移動應(yīng)用防火墻——MAF,你聽說過么?
原創(chuàng)隨著移動互聯(lián)時代的到來,移動應(yīng)用正在成為業(yè)務(wù)與關(guān)鍵數(shù)據(jù)的載體,移動應(yīng)用安全備受關(guān)注。提到移動安全的防護(hù),我們可以看到基本上所有移動端安全的創(chuàng)投和移動安全的產(chǎn)品,關(guān)注的方向主要在客戶端和手機端,而在服務(wù)器端關(guān)注較少。在手機端,保護(hù)的核心是數(shù)據(jù)和用戶。在服務(wù)器端保護(hù)的是移動應(yīng)用運營者,保護(hù)他們的資產(chǎn)和業(yè)務(wù)。因此,他們所保護(hù)的對象不一樣,面臨的挑戰(zhàn)和解決方案也不一樣。
據(jù)了解,目前對于移動APP服務(wù)器的安全防護(hù),基本上是用傳統(tǒng)的Web應(yīng)用防火墻(WAF)或IPS來防護(hù),并無專門的一款安全產(chǎn)品。因此,移動APP防火墻的出現(xiàn)也就變得順理成章。
于是,WebRAY推出了一款部署在移動APP服務(wù)器端,對APP服務(wù)進(jìn)行保護(hù),主要應(yīng)對面向服務(wù)運營者進(jìn)行的攻擊的安全產(chǎn)品,并將其定義為移動應(yīng)用防火墻(Mobile Application Firewall,簡稱:MAF)。在2016年6月25日,由51CTO舉辦的WOT企業(yè)安全技術(shù)峰會上,WebRAY正式發(fā)布了該產(chǎn)品理念。這款產(chǎn)品代表著一個新的安全產(chǎn)品品類的誕生。
服務(wù)器端的移動應(yīng)用安全防護(hù)存在哪些難題?
會后,盛邦安全產(chǎn)品戰(zhàn)略負(fù)責(zé)人兼副總裁嚴(yán)雷在接受51CTO記者采訪時表示,在移動APP發(fā)展早期,由于大量采用B/S架構(gòu)設(shè)計,因此主要是通過WAF來保護(hù)移動APP服務(wù)器。甚至很多人會利用IPS甚至是下一代防火墻來保護(hù)APP應(yīng)用。
但是,現(xiàn)在專門面向移動服務(wù)器端的攻擊越來越多,很多威脅都無法通過傳統(tǒng)的安全設(shè)備來防御。其中在服務(wù)器端有個最嚴(yán)重的問題,就是APP的運營者被欺詐的問題,或者說APP劫持,例如:為無廣告APP插入廣告,替換APP中的廣告、釣魚重定向、內(nèi)容篡改,以及盜取資產(chǎn)、虛假身份、剪羊毛和外掛工具等欺詐行為。
其次,由于移動設(shè)備的構(gòu)建與PC不同,導(dǎo)致本來在WAF上能夠輕松解決的問題,在移動應(yīng)用防護(hù)上就成為了問題,雖然理論上講的通,但實際并不好解決。
再次,2g/3g/4g傳輸特性不同,公共Wifi不穩(wěn)定,速度不同,使得服務(wù)器端的調(diào)試優(yōu)化難,導(dǎo)致用戶體驗差。在運轉(zhuǎn)效率上,由于手機等移動設(shè)備本身的問題,內(nèi)存小,軟件多,再加上后臺運行的程序,導(dǎo)致運轉(zhuǎn)效率比傳統(tǒng)Web應(yīng)用上的防護(hù)差很多。
此外,由于HTPS的存在,加解密是需要消耗服務(wù)器端的資源,給傳統(tǒng)的抗D手段帶來了困難。
WebRAY的MAF——幻影
作為MAF產(chǎn)品理念的率先提出者,WebRAY的MAF是什么呢?它是該公司一款內(nèi)部打磨許久卻一直秘而不宣的神兵利器——幻影!據(jù)嚴(yán)雷介紹,這款神秘產(chǎn)品是WebRAY的戰(zhàn)略創(chuàng)新產(chǎn)品,公司希望憑借這款產(chǎn)品能夠打開新的市場空間,并成為公司成長的主要驅(qū)動來源。
嚴(yán)雷表示,幻影技術(shù)的核心就是變形。幻影將APP中的代碼采用代碼替換、代碼注入等技術(shù)進(jìn)行變形,這種變形是相對于機器人或者工具類的變形,在人的角度看,并無感知。另外,雖然該款產(chǎn)品還在打磨階段,但是目前已經(jīng)幫助了一些客戶,例如:北京交管新推出的北京交警APP的安全保障。未來,WebRAY將會加載威脅情報,引入行為分析等技術(shù),用來防欺詐,增強應(yīng)用層的抵抗力。
MAF部署到哪里?主要面對的用戶群體是哪些呢?
對此,嚴(yán)雷解答說,MAF部署在用戶的移動APP服務(wù)器前面,即是原來放置WAF的地方。目前,MAF的主要用戶群體特點主要體現(xiàn)以下幾個方面:第一,公司自己開發(fā)APP。第二,APP不能放到公有云里。第三,APP已經(jīng)有一定的影響力,可能會被攻擊。第四,沒有太多的安全運維方面的人力和資源。如銀行、醫(yī)院、出版社、政府部門等。
