移动应用安全保护神
2016-11-26
移动安全之痛
随着移动互联技术的飞速发展以及智能终端的大量普及,移动应用如雨后春笋般层出不穷,各种手机APP种类繁多,用途各异,几乎涵盖了人们工作、学习、生活的方方面面,给人们的工作、学习和生活带来了极大的便利。然而,移动APP在给人们带来了诸多便利的同时,也给人们带来了更多的安全威胁。于是,众多移动安全解决方案就涌现了出来,但是,目前移动安全的热点主要集中在移动设备这一侧,主要用于应对终端上的各种威胁,保护的对象以终端的用户数据为主,相较而言,移动APP服务器端虽然同样面临着诸多挑战,但解决方案却非常少,这无疑给移动安全带来了巨大的隐患。
盛邦安全首席营销官(副总裁) 严雷
在这些移动安全问题中,首当其冲的就是APP劫持的问题,一旦发生了APP劫持,将有可能导致流量丢失,内容被监听,内容被更改,广告被替换,严重的还会出现钓鱼重定向等严重后果,将对于移动应用运营者带来了巨大伤害。其次,就是网络欺诈的问题,侵入者有可能利用APP服务器盗取资产,伪造虚假身份,夺取营销资源等各种欺诈活动,严重影响移动应用运营者的运营。同时,在面对互联网领域最严重的威胁之一的DDOS攻击时,移动端安全防护也是无能为力。在APP与API的场景下,“验证码”,“重定向”一类的Web端抗D方式也将会失去效用。另外,因为绝大多数移动APP都采用了https的传输方式,但种种原因导致移动应用无法使用服务器端的加密模块,这无疑也是相当严重的安全问题。
化解移动安全难题
正是看到了移动安全在移动APP服务器端存在的诸多短板,盛邦安全推出了专门针对移动应用服务器端的安全解决方案——移动应用防火墙(MAF,MOBILE APPLICATION FIREWALL)。盛邦安全首席营销官(副总裁)严雷表示,移动APP服务器端安全需求主要包括业务安全、网络安全、可用性三大方面的要求,其中涉及防欺诈,防外挂,防扫描,防攻击,防劫持,防篡改,防数据泄露以及网络优化和抗DDOS等具体需求。而这些在Web端可以通过Web应用防火墙都能够解决的需求,在移动端却不能有效的使用。
移动应用防火墙和Web应用防火墙虽然只有两字之差,但技术却完全不同,这是因为移动APP的技术架构与传统Web具有较大区别,因此,要实现同样的Web安全的传统需求,需要利用新的技术手段来实现。
严雷所指的新的技术手段,指的即是上面所说的移动应用防火墙,严雷表示,盛邦安全的移动应用防火墙集幻影技术、行为分析技术、IPS/WAF技术、移动网络优化技术、威胁情报技术与一体。其中,幻影技术是其核心技术,幻影技术可以实现代码替换,而且这种代码替换是每次都不相同。举例来说,如果采用机器或者扫描工具来扫描移动APP服务器端,那么,它得到的每次扫描的结果都不一样,这就使得扫描工具丧失了效用。
幻影技术还是防外挂非常有效的手段,外挂其实就是机器,由于幻影技术的存在,使得每一次外挂移动APP的交互的代码都有变化,显然这种外挂攻击就无法成立。
此外,幻影技术对于防劫持也是有效的,劫持是需要根据URL相关的数据才能进行,而幻影技术改变了这些数据,因此,劫持就无法进行。
另外,通过采用威胁情报、行为分析以及机器学习技术,盛邦安全的移动应用防火墙能够对网络欺诈进行较为精确的识别,能够针对DDOS攻击建立起防御模型,使得移动APP服务器端也能享受到Web服务器端同样的安全防护标准。
同时,盛邦安全的移动应用防火墙还对3G和4G网络提供了单边加速的功能,通过对传输协议进行调优,大大提升移动APP用户体验,传输速率提升比例高达200%。
严雷最后表示,移动安全防火墙开创了网络安全产品的一个新品类,但盛邦安全并不希望一家独大,盛邦希望有其他的安全厂商一同加入到移动安全防火墙的研发中来,共同把移动应用安全防火墙市场做大做强!