟件開放共享、易于獲得、快速迭代的特性，在讓企業享受到技術紅利的同時，也帶來了數據安全、運維技術、知識產權、供應鏈安全等多方面的挑戰。

　　闞志剛表示，數據安全風險是在應用開源軟件過程中的頭號挑戰。

　　開源軟件的源代碼共享，使得很多配置信息中會涉及賬號、密碼等敏感信息，如果未能對代碼進行審核，有可能造成數據泄露風險。

　　其次，運維技術風險。開源軟件缺乏相應的廠商服務、運維支持和SLA承諾。

　　因此，在開發和運維階段需要公司內部有專業技術團隊提供支持，很多企業本身的技術和運維人員在數量和能力上有一定的局限性，解決相應運維問題會存在一定難度。

　　第三，知識產權風險。企業在應用開源軟件時最隱蔽的問題應屬開源許可證的“商用”。

　　不遵守開源許可協議、未得到開源軟件專利權人的許可、許可證沖突等，會導致一系列的知識產權等法律風險。

　　第四，供應鏈安全風險。開源軟件供應鏈相較于傳統軟件有著更復雜的網絡，也受地緣政治影響。

　　對于App使用者，由于缺少對相關信息跟蹤能力，存在一定的消息滯后性，也增加了開源軟件供應鏈管控難度。

　　站在企業實踐的角度，梆梆安全長期關注移動互聯網應用程序在信息安全、隱私合規、開源技術等維度所面臨的風險，并建立了相應的安全防護體系。

　　通過梆梆安全滲透測試服務、隱私合規評估服務及安全測評、合規測評平臺，形成以自動化工具為主、人工為輔的“2+2”整體安全及隱私合規評估體系，全面識別移動應用引入的開源SDK、資產清單并關聯整體安全及隱私風險，提供具有實操性整改建議，全面協助進行風險修復，將開源SDK引入的系統性風險降低至可接受范圍內。

　　在“2+2”安全框架下，梆梆安全為客戶提供包括隱私合規和安全測評在內的雙平臺自動化測試，可實現移動應用所引入的開源SDK整體通用性風險輸出，涵蓋開源SDK面臨的安全風險和隱私合規風險。

　　同時，輔以滲透測試及隱私合規評估雙服務，可實現移動應用所引入的開源SDK具體業務邏輯風險輸出，具體包括開源SDK二進制代碼保護缺失風險、數據傳輸安全風險、加密算法及密鑰泄漏風險、用戶數據存儲安全風險、跨進程交互風險及面臨的隱私合規風險。

　　針對愈發凸顯的隱私合規問題，闞志剛表示，目前安全行業開展隱私合規主要是通過安全服務，純自動化安全產品的準確率，還無法達到商業化水平，仍然存在需要突破的技術瓶頸等現實問題。

　　今年，梆梆安全在合規產品檢測工具方面又進行了大規模投入，預計未來2-3年，其自動化程度會越來越高，比較理想的模式是70%-80%的工作都由工具去完成，其余部分輔以人工方式完成。

　　新革命，從“移動應用”到“萬物互聯”

　　每一次應用場景和應用需求的大變遷都在孕育新的機遇。后疫情時代，業務在線化比例急速提升，萬物智聯真正成為產業發展的主旋律。在5G、人工智能等技術的推動下，物聯網的內涵也在不斷擴展和升級。

　　據Statista、Aruba、福布斯等多家機構的數據，2021年，活躍的物聯網設備超過100億臺；到2025年，每分鐘將有152200臺物聯網設備連接到互聯網；83%的組織通過引入物聯網技術提高了效率。但48%的企業承認他們無法檢測到網絡上的物聯網安全漏洞。

　　如何利用安全新技術將物聯網安全與未來發展聯結起來，是梆梆安全一直在思考的事情。

　　不論是穩固現有移動安全市場，還是對物聯網領域的探索，梆梆安全都有自己的一條主線，這也是闞志剛認為的網絡安全本質——以軟件為核心，建立安全防御體系。

　　“軟件定義一切”闞志剛堅信軟件是未來很重要的一個因素，無論是移動應用安全、物聯網安全，仍然依賴于軟件、依賴于數據。

　　2010年，梆梆安全成立之初，聚焦在移動應用安全領域，但隨著客戶業務發生快速變化，物聯網成為越來越多企業新的業務場景。

　　為此，梆梆安全將在移動應用安全領域的技術優勢延伸至物聯網安全領域，并開拓出梆梆安全的第二曲線業務。

　　從軟件安全層面看，盡管移動應用安全與物聯網安全在形式上大同小異，都會存在軟件漏洞、數據隱私泄露、數據安全、業務安全等安全問題，但從安全的嚴重性角度看，如果能源、電力、通信、交通等國家關鍵信息基礎設施行業遭遇破壞或襲擊，可能導致企業和國家的巨額經濟損失，甚至會威脅到整個國家安全。所以物聯網安全的重要程度要大于移動應用安全。

　　面對從移動應用安全到物聯網安全的轉變，闞志剛認為安全的內涵發生了很大變化。物聯網安全除了關注安全之外，需要更加關注系統的可靠性。

　　傳統意義上的安全，注重的是通過各種防護設備、加固組件等，讓企業不受到外界侵襲。

　　但過渡到物聯網之后，需要關注系統的可靠性。要防止當系統本身出現問題的時候，不會對環境、社會、群眾造成實質性傷害，這需要安全人員的認知從過去的IT安全轉到OT安全。

　　基于在移動應用安全領域的積累與豐富實踐，梆梆安全逐步建立起物聯網安全防護體系，為物聯網開發者和企業提供安全可靠、全面兼容、服務便捷和響應迅速的安全服務能力。

　　面對物聯網的安全風險，闞志剛也給出了自己的建議。

　　他表示，目前企業需要在身份認證、訪問控制、數據加密這三個方面做好安全防護，尤其是對IoT資產的盤點、管理，一定要投入安全力量。

　　與此同時，梆梆安全還參與了物聯網相關標準編寫，例如《CNCERT車載App安全標準》《汽車信息安全通用技術要求》等，推動物聯網安全發展。

　　對于未來安全技術發展趨勢，闞志剛認為，軟件供應鏈安全、關鍵信息基礎設施保護、數據安全、個人隱私領域會受到更多關注。

　　梆梆安全在技術上將沿著“4+1”戰略發展方向，“4”包含API安全、數據安全、車聯網軟件安全、軟件供應鏈安全。“1”是一體化安全運營運維。

　　結語

　　面向未來，網絡安全不應只依托一件工具、一件產品，更應該是通過持續的服務，助力企業的順暢發展，做好物理世界和網絡世界的重要樞紐。

　　梆梆安全從“保護您的App”到“保護您的軟件”，從提供移動App全生命周期的一體化安全服務解決方案，到如今可以提供滿足車聯網、智能家居等物聯網領域的泛應用保護需求，梆梆安全正跑在萬物互聯的賽道上，期待它為產業創造更多驚喜。