从单点加固到能力平台化 看梆梆安全如何将自适应安全理念融入其产品和服务体系
作者:星期四, 五月 24, 20180

上个月末, 梆梆安全以“自适应 御未来”为题,开启其2018年的全国巡展。会上,梆梆将其对”自适应安全(预测-防御-检测-响应)体系建设”的理解,以及结合梆梆安全原有强项能力落地而成的三个平台级产品,做了详细的介绍。

自适应安全体系的12个关键能力

Gartner早在2014年就提出了自适应安全框架(ASA),作为下一代安全体系框架,ASA从预测、防御、检测和响应这四个能力角度(PPDR)强调安全防护是一个持续、循环的过程。通过对安全威胁进行细粒度、多维度、持续的实时动态分析,以自动适应不断变化的网络和威胁环境,优化自身的安全防御机制。

然而,今天数字化业务转型为企业带来的转变是由内(安全开发)到外(业务风控)的。安全治理面临更复杂的数据、网络&终端,以及威胁。防护的目标和对象也都发生了变化。同时,安全事件对企业业务的负面影响不断扩大、合规环境的不断紧缩、黑客工具-犯罪即服务的崛起……这些都让企业面临的安全挑战加剧。

梆梆安全产品总监陈忠认为,作为厂商,要让PPDR能力体系落到产品和服务层面,首先要实现下面这12个关键能力:

1 强化和隔离系统
2 攻击转移
3 事件预防(未授权访问)
4 事件检测
5 确认风险并优化优先级
6 事件遏制(威胁影响面控制)
7 调查/取证
8 设计/模型更改(安全策略/架构)
9 漏洞修复
10 基线系统
11 攻击预测
12 主动风险分析

同时,企业的安全思维也要从“事件响应”转换到“持续的响应”,从业务、技术、环境三方面驱动,为企业内部的IT资产提供弹性、可信的安全防护能力支持。

那么,融入自适应安全理念后,梆梆安全的产品/服务又有了哪些新能力?

三位一体的全流程平台

先说移动应用安全。这也是梆梆安全的传统强项。

以梆梆在移动应用安全方面的经验来看,能力建设的要点离不开对安全规范的解读,以及在满足不同业务有区别的安全诉求的同时,处理好和业务和开发部门的关系(即从安全角度对业务形成有力支撑)。这也是为什么说,目前移动应用安全的产品要想发挥效力,离不开服务的支持。

梆梆安全认为,移动应用安全能力的建设,应贯穿应用设计、开发、发布到运维、运营等各个阶段,在应用的全生命周期以不同的能力,应对不同的安全挑战。这必然是一个包含多个反馈循环的长流程。

移动应用安全全生命周期建设流程

据梆梆安全技术总监滕越介绍,该全流程平台的核心价值点有三:

1. 量化管理

利用应用在整个安全开发过程中对渠道、漏洞的监测,以及终端设备、威胁等数据,对安全开发管理的过程持续优化,使数据透明化、管理可视化、成果可量化。在应用上线后,通过引入动态反馈的外部数据,如业务风险、机型和操作系统分布、root趋势等,形成PPDR能力循环。

2. 智能安控

通过安全开发、安全检测、审核等流程自动化,以及结合用户行业及业务特性将安全基线标准化,有效提升安全与开发人员的协作效率。

3. 服务开发

基于梆梆在行业安全规范等方面的积累,智能、自动化地生成针对不同安全检测项的安全基线,以及包含具体方案安全开发规范文档,将部分安全服务前置。

兼具量化管理、智能安控、服务开发

以行业特性为导向,针对用户不同移动业务的安全需求,梆梆从安全基线、管控流程、安全数据呈现三个角度,让安全真正做到可视化、文档化、服务化。

针对移动应用的主动防护能力

代码安全、业务逻辑缺陷、操作系统漏洞等都是移动应用的常见安全风险,也有比较成熟的应对方式,但对在应用运行时利用模拟器、恶意SDK、Hook等技术实现的动态攻击,以及相应的业务欺诈行为,更多的却只有“惶恐”。传统对代码的静态防护,如安全加固、渠道监控、源码审计/渗透测试等,对应用上线后的安全状态,感知能力十分有限。

最大的安全威胁,不是被攻击了,而是你还不知道自己已经被攻击。

梆梆认为,移动应用的动态防护能力主要体现在5大方面:

  • 0day/Ndays安全漏洞的应急处理
  • 业务交易反欺诈
  • 高危运行环境(如root/越狱、USB调试开启、允许地理位置模拟等)
  • 异常使用手段(恶意渗透、模拟器、设备信息篡改等)
  • 非正常应用(源码泄露、三方SDK恶意行为等)

通过在应用侧植入探针(威胁情报采集),梆梆安全的移动威胁感知平台可以以数据采集、运行安全监控、运营分析、威胁情报、业务反欺诈、技术赋能这六种服务的方式向用户输出更多的检测和响应能力,这也弥补了传统手段只专注静态防护的缺失。同时,基于持续安全服务的理念,探针的持续更新能力,应对不同行业不断变化的业务场景。

物联网终端安全能力体系建设思路

“云-管-端”体系是安全厂商应对物联网安全问题的主流思路,梆梆安全高级研究员刘丁认为,目前在云端和管道端,安全手段已近比较成熟和完善,但目前终端安全性的缺失是较为严重的,是目前“云-管-端”体系的短板。

目前车联网、智能家居、城市安防等安全事件频发,物联网终端虽然越来越智能,但同时厂商较为薄弱的安全意识,导致网络攻击的成本低、隐蔽性强,且攻击发生后易大面积感染,难以第一时间发现和解决等问题较为突出,并会严重影响客户业务。

基于PPDR能力模型,梆梆认为,物联网终端安全能力体系的建设应包括以下四个方面:

预防:

  • 基于国内外相关标准和安全实践的渗透测试,及对高危漏洞的修复指导。

防护:

  • 代码混淆保护固件和应用安全
  • 白盒密钥保护密钥存储安全

检测&响应:

  • 终端安全威胁预警系统——利用微分域和动态检测技术,结合对终端安全数据的多维分析,深入进程及其访问资源的行为,实时监控并定位威胁终端及应用,确定攻击路径和影响范围。

同时,通过该终端预警管理平台,统一制定和下发安全策略,执行响应操作。

引入人工智能的应用安全测试

在应用安全测试(AST)这个领域,梆梆这次给出的思路是AI的引入。

梆梆认为,目前现有静态和动态应用安全测试方法,有误报率高,人工成本和周期长,自动化漏扫适用范围有限等问题。安全测试的核心需求在于对漏洞及其产生原因的精准定位,更早且可持续的发现问题,对开源代码、三方组件、业务流程接口的覆盖,以及成本的可控和可量化。

交互式应用安全测试可利用功能测试人员产生的数据流,利用动态插桩、虚拟机、容器等实时监控技术,以白盒视角对应用运行时的状态,包括数据流、控制流、上下文等进行深度监控,并自动化构建安全测试用例。通过复用现有测试数据,减少重复成本的投入,并实时反馈测试结果。

IAST架构

而AI的引入,可以让IAST在对攻击面的识别、业务模型的构建,以及针对性对可能的攻击路径的探索,有了更多的优势。

难点在于能力的联动

梆梆安全高级副总裁席曼丽在开场致辞时介绍到,目前梆梆已经从原来的单点(加固)的安全能力,跨越到平台化、体系化的能力和方案。这不仅包括工具类的产品,还包括安全服务。

单点产品,考验的是企业技术实力有多深厚;而平台产品,体系化的方案,难点则在于对能力体系的理解,以及多点间能力的联动。这不只是简单单点能力的堆叠。

结合梆梆安全研究院,以及和北邮等高校成立联合实验室的研究成果,随着新的安全技术、安全理念的不断引入,对于梆梆而言,必是新的机遇和挑战。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章