“作为信息安全的从业者,我们经常会换位思考,从普通用户的角度、客户企业的角度,当然还有攻击者——犯罪分子的角度来看问题。对于攻击者而言,一个非常明显的趋势就是:‘炫技’已不是主流,‘牟利’才是关键。”
4月24日,在由北京移动金融产业联盟、移动支付网主办的“2019第三届中国移动金融发展大会”上,中国金融认证中心(CFCA)业务部助理总经理、电子认证与移动端身份认证技术专家张翼,以独特的视角开启了他对于目前移动端问题的应对解读。
中国金融认证中心(CFCA)业务部助理总经理张翼发表演讲
提及“牟利”,张翼表示,犯罪分子其实也相当于“运营”了一家“企业”,甚至是一条产业,比如“网络犯罪黑色产业链”,所以同样需要面临这些问题:减少“成本”、增加“利润”、降低“风险”。
分析当前攻击者的“牟利”思路,攻击手段主要可分为非接触式与接触式两大类。比如,诱导被害人主动操作,或通过已有数据主动攻击被害者,这都属于非接触式攻击;对被害人和设备进行直接攻击,甚至是通过多次获取被害人设备实施攻击,皆为接触式攻击。
张翼指出,攻击者更倾向于非接触式攻击,因为它成本低、效率高,对技术的要求相对较低。接触式攻击,虽然也有简单高效的模式,但总体来说很难大范围使用,不少很强的技术依旧停留在实验室和测评中心里,甚至部分攻击手段的主要场景是“同行竞争”。
因此眼下,真正已进入“刻不容缓”阶段,亟待解决的是“黑色产业链”造成的系列问题,如个人利益的“间接损失”。当一个人的隐私数据,进入黑产之后,可能会被多次售卖:售卖给攻击者,就可以以此进行非接触式攻击;售卖给某些商户,就可以以此来推销,甚至部分数据被洗白,公开售卖。
个人信息的严重泄露究竟来源于哪里?CFCA在与南方都市报联合进行的2019年315抽样调查中发现,某些移动端APP对于个人信息的收集行为,已经严重到了非常夸张的地步。大量个人信息包括短信、位置、通讯录、行为习惯、证件号码、生物识别信息等等都在被收集的范畴,而部分不法APP所有者甚至可能直接出售这部分资料使其进入黑产,或者因其防护能力较低被拖库从而使巨量隐私数据进入黑产。
2019年1月底,中央网信办联合工信部、公安部、市场监管总局等四部门表态,今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的App运营者,将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。从目前趋势来看,有关部门对此重视程度迅速增加,很有可能从专项治理推动立法。
如何提升移动端安全?张翼建议,第一种可以使用更强力的手段来应对非接触式攻击,特别是设备强的相关技术;第二种,关于信息特别是生物识别信息,存储在用户侧移动端本地比存储在服务器上有更高的安全度。如FIDO等相关技术,就可以实现生物识别信息不在网络上传输、也不在后台存储,各大银行和支付类公司均已开始应用。
然而,“单项技术实际上现已无法满足新技术趋势下的企业安全需求,全流程防护更为重要。”张翼强调。CFCA全流程移动端安全框架提供了一种很好的解决思路,覆盖事前、事中、事后各个环节。
事前,身份的初次识别,如何证明你是谁?如何开通高级别的认证手段?如果开通不规范,高级别防护真的能防护吗?
事中,身份的应用,如何证明你是还是注册的时候的那个你?如何证明你做了什么?在什么场景可以应用?流程是否安全?移动端APP本身是否安全?是否合法合规?
事后,信息收集,如何合法收集信息?如何获取可信认证结果?认证的法律效力如何证明?是否被认可?
作为国内领先的信息安全综合解决方案提供商,CFCA旗下的产品与服务已覆盖事前事中事后全流程,目前已在银行、第三方支付、大型企业集团等得到广泛应用。面对新技术趋势下移动端安全面临的各种挑战,CFCA将继续深耕细作,发挥自身优势,为企业移动端安全构筑牢固的信息安全基石。
閱讀更多 中國電子銀行網 的文章
