GSMA移动安全论坛:IoT时代,安全准备好了吗?

2016-07-03 198364人围观 ,发现 4 个不明物体 活动特别企划

上海——GSMA在2016 世界移动大会-上海曾发布一项最新研究报告,该报告显示,亚太地区移动用户数量在去年底已达25亿,而到2020年该数字将增加到31亿。

4_副本_副本.jpg

今年GSMA移动大会首次在上海开设了GSMA移动安全论坛,这也足以说明,随着移动端的发展,移动平台已经成为兵家必争之地,移动安全问题引起了越来越多安全从业者的重视。首次举办移动安全论坛GSMA也花了足够的准备功夫,从全球请来了22位不同细分行业的从业人员,“认证”、“移动安全”、“威胁”充斥了全天的演讲内容。

移动安全威胁的新趋势

小编整场听下来,本次大会中涉及技术发展的内容并不多,更多的是对现有安全问题的解决方式的探讨。阿里巴巴移动安全总监陈树华在上午的演讲中和我们说“根据我们的数据发现,现在安全问题更多围绕业务展开。业务涉及的安全问题包含了端的安全、链路安全和云的安全。

1_副本.jpg

演讲结束后,当被问及如何看待这种业务安全发展的问题时,陈树华解释说这是安全环境演变的必然趋势。“安全问题和互联网几乎是同步的,从PC端开始到互联网到云端再到BDP。”(这种与业务安全相关的问题被称为BDP(Business Defined Platform))。

那么产生这种业务安全问题的根本原因是什么呢?我们面临的网络安全不仅是SQL注入,DDOS攻击了,撞库、刷单、虚假注册、账号盗用、黄牛(想想每年过年时的12306吧)成了我们面临的新问题。他们因何而生?陈树华为我们揭开了这背后的神秘面纱——灰色产业链。“用网络账号进行欺诈、盗窃、刷单只是灰色产业链的下游,他们还有一个网络账号提供商河信息交流平台作为中游,最上面的才是基础的行业。从安全方面来讲,黑产的从业人员要比互联网企业更专业,他们有专门的人员负责运营、开发。可想而知,我们的对手有多强大。”

听到这里,其实难免一惊,面对庞大的黑色产业链,当他们把触角已伸向企业时,企业能够做些什么来保护自己?陈树华给出了阿里巴巴对业务安全问题的解决方案可供大家参考。“通过设置互联网业务的层次模型,把其问题分为内容、用户、服务、应用、数据、传输、系统和硬件8种维度,再对每种不同的问题设置不同的解决方法。比如:对于违禁和涉黄的图片内容,应用智能鉴黄、文本过滤、违禁识别、图文识别的方法。”

小编感受:黑色产业详细的分工和纯熟的技术手法,可能不是企业内几名安全人员就能与之抗衡的。企业需要建立完整的应对措施。

移动认证识别引领未来

2_副本.jpg

在这次论坛上,不知主办方是否有意而为,把Safran和HID Global俩家厂商的演讲安排在了一起。Safran和HID Global在生物辨识方面都处于领先水平。虽然干货都不多,但Safran 身份识别&安全部副总裁Yves Portalier表示,根据公司的数据,2013年只有200部手机带有生物识别的能力,他们预计到2018年,生物识别技术在手机端的普及率将达到100%。看来生物识别技术在移动端的应用也呈现一片光明前景。

物联网安全掀起热议

5.jpg

说起移动安全问题,最易成为吐槽对象的要数IOT了,因为IOT涉及的设备实在众多。惠普的一项研究表明,常使用的物联网设备中有70%都存在漏洞。本次GSMA大会中最受关注的也莫过于IOT的安全问题,这部分总共有7位演讲嘉宾一起探讨IOT安全的方方面面,关于本次论坛上对IOT的讨论总结如下:

1.大家提问最多的是对GSMA执行总监Shane Rooney介绍的GSMA发布的一本《GSMA物联网安全指南》(The GSMA IoT Security Guidelines)的小册子。Shane介绍,根据他们的调查,只有44%的公司内对IOT设备设置了安全政策。

2.亚太互联网中心主席Paul Wilson对IOT的态度则更侧重于管理方面。“互联网只有在控制下,才能发挥他的积极作用。”在他看来,对于物联网的发展,相比于管理,技术反而退居其次了。无论怎么发展,互联网整体的安全性才是最重要的。

3.英特尔中国物联网事业组首席技术官Richard Zhang 给IOT的安全提供的三种解决思路:根据行业标准满足设备连接的安全;在设备连接网络时增加云端的保护措施;最后在边缘领域建立IOT的信任通道。

小编深刻感受到,平日更多是智能汽车的安全隐患吸引着我们对物联网安全的注意,但智能玩具熊和智能儿童手表这些不经意的小物件一旦数据泄露引发的安全问题同样不可忽视。IOT发展太快,相关安全措施该加紧步伐~

移动应用安全不可忽视

6_副本.jpg

既然是移动安全论坛,移动安全应用自然必不可少。2015年的移动设备数量已经超过了全球人口总数达到72亿。更可怕的是,人们一天中有87%的时间都是与app度过的。斗象科技联合创始人兼首席技术官张天琪在演讲中说“移动安全之所以对我们产生的威胁这么严重因为app的更迭非常频繁,这就不可避免存在老旧代码遗留的漏洞,并且设备的状态也是不可控的。”

那如何增加移动端的安全呢?张天琪提供给了大家多种解决思路。“其实,移动威胁是很复杂的,也是多方面的。组件安全、数据安全、通信安全都可以做相应的防护。对于组件安全来说,我们有很多解决方法,例如最小化组件暴露、设置组件访问权、android:protectionLevel设置为sigature;对暴露组件进行代码审计等等。”

移动安全攻与防

这次论坛上国外企业占了90%,说实话听下来很多趋势与解决方案与国内的市场环境的融合度并不高。比如,对于国内生物识别技术在移动端的应用情况则有待考量。小编最喜欢的环节则是圆桌讨论,相比于国外的发展趋势,自家人的讨论更接地气。

123.jpg

参与本次讨论的嘉宾有斗象科技联合创始人兼COO谢忱,上海市信息安全测评认证中心研发部部长徐御,梆梆安全实验室总监何思京,猎豹移动国内安全运营部负责人谭昱和阿里巴巴高级安全专家张迅迪。

圆桌的主题围绕“移动安全防御难在哪”展开,徐御结合自己的工作观察向我们介绍:“从应用厂商来说,最需要重视的是事前排查。很多厂商一心想着抢占市场,所以在开发的过程中并没有过多考虑安全问题,想着有了问题可以再做事后分析。但问题一旦发生产生的损失和影响就难以弥补,其实不如事先花点时间和精力来的划算。”

在大会的最后,每位专家也根据自己的经验对2016年下半年的移动安全趋势做了自己的判断。张迅迪说阿里会更重视业务上的攻击和破解,且预言PC上的恶意勒索软件可能转到移动端。徐御表示国家会整合与支付相关的厂商,例如很多P2P企业,他预言这次整合后与理财相关的公司会被凸显出来,看来其春天要来了。谭昱介绍他们发现敲诈软件在手机端已浮现,预计16年和17年各种用户信息泄露会更加明显。何思京则认为随着目前app对自己代码保护强度越来越大,通过移动端发起的攻击将越来越多。

整场的安全论坛听下来,国外和国内在不同行业的安全部署着实存在一定差异。就像猎豹移动国内安全运营部负责人谭昱说的,很多时候安全短板都是在于人,现在企业更大的困境一部分源自人们缺乏基本的安全意识。安全问题受到越来越多人的关注,这是不是正预示着安全人才在很长一段时间都会供不应求呢?

* FreeBuf官方报道,本文作者:Sophia,转载请注明FreeBuf黑客与极客(FreeBuf.COM)

更多精彩
相关推荐
发表评论

已有 4 条评论

取消
Loading...
Sophia

再看!再看!再看就把你吃掉!

16 文章数 11 评论数 0 关注者

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php