上个月末， 梆梆安全以“自适应 御未来”为题，开启其2018年的全国巡展。会上，梆梆将其对”自适应安全（预测-防御-检测-响应）体系建设”的理解，以及结合梆梆安全原有强项能力落地而成的三个平台级产品，做了详细的介绍。

自适应安全体系的12个关键能力

Gartner早在2014年就提出了自适应安全框架(ASA)，作为下一代安全体系框架，ASA从预测、防御、检测和响应这四个能力角度(PPDR)强调安全防护是一个持续、循环的过程。通过对安全威胁进行细粒度、多维度、持续的实时动态分析，以自动适应不断变化的网络和威胁环境，优化自身的安全防御机制。

然而，今天数字化业务转型为企业带来的转变是由内（安全开发）到外（业务风控）的。安全治理面临更复杂的数据、网络&终端，以及威胁。防护的目标和对象也都发生了变化。同时，安全事件对企业业务的负面影响不断扩大、合规环境的不断紧缩、黑客工具-犯罪即服务的崛起……这些都让企业面临的安全挑战加剧。

梆梆安全产品总监陈忠认为，作为厂商，要让PPDR能力体系落到产品和服务层面，首先要实现下面这12个关键能力：

1 强化和隔离系统
2 攻击转移
3 事件预防（未授权访问）
4 事件检测
5 确认风险并优化优先级
6 事件遏制（威胁影响面控制）
7 调查/取证
8 设计/模型更改（安全策略/架构）
9 漏洞修复
10 基线系统
11 攻击预测
12 主动风险分析

同时，企业的安全思维也要从“事件响应”转换到“持续的响应”，从业务、技术、环境三方面驱动，为企业内部的IT资产提供弹性、可信的安全防护能力支持。

那么，融入自适应安全理念后，梆梆安全的产品/服务又有了哪些新能力？

三位一体的全流程平台

先说移动应用安全。这也是梆梆安全的传统强项。

以梆梆在移动应用安全方面的经验来看，能力建设的要点离不开对安全规范的解读，以及在满足不同业务有区别的安全诉求的同时，处理好和业务和开发部门的关系（即从安全角度对业务形成有力支撑）。这也是为什么说，目前移动应用安全的产品要想发挥效力，离不开服务的支持。

梆梆安全认为，移动应用安全能力的建设，应贯穿应用设计、开发、发布到运维、运营等各个阶段，在应用的全生命周期以不同的能力，应对不同的安全挑战。这必然是一个包含多个反馈循环的长流程。

移动应用安全全生命周期建设流程

据梆梆安全技术总监滕越介绍，该全流程平台的核心价值点有三：

1. 量化管理

利用应用在整个安全开发过程中对渠道、漏洞的监测，以及终端设备、威胁等数据，对安全开发管理的过程持续优化，使数据透明化、管理可视化、成果可量化。在应用上线后，通过引入动态反馈的外部数据，如业务风险、机型和操作系统分布、root趋势等，形成PPDR能力循环。

2. 智能安控

通过安全开发、安全检测、审核等流程自动化，以及结合用户行业及业务特性将安全基线标准化，有效提升安全与开发人员的协作效率。

3. 服务开发

基于梆梆在行业安全规范等方面的积累，智能、自动化地生成针对不同安全检测项的安全基线，以及包含具体方案安全开发规范文档，将部分安全服务前置。

兼具量化管理、智能安控、服务开发

以行业特性为导向，针对用户不同移动业务的安全需求，梆梆从安全基线、管控流程、安全数据呈现三个角度，让安全真正做到可视化、文档化、服务化。

针对移动应用的主动防护能力

代码安全、业务逻辑缺陷、操作系统漏洞等都是移动应用的常见安全风险，也有比较成熟的应对方式，但对在应用运行时利用模拟器、恶意SDK、Hook等技术实现的动态攻击，以及相应的业务欺诈行为，更多的却只有“惶恐”。传统对代码的静态防护，如安全加固、渠道监控、源码审计/渗透测试等，对应用上线后的安全状态，感知能力十分有限。

最大的安全威胁，不是被攻击了，而是你还不知道自己已经被攻击。

梆梆认为，移动应用的动态防护能力主要体现在5大方面：

• 0day/Ndays安全漏洞的应急处理
• 业务交易反欺诈
• 高危运行环境（如root/越狱、USB调试开启、允许地理位置模拟等）
• 异常使用手段（恶意渗透、模拟器、设备信息篡改等）
• 非正常应用（源码泄露、三方SDK恶意行为等）

通过在应用侧植入探针（威胁情报采集），梆梆安全的移动威胁感知平台可以以数据采集、运行安全监控、运营分析、威胁情报、业务反欺诈、技术赋能这六种服务的方式向用户输出更多的检测和响应能力，这也弥补了传统手段只专注静态防护的缺失。同时，基于持续安全服务的理念，探针的持续更新能力，应对不同行业不断变化的业务场景。

物联网终端安全能力体系建设思路

“云-管-端”体系是安全厂商应对物联网安全问题的主流思路，梆梆安全高级研究员刘丁认为，目前在云端和管道端，安全手段已近比较成熟和完善，但目前终端安全性的缺失是较为严重的，是目前“云-管-端”体系的短板。

目前车联网、智能家居、城市安防等安全事件频发，物联网终端虽然越来越智能，但同时厂商较为薄弱的安全意识，导致网络攻击的成本低、隐蔽性强，且攻击发生后易大面积感染，难以第一时间发现和解决等问题较为突出，并会严重影响客户业务。

基于PPDR能力模型，梆梆认为，物联网终端安全能力体系的建设应包括以下四个方面：

预防：

• 基于国内外相关标准和安全实践的渗透测试，及对高危漏洞的修复指导。

防护：

• 代码混淆保护固件和应用安全
• 白盒密钥保护密钥存储安全

检测&响应：

• 终端安全威胁预警系统——利用微分域和动态检测技术，结合对终端安全数据的多维分析，深入进程及其访问资源的行为，实时监控并定位威胁终端及应用，确定攻击路径和影响范围。

同时，通过该终端预警管理平台，统一制定和下发安全策略，执行响应操作。

引入人工智能的应用安全测试

在应用安全测试(AST)这个领域，梆梆这次给出的思路是AI的引入。

梆梆认为，目前现有静态和动态应用安全测试方法，有误报率高，人工成本和周期长，自动化漏扫适用范围有限等问题。安全测试的核心需求在于对漏洞及其产生原因的精准定位，更早且可持续的发现问题，对开源代码、三方组件、业务流程接口的覆盖，以及成本的可控和可量化。

交互式应用安全测试可利用功能测试人员产生的数据流，利用动态插桩、虚拟机、容器等实时监控技术，以白盒视角对应用运行时的状态，包括数据流、控制流、上下文等进行深度监控，并自动化构建安全测试用例。通过复用现有测试数据，减少重复成本的投入，并实时反馈测试结果。

IAST架构

而AI的引入，可以让IAST在对攻击面的识别、业务模型的构建，以及针对性对可能的攻击路径的探索，有了更多的优势。

难点在于能力的联动

梆梆安全高级副总裁席曼丽在开场致辞时介绍到，目前梆梆已经从原来的单点（加固）的安全能力，跨越到平台化、体系化的能力和方案。这不仅包括工具类的产品，还包括安全服务。

单点产品，考验的是企业技术实力有多深厚；而平台产品，体系化的方案，难点则在于对能力体系的理解，以及多点间能力的联动。这不只是简单单点能力的堆叠。

结合梆梆安全研究院，以及和北邮等高校成立联合实验室的研究成果，随着新的安全技术、安全理念的不断引入，对于梆梆而言，必是新的机遇和挑战。