为贯彻落实《网络安全法》、《数据安全法》等法律法规及政策要求,宣传推广网络安全和数据安全理念,提高全民网络安全和数据安全意识,吸引产业要素聚集,激发市场主体活力,中国软件评测中心开展了2022年度网络和数据安全优秀案例征集评选活动并于近日正式公布评选结果。
海云安移动应用风险评估系统从众多案例中脱颖而出,成功入选移动互联网APP产品安全漏洞治理优秀案例。
本次评选活动致力于激发更多创新型、专业型网络安全和数据安全解决方案涌现,为网络安全和数据安全产业发展提供新动力,提升全社会网络安全和数据安全保障能力。
海云安移动应用风险评估系统
案例概述:
移动安全威胁正在朝着多样化发展:一方面,移动端危险应用正在不断增加,大量过去陈旧的攻击方式重新受到青睐,如WebView组件安全、高危同源策略绕过漏洞攻击、恶意仿冒等;另一方面,各类安全威胁又不断推陈出新,如应用克隆、移动端勒索病毒这些新的安全威胁对企业安全带来的新的挑战。移动技术的广泛使用也给该客户带来了新的挑战,在对移动应用管理、移动业务数据防泄露、安全接入等方面面临多种开发和管理难题,这些问题愈发制约着该客户移动业务的推进,并影响企业数据安全和个人信息等问题。
深圳市党政机关的移动应用承载着有大量敏感信息,一旦曝出高危漏洞,后果不堪设想,主管信息安全的政数局信息安全管理中心缺乏有效的检测手段,无法全面深入的识别移动应用的安全漏洞。需要一套移动应用安全检测工具,能全面深入的检测安卓/iOS版应用里的各项安全漏洞,并自动给出对应漏洞的解决方案。
针对以上安全风险,海云安基于在行业丰富经验,为客户打造移动应用安全整体解决方案,通过使用移动应用风险评估系统(MARS)来满足早期发现、查找根源、完整覆盖、业务安全、降低成本、长期受益的解决方案,从漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪6个方面对发现的问题和风险进行管理最终形成闭环,并协助客户在中心机房和实验室分别各部署了一套APP安全检测工具,通过对移动应用的安全检测工具的长期使用降低测试人员时间投入,促进安全开发、安全运维等机制得形成,提高整体的业务系统安全管理水平。
案例创新点:
1、技术创新点多:细粒度动静融合检测,深度智能加固检测①采取SAST、DAST、IAST等多维技术。②基于深度学习的场景化辅助判定方法。③采取虚实结合的动态加固自对抗技术。④插件式多行为组合的检测技术。2、检测精准度高:准确发现安全问题缺陷超过95%,OWASP Mobile Top 10类型漏洞超过90%。辅助以深度学习的场景化隐私政策合规判定方法,确保检测结果漏/误报率低,准确率高。
示范意义:
基于MASR 2000,海云安为国家公安部网安局、工信部通信管理局、网信办、市场监督管理局等监管机构开展了高质量的APP安全检测支撑,其中,广东通信管理局在全国范围内的监管力度最为突出,在其指导下,于2021年3月11日成立了国内首个APP安全生态联盟。平台实现了针对移动应用的多路监听检测、批量API扫描、实时真机检测等多项国内领先技术并通过国家安全生产监督管理总局通信信息中心的严格检测。在此基础上研发出的MASR 2000系统于2020年12月28日全国首批通过公安部针对APP安全检测工具的检验检测(全国不超过10家)。