梆梆安全赵千里:移动金融如何打好保卫战 | 兵器谱访谈录
来源:零壹财经
作者:澄子
Fintech正越来越深刻地改变着传统金融行业的生态,各家机构都在数字化转型中快速迈进。针对这一转型大潮,Fintech公司基于人工智能、大数据、云计算、区块链等技术,为金融行业提供了多种产品或解决方案,正如一件件 “兵器”。
基于此,零壹财经推出零壹兵器谱项目,调研和报道那些创新的Fintech公司。
前有支付宝、微信支付等移动支付的广泛使用,后有各家手机银行的普及推广,移动端金融服务经过这几年的发展,已成为日常生活中不可或缺的一部分。
与传统金融相比,移动端金融受攻击的可能性更大,在利益的驱使下,黑色产业针对移动金融展开了系统而隐蔽的攻击,很多危险可能已经发生,但被攻击者全然不知。
梆梆安全高级安全顾问赵千里介绍,市场上存在上百万的黑产从业者,他们涉及的资金规模上千万。黑色产业分工很细,从建立钓鱼网站,到木马制作、伪基站发布钓鱼信息、获取用户个人资料、销售个人资料,再到利用个人资料进行金融欺诈,都是一条龙服务,有完整的体系。
根据《中国移动互联网发展状况及其安全报告(2017)》,2017年中国拥有23亿活跃的移动终端,当时互联网的网民才6.95亿,除去物联网的设备,可见市场上有大量虚假设备的存在。
经过这些年的建设,移动金融安全已经完成了从0到1的阶段,包括设计阶段的的安全咨询、安全培训、发布前的渗透测试、源码审计、应用安全加固,到上线后的渠道监测、反盗版等。赵千里介绍到,现在行业面临的安全威胁更多的来自业务方面,包括账户安全、业务欺诈、数据泄露、业务泄露等风险。
当下,受制于人才、技术、资金等因素,很多中小型金融机构在移动端金融服务安全问题的应对上,尚不能做到自给自足。而即使是大型金融机构,面临新的攻击手段,新的攻击技术,也显得吃力。与之相应的,就产生了梆梆安全这一类专门为第三方应用保驾护航的企业。
梆梆安全成立于2010年,是全球专业的移动应用安全服务提供商,面向包括金融、互联网、物联网等多个行业提供App安全保护、移动威胁情报、安全应急响应等服务,同时提供全套安全方案,针对业务威胁提供贯穿生命周期的自适应防御体系。
据介绍,梆梆安全迄今已经为8万家注册企业及开发者的超过80万个移动应用提供移动应用安全服务,这些应用已经累计安装在8亿个移动终端上。包括12306、建设银行在内的有数亿用户的APP都在使用梆梆安全的服务。
随着金融科技往前推进发展,金融服务移动化的趋势越来越明显,与之相应的移动金融安全隐患也会日渐凸显。当下,中国移动金融安全态势如何?移动金融安全保卫战的制胜关键何在?提供安全服务的第三方机构发展空间有多少?针对上述问题,我们邀请了梆梆安全高级安全顾问赵千里先生进行分享,内容如下。
零壹财经:梆梆安全给金融机构提供的产品和服务有哪些?
赵千里:针对金融机构我们主要提供在移动端安全体系化的产品,从最初的移动应用安全加固、应用渠道监测、渗透测试、源码审计再到现在的态势威胁感知、SDK安全监测,还有基于SDLC的应用安全开发管理控制平台等。
信息安全问题本质在于程序代码的安全。要解决代码造成的安全问题,以现在的技术,包括已有的防范和检测技术,都属于亡羊补牢,都是解决已经发现了的、已存在的问题。如果能够在开发阶段尽可能把安全问题解决的话,那么后续的安全维护成本就会随之下降。
我们提供给银行等金融机构的服务主要是应用安全开发管理控制平台和移动应用态势威胁感知平台,这是他们最迫切的需求。通过安全加固,防二次打包、防篡改做得已经相当不错了,但现在更多需要应对的是在业务层面,在实际的应用程序运行起来时面临的一些动态攻击,金融机构的防御手段也转向了业务方面的安全防护。
现阶段各大行都有使用一些风控系统,但由于终端信息源(包括有web端、APP端、征信数据,还有来自同行或者联盟的威胁情报)不可信或者存在部分虚假信息的情况,就是从不同渠道拿到的两个信息有可能是矛盾的,没办法判断真伪,这样会使得最终的风控效果大打折扣。
因为后端拿过来的数据没有办法判断是真是假,所以我们倡导要把一些威胁判断前移,到最前端通过一些技术判断,更大概率知道哪些是真的信息。
零壹财经:梆梆的产品会涉及到哪些基础的技术?
赵千里:首先是大数据。
业界现在一流的安全公司都在做这样的事情——从防范已知威胁到防范未知威胁。
就像我们以前出过一些防火墙,防病毒,都是防范已知的一些常见的系统破坏、网络攻击,但现在的态势是从系统层面、网络层面、应用层面,多个维度都存在不可预知的安全风险,这样就造成我们的防御处在非常被动的局面。
也就是说,我们所知道的太少,而不知道的太多,而要解决这些不知道的风险,靠人工手段远远不够,我们需要更多的信息。
首先需要的就是现在比较流行的威胁情报,包括全球范围内大家一致确定的一些攻击者、黑产的相似信息,通过共享由这一系列信息形成的安全情报,从而把未知的东西更多地变为已知,减少不可控的因素。这个要借助大数据,从各个方面进行信息收集。
再者就是机器学习,这也是安全公司普遍用到的。
机器学习利用深度学习直接触达和感知设备的行为,基于设备行为和状态的用户画像模型来区分人和机器的不同。通过采集大量的数据,用于识别行为轨迹与正常人类/羊毛党的相似程度,经过设备画像关键字段:点击,移动,输入,停留等进行大数据积累和利用深度学习技术,机器会逐渐积累更多的样本来判断哪些动作是人,哪些是机器。这就是靠机器学习来进行人的一些建模,这种技术也普遍应用在信息安全防御。
同时我们得到的消息显示,有些攻击者也运用了机器学习,机器可以模拟人的操作频率做得更像人一点,最后就变成了双方计算能力和算法的对抗。
零壹财经:梆梆安全在金融行业的客户主要是银行?
赵千里:我们服务的金融机构包括银行、互金、证券、保险等。但是银行的业务性质决定了他们在移动金融方面的安全需求更高,而其他机构的业务属性对安全需求就稍弱。例如:你股票账户里有10万块钱,我改了你的数据,最后只有一千块钱。但对于攻击者而言,这是个损人不利己的行为。因为要把这个数据里的钱转到自己这里来,周期很长,中间链条很多。最终攻击者最直接的方式是从银行入手,直接转账,这个操作起来会方便很多。
零壹财经:中国商业银行的移动端应用,面临什么安全威胁?
赵千里:从金融行业来说,一个是个人信息泄露,一个是资金安全,再有就是对于机构伤害比较浅的名誉损失,比如说终端被黑了,出个新闻对名誉不好。
从黑产的角度来说,首先要存在利益才有人对他产生兴趣,去研究、攻击。所以说直接涉及到钱就是很显然的利益,包括电商平台搞的促销活动、薅羊毛,这是明显的利益。
另外就是个人信息,对方拿到你的信息能得到利益。从信息安全的发展来看,最初出现一些病毒,更多的是攻击者炫技,后面他们逐渐发现这样做对自己没有什么利益。现在的攻击是越来越隐蔽而且目的性越来越强。
我们发现很多用户(不仅仅是金融领域的)会觉得不需要安全防范,觉得没出什么安全事件,这反而是更可怕的事情。因为真实的情况可能是黑产已经把数据盗走了,但用户自己都不知道。
现在攻击者的目的很明确,为了避免牵涉到法律的问题,他们会有反追溯反追踪的技术,已经发展得比较先进了,让人感觉不到,但并不代表没有出现问题。移动互联网时代,安全的问题都是和利益相关,攻击者从数据或者虚拟货币这些获利。
零壹财经:整个移动金融行业存在什么问题?
赵千里:一是技术发展态势。由于移动端操作系统的发展时间还不是很长,技术成熟度还不够,不像传统Windows是一个庞大的体系,它里面会嵌入很多安全的手段。我们用到的安卓也好,IOS也好,通常没有这样的系统安全组件,同时也受限于现在移动终端硬件的容量和计算能力,因此从技术角度来说,这是先天存在的缺陷。
第二,随着这几年移动金融的迅猛发展,防护技术和配套管理还没有完全跟上,这给了黑产从业者大量的机会。例如,从事黑卡、金融欺诈、电信诈骗、薅羊毛等一系列金融欺诈行为。移动金融蓬勃发展,大量资金投入其中,移动金融中的直接经济利益加之从事黑产的技术门槛不高,进一步推动了黑产灰产行业的发展,促使他们越走越远。
总体来说移动金融行业存在的问题为两个方面,一个是利益驱动导致大量黑产存在,另一个是目前技术的发展不足造成安全风险普遍存在。
零壹财经:移动金融安全防护需求市场空间有多大?
赵千里:从发展趋势上来讲,移动安全防护肯定是需要的,但受制于几个方面。
第一是客户量有没有那么多。因为投入一百万来保护一个目前只产生十万效益的东西,是不合理的。比如我们需要选用几个安全套件,那这几个套件要投入的金钱是否远低于你要保护的资产,这是用户第一需要评估的东西。
现在国内头部企业越来越强,给中间企业生存的空间越来越有限,中小型企业要发展壮大的机会其实是不断变小,他们知道安全很重要,但要保护的内容价值低于付出的成本,那就需要把这个计划往后推。
第二是用户安全意识的问题。这几年安全意识是在高速发展,但我们的用户其实不像我们专业的安全从业人士,经过了十多年的积累,他们对信息安全理解很多都比较片面或者比较浅,并没有意识到一个技术问题对他的安全能产生多大的危害,在短时间内感觉不到,就会导致领导层对这方面意识不足,他们不缺钱,但是会觉得没必要。
零壹财经:移动金融安全领域面临的最大挑战是什么?
赵千里:面临的最主要挑战还是人才问题。
金融行业由于有央行、证监会以及监管机构的强制要求,安全意识是相当高的,应该说仅次于国家的涉密单位。因为最初的攻击者就是把他们设为攻击目标,所以金融行业的安全水平很高,他们的技术人员在这方面的研究也有十多年。关键在于,当新的技术出来的时候,有没有相应的人员储备来做这个。
特别是移动端,因为移动端的安全是近几年才发展起来,从银行或者金融机构的科技人员储备来说,做传统领域安全的有很多人,但移动端也是个新领域,可能储备不够,对应的技术、意识也可能跟不上,这个需要通过一些共同的培训来促进。
从整个行业来说,国家层面来重视金融安全也就是这几年的事情。之前市场上安全从业者的数量并没有明显的增长,因为这属于一个综合学科,需要懂网络、信息安全甚至是管理,要成为业内比较合格的一个从事安全工作的人,是需要一定周期。现在从全国的整体情况来看,人才是供不应求,也制约了安全的建设。
梆梆安全也会面临人才问题。因为真正的安全实施人员,特别是移动端,市场上就那么多,需要一两年才培养出那么一批,现在的存量远远满足不了市场的需求。所以移动端安全问题,现阶段相当一部分是在人才方面。我们也和用户建立联合实验室,共同孵化产品,培养人才。
--/ END /--
零壹财经·精彩往期回顾
了解更多详细信息请点击文末“阅读原文”