要点解读 |梆梆安全助力移动应用安全落地,为数字金融保驾护航
作者: 日期:2022年12月08日 阅:623

数字化浪潮席卷全球,国家全面推进数字经济。随着金融信息化发展态势不断融合,新兴技术的应用程度越来越高,安全风险也随之攀升,移动应用安全已经成为金融行业数字化进程的重中之重。

您还在疑惑——

攻击手段不断迭代,

企业如何真正筑牢安全发展的基石?

发展态势不断融合,

落地过程中如何实现业务安全双平衡?

您的难题,梆梆安全来解答

↓ ↓

在金融安全威胁迅速增长的背景下,由梆梆安全举办的 ⌈金融行业移动应用安全研讨会⌋ 线上会议如约而至。会上,来自银行、证券、基金、期货、消费金融等 240+ 家金融公司的安全负责人共聚一堂,全面探讨近年来在数字金融领域探索、创新与实践方面的心得和经验。梆梆安全希望通过金融行业用户之间的分享对话,让更多人借鉴和吸收移动应用安全的落地经验。

热点一

注入手段迭代,

平台如何实现威胁感知并有效“护脸”?

近年来,随着移动端在金融行业的大规模应用,以人脸识别绕过为代表的技术化攻击及风控绕过技术成为黑、灰产的通用普适性攻击技术,暴露出隐私泄露、技术滥用、消费诈骗等问题,影响金融行业的业务安全。

作为“护脸计划”首批成员单位,梆梆安全在人脸识别等新技术安全发展领域做足功课,提出从人脸识别绕过看技术与业务双轮驱动的风控升级,率先实现了对“人脸识别”绕过等安全风险的监测并将其落地。

梆梆安全自主研发的移动应用安全监测平台,不依赖用户的业务数据,不依赖现有的黑产数据,部署简单方便有效,能够从移动应用运行时的环境进行感知分析,为用户快速建立事前、事中、事后的移动应用安全态势感知体系,实现在应用软件每次启动时,通过检测系统关键函数、信息上报、分析研判、人脸识别绕过阻断等技术手段,实现对风险的感知及防御。

目前,梆梆安全人脸识别业务安全防护解决方案,通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛,利用安全监测与业务系统的联动,解决应用运行过程中出现的前端技术类攻击行为,成功案例遍及金融、政府、运营商等诸多行业。

热点二

多业务并发进行,

终端的性能需求和安全效果如何兼得?随着数字化转型升级的加速,数据存储容量和硬盘数量也在不断增加,多业务并发时,一旦发生卡慢事件,对于业务的影响不可估量。

梆梆安全 SDK 在设计之初就考虑了性能问题,处理性能的机制可根据客户实际业务情况选择。

针对初始化时加载内容较多会造成 CPU 和内存占用高问题,SDK 设立的机制让平台的初始化比 APP 其他功能晚几秒,跳出大规模业务启动时间点,降低 CPU 和内存占用。

针对流量问题,测算全量数据上送大概占用 20 KB 流量,但每一次启动,只有启动那一刻进行全量流量上送。正常情况只会上送威胁信息或一些信息更改,上送量极小,对用户流量套餐的影响几乎为 0。

针对电量问题,考虑到性能需求,将需要用到数据分析的业务主要放置在服务端,只有简单的逻辑判断置于移动端。所以平台运行时只有几个监测点在后台运行,几乎对电量无影响。

另外,梆梆安全根据常态化个人信息保护合规评估服务的内容,提升行方的自生合规的能力,再通过提供的合规工具,协助行方进行相应的检测能力建设,达到自生合规能力沉淀且持续提升的能力,满足 App 敏捷化迭代开发的诉求和快速迭代情况下的合规检测效率问题。

热点三

网络+平台+数据,

梆梆安全如何覆盖移动应用安全的广泛场景?智慧化应用层出不穷,金融行业迫切需要改变原有防御理念和架构,构建高效的网络安全防御体系,真正筑牢金融业信息安全发展的基石。梆梆安全通过构建应用数据安全的纵深防御体系,覆盖 H5、小程序、APP、业务系统等移动应用安全的广泛场景,深度赋能金融行业的数字化转型。
数据采集针对采集数据,从静态和动态层面对移动应用程序进行深度分析检测,包含合规检测、行为检测、成分检测、安全漏洞检测、权限检测等核心检测功能;依据国家行业标准指南、监管政策规范等,识别采集的数据是否存在安全合规问题,并可提供相应的证据截图信息及整改建议,供开发者进行整改,以保障移动应用运行过程中满足采集数据的合规要求。
数据传输
梆梆安全通信传输数据保护技术适用于所有 CS 架构的业务系统,包含前端 APP、小程序及后端服务器。在客户端与服务端通信过程中,会在原有的消息报文基础上,进行一次对称性加密并隐藏密钥,使攻击者无法通过提取密钥方式破解通信报文。同时,采用多重的校验机制对通信数据进行完整性加密保护,让攻击者无法形成中间人攻击,从而实现移动应用通信数据的安全保护功能。
数据缓存

  • 代码安全测评梆梆安全对应用的运行代码进行深度检测,针对 Android 应用、SDK、iOS应用、小程序和 Web 应用等对象,通过深度静态检测技术、动态检测技术、源代码扫描等技术服务,全面评估应用安全问题,准确定位问题根源,防止第三方 SDK 通过后门或漏洞技术,非法获取应用运行产生的数据,以保障移动应用重用户个人信息和敏感数据的安全。 
  • 应用加固防护梆梆安全以动态防护为核心,对应用代码安全进行静态和动态加固防护。静态防护技术主要提供 dex 文件加固、资源文件加固、so 文件加固等,动态防护技术主要提供防调试加固、防 hook 加固、防 dump 攻击、防日志输出加固、运行环境风险检测与阻断等,有效防范攻击人员对移动应用进行破解,进而获取应用内的关键敏感数据。

数据交换使用
随着移动应用业务类型的丰富,移动端各种业务类型的正常运行建立在“可信应用、可信环境、可信行为”的基础上,梆梆安全通过终端设备、人机识别、APP运行环境、通信行为分析、注入调试攻击、第三方 SDK 管控、策略设置拦截等实时在线的监测技术,对 APP/小程序/H5/SDK 等全业务接入行为进行实时在线监测,及时发现并阻断外挂软件和数据爬虫,保障移动应用的数据使用安全合规。同时梆梆安全的应用安全监测平台,基于创新 AI 人工智能实时在线数据监测与响应技术,以移动应用收集的数据安全底座为支撑,提供数据风险管理、实时智能检测、威胁检测等功能。
应用注销数据保护
为保障移动应用中用户注销账户后的信息安全,梆梆安全隐私合规平台通过内置合规规范和自评估指南检查,查看移动应用的隐私政策,为用户提供注销渠道和注销方式;在用户账号注销后,及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索和访问的状态,以保障用户注销后的个人信息安全。

从金融科技到数字金融,金融业正放手拥抱数字经济时代。目前梆梆安全在金融行业的移动安全建设方案已在多家银行、证券、基金、期货、消费金融等金融公司落地实施,价值和优势正在被越来越多的用户认可。梆梆安全将继续以“保护您的软件”为目标,推动数字经济健康发展,为中国经济高质量发展增添新动能、培育新优势!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章