2016年7月27日,由畅享网主办,上海市经济和信息化委员会指导,上海国有资产信息中心、上海计算机用户协会协办,上海首席信息官联盟、上海大数据联盟、上海超级计算中心、上海智慧园区发展促进会、AMT(上海企源科技股份有限公司)支持的“论道新技术最佳实践”2016上海CIO高峰论坛隆重举办。来自全国各地的CIO齐聚一堂,探讨新技术在行业企业中的最佳实践经验,探索新时代下CIO面临的机遇与挑战,探寻“新技术”时代下的最新愿景。
会上,梆梆安全副总裁付杰以“移动互联网时代的全新安全思考”为主题发表了精彩演讲。
梆梆安全是一家专门从事于移动安全技术和服务的公司,也是现在国内和整个全球市场规模技术最为领先的移动安全公司。直至目前,梆梆安全已向国内的金融、政企、运营商、能源、交通、物联网、智能设备、家电、机器人、无人机提供了全套的解决方案,是面向全行业、全方案的移动安全公司。
反病毒、入侵检测及数据防护代表了安全行业的终端安全、网络安全和数据安全几大模块解决方案。也正是这几个词汇,伴随着信息安全行业走过了过去的二十年。在反病毒软件刚刚出现的时候,反病毒行业便代表了整个安全行业的所有特质。那时,谈到安全行业,第一反应就是反病毒及杀毒软件。随后,有了网络防护及数据防护,也有今天更为高级的安全防护概念。
安全,首要考虑。
付总谈到:“我们用互联网的方式来提供购票业务、移动支付业务、网银业务的时候,第一个考虑的往往是安全性的问题。我们看到很多全新的技术,人脸支付、指纹支付、密码支付等等,这些所有的支付手段,还有说用APPA可以去完成的互联网交易和互联网业务行为,如果真的涉及到了核心业务或者是关键业务的时候,我们考虑的第一点仍然是安全。”
但是整个移动互联网的安全在今天具有强有力的需求背景下,是否还能够以简单的一个反病毒、入侵检测和数据防泄漏问题来解决呢?
“今天的APP这种商业模式和这种IT模式,把整个的IT边缘推到了一个你完全不可控的环境下去。今天一个用户在手机上使用APP的时候,请问你对此有什么样的安全控制能力呢?我可以说,是安全控制能力为0。”接下来,付总分享了几个数据。“在互联网上,几乎可以买到全中国70%的人的完整的商业信息,包括姓名、手机号、身份证号及家庭住址等最基本的信息。”同时,“在互联网上我们可以买到12000万的完整的金融商业信息。”除此之外,还有外加的是,银行卡号。“可以买到大概4000万的高价值金融信息,包括银行卡号、密码。”最后,“只要做一件事情就可以拿到他的钱了,就是短信验证码。”“一个不存在的手机银行超过17000个下载量,而这些人,都是受害者。”
关于漏洞。
“我们把国内100个以上的高价值应用来做一个分析得出一个结论,你会发现他们都普遍存在各种各样的高危漏洞,这些可以达成什么攻击目的?窃取资金账号,窃取数据,达成服务器的非授权转换。”
综上,移动平台上,整个的攻击呈现四种完全不同的形式。第一是攻击界定的模糊;第二是攻击手段的多样化;第三是传统安全手段失效;最后是未知威胁防御尤为重要。
对于移动安全的三个最基本的想法,付总做出了如下的说明:第一,针对移动平台和移动应用安全,可以针对特定的防护技术,不能够把传统的技术生搬硬套套过来。第二个是基于端-管-运的纵深防御体系,这不是移动平台特有的,但是在今天移动平台上是显得尤为重要。最后一点,大数据。“大数据挖掘,对位置威胁和模糊地带威胁的时候,具有先天性优势表现出来了。”
演讲的最后,付总提出梆梆安全所希望的核心思想,即“让数据变成我们的威胁情报的来源,而不仅仅是一个日志放在那里供以后审计,我们希望通过大数据的采集,去发现真正的威胁情报。”