移动支付在刚刚过去的春节掀起了2016中国互联网第一阵风潮,随之而来的是安全圈的一片质疑声。首先我们需要强调的是产品体验与安全机制是两个层面的问题。春节前夕,笔者发起了关于移动安全话题的讨论,从企业安全和用户安全角度,移动设备本身带来的便捷性就是一把双刃剑,如果说移动设备和移动应用提供给开发者无数的机遇,那么也正意味着有更多的诸如后门之类的可乘之机开放给了攻击者。
传统用户对于移动安全的认知主要停留在应用层面,很多用户认为,移动安全问题与公众的意识有关,一方面很多人根本不在乎隐私,觉得自己的信息泄露也也没多大影响;另一方面,很多人喜欢沾小便宜,整个社会都是这样,用着免费的东西就感觉是赚到了,为了几分钱的红包便不顾一切,用APP也一切向免费看,只要是APP就敢装,只要免费的就敢用,特别对于挂着“安全”称号的东西,从来深信不疑;还有一个爱炫耀的心理,走到哪儿拍到哪儿,安全根本不当成一回事。这些方面,造成了现在安全问题比较突出、但是没人关心的现象,用户一味追求免费好用,厂商一味追求广告、隐私赚钱,各取所需。
就目前行业发展而言,移动设备最突出的应用领域在于支付问题。尽管移动支付和传统业务形成闭环还有待时日,但是安全防护必须未雨绸缪,尽管针对于Apple pay安全方面的质疑很多,显然在数据传输方面的加密技术已经十分成熟,产品体验和底层安全问题的差异在于安全可能来自于开发工具本身,产品体验只是停留在用户行为中,断网、宕机等安全问题解决方案屡见不鲜,针对开发工具以及发布平台本身“潜伏”的安全问题也形成了很大威胁。
在今年的RSA上IOT安全也引发了新的技术浪潮,安全在用户无感知的状态下已经提前部署,物联网、移动设备、企业安全边界都属于移动安全的范畴,随着远程通信和办公业务向终端和云端迁移,必要的安全防护手段是必须的。针对移动安全笔者针对传统IT企业、互联网安全公司以及专业安全企业进行了采访。业内专家各抒己见,从不同层面阐释了移动安全的本质。本期@安全圈将围绕“解析移动安全”进行深入探讨。
首先,我们来看国内最大的互联网安全企业奇虎360产品经理薛欢如何看待移动安全。
1,移动端安全威胁的主要特征是什么,与传统安全威胁相比有哪些共性?
设备的移动性,丢失的风险;设备丢失后,从移动OS本身的漏洞来窃取其中数据。这点与传统的电脑安全相似,但设备本身的风险大于电脑。另外,随着移动设备逐渐成为人体的新器官,在个人生活和工作中起着不可或缺的作用,其应用的广泛性和全面性使其自身具有更高价值。恰恰这种高价值,已成为例如制作木马传播木马等黑色产业链牟取非法利益的对象。
与传统安全危险相比,黑客都会进行资产侵害和盗取个人隐私的行为,但移动终端的侵害目的更加利益化更加赤裸直白,远不再像传统PC时代黑客还会单纯的炫耀技术。
2,安全审计和数据加密如何与移动安全解决方案结合?
审计与加密有相对的矛盾性,数据加密了,就不容易做审计。若果想使其完美结合,就要在服务端加以管控,通过还原数据流量的方法加以审查,同时还应在应用程序的开发初期,把安全需求考虑进去。
3,远程办公的安全隐患有哪些?应该如何应对潜在的安全威胁?
安全隐患在于企业对数据的可控性。有别于移动数据本身的安全,设备的安全,员工的安全意识,也是要考虑的安全隐患。另外远程办公其实相当于给内网打开一个口子,建立一个安全通道,如何穿透内网并保证内网和数据通道的安全性,需要全面的安全风险考量和技术支持。
4,移动安全解决方案涵盖范围广泛,如何从身份认证,通信加密,应用加密等专业角度审视企业安全
这些安全手段在传统的安全产品中都有涉及,同时也是黑客进攻的主要手段。目前身份认证,通信加密,数据加密,都是相对成熟的技术,如果能确实落实,已经能做到相对安全。同时,如果能从数据本身出发,对终端的使用行为加以分析,预判,可以从未知的角度和风险防范角度对企业安全予以加强。
5,企业针对内部终端设备应该设置何种程度的安全管控?
根据不同业务应用来设计不同的安全管控策略,安全性加强的代价会是用户使用体验上的妥协。如何权衡才是企业着重考虑的问题。
6,除去企业用户之外,公众可能会面临哪些广泛存在的移动安全威胁,移动支付或者是无线安全?
公共Wi-Fi,骚扰信息,钓鱼短信,诈骗电话,吸费木马,移动支付陷阱,设备恶意偷盗,欺诈二维码等,基本与移动终端本身的安全问题相似。
7,移动安全如何与云查杀向结合?
云查杀,或是说云数据,是安全防卫的新趋势。对于可预知的安全问题在认知范围内通过技术手段,只要准备到位,大多都可以预防。但是对于未知的威胁,传统的手段这种后知后觉的方法,就显得有些力不从心。通过和大数据的结合,通过行为分析,威胁感知技术,从另外一个维度,用另外一种思想,考虑安全问题。
综上所述,互联网企业显然关注的是安全和业务的并行能力,移动安全与公众息息相关的还是传统诈骗、骚扰等行为。显然,360在此方面的积累和造诣已经年深日久。根据不同企业的业务需求以及不同人群的使用习惯去制定相关的安全策略是互联网安全机制的落地的切入点,云查杀的结合也引申出新的攻击防范方式。
中国数据安全第一股企业明朝万达如何从数据安全层面解读移动安全?
移动端的安全威胁本质和传统安全威胁没有不同,仅增加了移动特征,这个特征导致了一些新的安全威胁,例如设备丢失、设备接入不可信网络、攻击设备易接入等。
安全审计与数据加密和关系解读
在移动安全解决方案中,安全审计也是重要的组成部分,对于移动设备的位置、行为综合安全审计是重要的组成部分,根据位置和移动设备的行为,可以审计出一些更加细节的安全威胁和行为。例如在不恰当的位置执行一个敏感操作,可以很容易判断出一个非法行为。
在移动安全解决方案中,数据加密是一个核心和必备的功能。由于移动特性导致设备易丢失,物理容易被攻击者接触,此时对于核心数据的加密是保障数据不泄露的最后一道防线。
BYOD的潜在的安全威胁如何得到合理管控?
远程办公的安全隐患集中在于人员可信和数据泄露两个方面,因此远程办公业务场景中,应加强人员的身份认证和全过程的数据保护。具体措施有采用多因素的身份认证和多种身份认证策略,加强对设备和人员的绑定关系,加强数据传输过程的加密,加强数据落地和使用过程的加密,增加远程数据擦除等丢失应急措施等。
根据企业性质和终端性质不同,应设置不同程度的安全管控措施。如果企业应用数据敏感度不高,都采用BYOD模式,那么对于终端设备采用松散的注册管理即可,加强应用自身的安全防护。如果企业数据敏感度高,设备都是企业自有,那么对终端设备应采用较强的安全管控措施,例如定位、绑定、强制安全措施、强制白名单应用、强制加密等。
浅析移动安全的未来
公众在移动设备上做的各种敏感操作都会遇到广泛的安全威胁,例如各类型的账号窃取、伪造网站钓鱼、伪造或恶意短信、虚构促销骗取信息等。这些威胁都是从非移动端,根据移动设备和应用特性延伸出来的。
云查杀本质是利用大数据和集体智慧形成的恶意程序判断结果,在移动上,一方面需要个体贡献数据和判断,一方面也需要利用其他大样本个体的判断结果来辅助自己的判断。在移动安全上,实时传递各类型样本是不现实和耗费流量的行为,因此需要考虑如何缩小传递数据,节约流量而又能达到良好的效果。
飞天诚信从移动支付领域解读了加密技术与金融行业的耦合。
艾瑞咨询数据显示,2008-2012年,移动支付用户规模从0.86亿户增长到2.86亿 户,年均复合增长率达35.04%;移动支付交易规模从275亿元增长到1511亿元,年均复合增长率达到53.10%。预计到2017年,中国移动支付市场交易规模将突破2万亿元。
统计显示,用户在使用移动支付时,对资金安全问题的关注程度极高。高达56.8%的手机银行用户希望有更多的安全措施,对资金安全的担忧也导致移动支付进一步推广的阻力较大。然而,移动支付系统分类方式繁杂,技术手段迥异,对于分析移动支付系统的安全需求造成了障碍。因此,有必要建立统一的适用于移动支付的安全模型,并在此基础上对移动支付业务系统的安全要求进行分析。
与基于封闭专用网络的核心业务系统不同,电子银行必须抵御开放网络带来的病毒侵袭、黑客入侵、信息泄漏……等等各种安全风险。然而,开放网络等并不在银行控制范围之内,银行难以主动部署防控措施,也很难保证采取措施的效能,更难控制由此带来的风险及危害。基于这样的实际情况,从架构上将电子银行系统分为前端、通信网络、后端三部分。不同的前端、通信网络以及后端的组合形成了多种多样的电子银行业务渠道。典型的电子银行渠道包括网上银行渠道、手机银行渠道、电话银行渠道、自助终端渠道等等。在渠道架构中,前端部署和实施安全保障措施,后端进行校验鉴别,通信网络只负责传递数据,由此可规避开放网络带来的潜在风险以及控制风险的难度。除此之外,渠道之间相对独立,渠道与核心业务系统通过后端隔离开来。如果某个渠道发生安全事件关闭对应的后端,即可将该渠道从系统中“切除”,避免危及核心系统,同时不至于影响其他渠道。
金融IC 卡内置CPU 芯片,可存储用户指纹、照片、身份证、密码等多种信息,具有独立运算、加解密和存储能力。金融行业标准JR/T 0025《中国金融集成电路(IC)卡规范》(以下简称《规范》)规定了金融IC卡与终端的接口、借记/贷记等金融业务应用的交易流程以及金融业务应用初始化等方面的要求。金融IC卡能够独立完成《规范》在报文及指令中融入的完整性校验、信源认证等安全措施所需的密码运算,并且为密钥、PIN码、运算过程等敏感信息和敏感行为提供足够的安全防护。因此,金融IC卡有条件承担除用户交互之外的支付前端子系统的行为。与此同时,可以将支付中心看作核心支付子系统,而将金融IC卡通过移动终端、支付设备进而与支付中心之间的通信作为通信网络处理。这意味着除了人机交互部分之外,可以不在移动终端部署额外的安全防护措施,金融IC卡基本能够保证近场支付的安全性。
具备交互功能、支持移动终端应用的智能密码钥匙,是保障远程移动支付系统安全性的重要组成部分。根据密码行业技术指南GM/Z 0001-2013《密码术语》的定义,智能密码钥匙是“实现密码运算、密钥管理功能,提供密码服务的终端密码设备,一般使用USB接口形态”。在远程移动支付系统中,移动设备承担了支付前端子系统的角色,负责根据与用户交互的结果生成支付指令。这与手机银行客户端的功能十分相似(在实际应用中,远程移动支付往往是通过手机银行完成的)。可以比照现有较为成熟的网上银行来评估其安全需求。金融行业标准JR/T 0068-2012《网上银行系统信息安全通用规范》规定“USB Key应能防劫持,具有屏幕显示或语音提示以及按键确认等确认功能,可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入、确认和保护”。因此,远程移动支付系统也应当使用防劫持的智能密码钥匙来保障系统的安全。
传统安全厂商飞塔对于移动安全有着自己独到的见解。
移动安全-传统安全威胁的延展
动端安全威胁的主要概括为三类:应用安全,随着越来越多的互联网和传统行业使用了移动端应用,比如目前针对APP的各类的病毒木马,对移动APP的逆向及破解,甚至APP后端的安全接口问题。
系统安全,系统自身的存在的漏洞层出不穷,包括Android、iOS系统和芯片、设备及驱动本身的各种漏洞挖掘,例如权限提升漏洞等,让越来越的系统安全问题暴露出来
内容安全,移动应用程序正成为新的数据泄露主体,包括各类订票、社交、浏览器、论坛等APP,以及互联网金融发展形成的第三方支付、P2P网贷等多种的金融模式对客户信息发生的数据泄露。
移动端的安全实际上是传统安全威胁的延展,共性也非常多,比如 1. 跟传统安全一样,面临越来越多的0day漏洞和攻击; 2. 传统的PC平台和手机的ios,andriod 虽然是不同的平台,但是平台以及平台上的应用漏洞以及平台的漏洞被利用进行破坏及窃取,3. 基于传统行业安全的黑色产业链经过简单修改可以复制利用到新的移动互联网领域。
安全审计移动安全解决方案的耦合
安全审计和数据加密其实并不止限于传统安全,对于移动安全解决方案尤为重要,Fortinet的移动客户端Forticlient支持在防火墙FortiGate上注册后起到终端管控的作用,我们可以在FortiGate防火墙上对所有终端的行为进行审计并发送至我们专有的安全审计设备FortiAnalyzer;
传统PC终端使用的数据加密基本是使用用户到端的,同样在移动端我们也可以复制这种方式,在移动端安装Forticlient连接远端防火墙FortiGate 使用SSLVPN或IPsec进行数据加密,从而实现移动终端的数据加密。
Fortinet如何实现远程办公防护?
远程办公的安全隐患体现在几个方面几个,一,客户端的身份凭据的泄露,如何验证并确保移动端的真实身份,二.数据在传输过程中的安全,网络是否可靠?是否有加密?是否有可能会被监听及窃取,三.远端应用服务器是否足够安全,有没有对应的安全保护措施。
了解了远程办公的隐患,那我们就可以很好的对症下药,从身份识别的角度来看,我们可以通过用户口令和Fortitoken动态令牌或证书的方式来确保客户端的真实身份;数据传输我们可以利用IPSec/SSL的加密特性来进行数据传输,保证数据的可靠性。最后呢也是最重要的远端应用服务器,实际上大部分都是传统的安全领域,比如Web应用,IPS,0day漏洞&攻击,Fortinet有诸多非常优秀的解决方案,比如FortiGate(防火墙), FortiWeb(Web应用防火墙),FortiSandbox(沙盒)产品之间的安全联动,虚拟化以及云安全解决方案等等,完全可以对后端起到完好的保护效果
企业针对内部终端设备应该设置何种程度的安全管控?
针对于内部的终端设备设备,我们认为至少需要具备以下几种防护措施,
1. 安全隔离,对于移动终端使用内部企业网络资源进行相应的网络访问控制与隔离;
2. 病毒防护,Fortinet致力于移动终端安全,在病毒防护方面,Fortinet 几乎参加所有VB100 对比,检测结果识别率,结合我们防火墙FortiGate在反病毒方面的优势以及FortiGuard移动安全服务,可以有效的针对所有移动端的流量进行病毒和安全检查。
3. 恶意网址拦截,通过FortiGate上的FortiGuard网络全球网址分类有效保护内部终端远离恶意网站访问。
4. 数据泄露防护,针对企业内部涉及到的内部关键信息,如员工编号,电话号码,邮件信息等等进行数据防泄漏。
公众可能会面临哪些广泛存在的移动安全威胁?
Fortinet认为,在移动端面临的各类安全威胁,移动端的各类支付的APP的安全,比如 电商、支付、理财、团购、银行的各类支付目前都有相应的APP病毒;那么这些病毒都会存在窃取用户银行帐号密码,转发用户短信、读取用户通讯录等隐私风险;
公共WIFI以及终端应用涉及到的信息泄露,当我们连接公共的WIFI的时候,很有可能这个WIFI是个伪造者提供的,终端用户接入到该WIFI,伪造者就会盗取用户的密码、窃取他们的身份信息、或是获取他们的银行账户等。
勒索软件/恶意软件,终端用户下载某些伪装的游戏外挂或者付费破解,一旦运行之后会将手机锁定,需要支付Q币进行解锁。
移动安全如何与云查杀向结合?
移动安全和云查杀相结合可以分为2个方面,一方面企业在云端部署了的应用提供给移动终端应用服务,包括许多企业部署了自己的云业务,包含了公有云,私有云,以及混合云。Fortinet与目前主流的公有云平台如amzon、微软、Ctrix都有比较深度结合的虚拟化解决方案,在私有云我们也有Vmware,Openstack,KVM上相对应同样的虚拟化产品,其中就包括了云病毒查杀,0day的攻击&漏洞的沙盒检测及拦截,恶意网址拦截等一系列的安全措施。
另一方面,移动终端上的恶意软件或者恶意网址的访问,在移动终端和FortiGate防火墙联动之后,可以通过FortiGate进行初次查杀及过滤,可疑文件则上传至云端进行云查询及云的沙盒检测,最终通过我们的FortiGuard网络来进行拦截。在15年的Q4,Fortinet全球每分钟拦截4.4万次的僵尸网络&CC攻击,13万次的恶意软件,18万次恶意网站访问,55万次网络入侵行为。
小结:移动安全解决方案的涵盖范围非常广泛,同样企业对于自身的安全防护愈加重视,那么如今的安全形势,并非像以往一样可以通过某一个点的形式完全解决,必须通过完整的安全构建来体现和考量,除了问题3提到的FortiGate,FortiWeb,Fortisandbox之间的安全联动以外,在身份认证方面,我们有统一的安全认证平台FortiAuthenticator,不仅如此,Fortinet在终端安全,无线安全,企业的一体化安全解决方案,APT边界安全,数据中心应用安全以及云安全都有对应完整的解决方案。
移动办公已经逐渐普及,在BYOD盛行的当下如何保证移动办公设备的安全性成为众多安全企业的攻坚课题。
在虚拟化领域深耕多年的亚信安全科技在2015年提出虚拟化移动安全解决方案。亚信安全移动安全专家刘政平认为,移动安全具备各种不同层面的解决方案,从Gartner的分析报告来看,加密技术和应用安全都是在企业中广泛探讨的技术,综合而言,单一的认证技术并不足以保证移动设备的安全性,因此,需要融合多种方式的认证。政府广泛采用的VPN加密、支付类的应用加密技术、本地加壳技术都属于传统安全技术范畴。 越来越多的数据向云端迁移的大背景下很多业务数据都是通过网络实现的,因此移动安全的探讨也是建立在这一理念的基础之上的。亚信安全的虚拟化移动安全技术采用了类似于docker虚拟技术,在移动终端上虚拟安卓系统,其实际业务数据是保存在云端的。通过图像方式,用户在虚拟机中看到的是来自于数据中心的图片影像。这一虚拟化技术不同于传统的堆叠式安全防御,并没有一味的增加安全防护的门槛,而是利用既有的数据中心和网络虚拟化技术解决安全问题。
尽管虚拟化技术并没有全面普及,但是随着移动技术的发展,未来5G技术的传输速度将对虚拟化技术提供强有力的支撑。针对无线WiFi安全问题,刘政平认为企业内网边界依旧需要通过无线网络加密方式解决。亚信安全预测,随着移动支付的普及,在2016年移动支付领域的安全问题将是问题多发区域。对于频繁出现的开发平台出现的安全问题,刘政平进一步指出第三方开发来源的安全意识问题亟待解决,很多开发人员并不注重安全问题,这也使得开发工具本身存在可乘之机。
在技术发展趋势上看,虚拟化技术不断发展的今天,云和端的防护手段都是十分必要的,很多黑客利用移动端漏洞攻击云端,因此云端的防护将是未来企业安全防护的重点。由于物联网基础本身的非开放性,移动安全专家们对于物联网本身的走向还十分谨慎。从亚信安全产品来看,虚拟化移动安全解决方案已经开始在行业和一些政府涉密单位落地,基于移动安全办公的相关产品也将进一步在市场中普及。