移动业务安全专家

4月17日,第十二届信息安全高级云论坛暨美国RSA热点研讨成功召开。会议由公安部网络安全保卫局指导,中国计算机学会主办,CCF计算机安全专业委员会、绿盟科技集团、360 集团承办,以“以人为本”为主题,探讨2020 RSA最新、前沿的网络安全技术,从国家政策、产业发展、技术趋势等角度展开思考与碰撞,共同推动中国网络安全产业发展。

 

基于指掌易在移动业务安全领域多年的技术积累,指掌易技术副总裁庞南受邀出席,围绕《RSAC2020对业务移动化场景的启示和思考》这一主题,与业内专业人士进行讨论和交流。

 

以下是指掌易技术副总裁庞南在本次会议中,结合RSAC2020会议的主题和热点趋势,就业务移动化场景安全保障这一细分领域的五大核心技术趋势的核心观点实录。

 

有哪些人为因素的威胁

 

企业移动业务场景由云、管、端构成的完整架构,端是指企业使用的移动设备,以及移动设备上运行的和业务相关的应用,移动互联网作为数据传输的管道,在服务侧会有大量的移动业务应用产生的资产数据的分布。在云、管、端的移动业务场景下,具体有哪些人为因素的威胁呢?庞南认为主要体现为以下四点:

 

  • 恶意攻击者。恶意攻击者对移动业务场景造成的威胁覆盖了云、管、端,包括数据窃取等这些恶意攻击的危险。

  • 终端的用户终端的用户因为安全意识的不足,导致无意或者是有意将企业内部信息数据泄露到外面,造成严重影响。

  • 供应链端。很多APP的开发往往涉及到第三方SDK的集成,可能会涉及到在端侧非法采集用户的个人信息。

  • 移动业务的运营者。移动业务的运营者在方案的技术路线决策的时候,如果忽略个人信息保护和个人隐私保护,也会存在人为因素的威胁。

 

面向移动业务场景的安全威胁,在部署网络安全保障的过程中,需要采用有效的控制措施来避免这些风险。

 

安全保障移动业务化的五类技术发展趋势

 

趋势一:移动业务场景需要更安全、更便捷的IAM

 

访问控制是网络保护过程中保证数据机密性、完整性非常重要的一类控制措施,身份识别与访问管理(IAM),是这类访问控制的基石。但是在移动业务场景中,应用的形态是非常复杂的,包括门户应用、在门户应用中嵌套大量的H5以及轻应用,以及门户应用之外的其他具体与业务相关的原生应用。因此,在BYOD移动办公场景中,如何实现安全和快捷的身份管理和认证,是用户非常关注的一个需求。

 

为满足技术安全性和便捷的用户体验,在移动业务安全场景,身份认证技术有如下几个技术趋势:

• MFA 多因素认证

− TEE/SE

− NFC/BLUETOOTH KEY

• FIDO2 无密认证

• IAM 统一身份和认证管理

• 企业级SSO 单点登录

 

趋势二:移动端的安全接入
移动端的安全接入包括对用户的认证准入,对用户访问权限的授权,以及数据访问的过程中的安全传输等等。在移动业务场景下,有的企业已经采用VPN的方案,或者采用专用于移动接入的安全网关的方案。这种方案可以把大量移动应用的端口隐藏在VPN之后,但是与零信任的机制对比,还是有一定的局限性。

 

零信任这一概念,尤其是在访问接入方面,仍是较为关键的热点技术趋势。包括在SPA单包授权机制、动态访问控制、持续性的威胁监测等方面能够较好的实现服务端资产的隐藏,减少互联网暴露面,进一步减小了被攻击的风险。另外,CSA联盟面向云计算安全领域提出的SDP技术,在移动安全接入这一细分领域也有很好的参考意义。

 

未来,把移动端的安全接入和PC端安全接入,通过SDP的方案整合成统一端点的安全接入,是一个主要发展趋势。

 

趋势三:API安全控制
API的开放和使用能够创造出更大的数据价值和业务价值。Gartner预测,当前超过50%企业认为API安全是推动API战略的第一重点考虑因素。并且在2022年,API滥用将会成为企业数据泄露最首要的威胁。

API安全包括了API威胁保护和API访问控制两部分内容。我们了解到用户对API的访问控制需求是非常旺盛的。通过把WAF、API管理和IAM联合一起的技术路线,可以有效控制API暴露风险,实现保障合法的用户在认证和授权的合理框架下合理访问API。

 

趋势四:移动端安全容器
BYOD办公场景已成为主流趋势,传统基于MDM的EMM方案,需要获得系统级管控权限,无法满足BYOD用户个人隐私保护的要求。针对移动办公和业务的安全保护,需要移动端安全容器这一关键技术。安全容器除了需要具备全面的安全能力之外,在兼容性、适配效率、稳定性及运行效率方面,都可以有力支撑业务移动化场景的需要。

 

目前移动端安全容器主要有如上两种主流的技术路线。图左展示的技术路线一可支持安卓和iOS系统,在底层实现对应用适配性更高、更稳定的能力支持。图右展示的技术路线二,在安卓系统的平台中更为常见,利用移动办公的APP在宿主应用中免安装的方式来运行。但是,在安卓系统逐渐收紧安全控制的情况下,技术路线二会与操作系统要求的应用隔离存在一定冲突。因此,我们认为,图左展示的技术路线一更具市场应用前景。

 

趋势五:GDPR和隐私保护
目前,个人隐私保护已经提升到政策高度,法律、标准、行政规定等密集出台,国家监管部门联合采取专项行动,检测和处理移动APP违规侵犯个人隐私的事件。移动APP如何符合国家法律法规要求,不侵犯个人隐私信息,成为移动互联领域的关注焦点。

 

关于个人隐私的保护,核心技术点更多地体现在移动应用开发的供应链的安全控制。第三方的SDK集成是否有违规采集个人信息,是企业管理面临的一个难点和痛点。除了较为常见的对APP进行检测,金融行业或者运营商行业也会采用主动控制的方式进行对SDK集成合规性安全控制。对整个APP的行为和APP集成的SDK的行为,进行实时权限的管控,避免威胁和风险。

 

写在最后:
RSA2020的主题为何选定为人为因素?RSA2020:真正参与网络安全的每一个人,包括甲方的管理和运维人员,包括乙方的方案厂商,甚至包括每一位用户。每一个人的想法、创造性、经验和知识,往往在避免发生安全攻击,在保护IT基础设施建设方面,发挥着最为重要的作用。