移動應用的爆發式增長及其在各行各業的普及，因其影響范圍之大、影響程度之深使得黑客逐漸聚焦移動應用攻擊，移動應用逐漸成為黑客的高價值攻擊目標。與此同時，應用保護技術變得越來越普遍，然而移動應用攻擊手段和技術的發展卻遠超企業信息安全防御能力。

避免移動應用程序開發隱患該從哪里著手？

2018年5月，被稱為史上最嚴格的數據保護條例“GDPR”正式生效是保護個人數據與安全邁出的重要一步，其實施使移動應用、IoT應用等的保護面臨更加嚴苛的合規條件。《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《信息安全技術 個人信息安全規范》等的實施在隱私保護層面對于移動應用開發提出了更嚴苛的合規要求。

[[239874]]

Gartner今年發布的《應用保護市場指南》中指出，在主流組織的安全部門之外，人們對應用保護技術的認知程度且采用的迫切性很低。雖然業務部門的管理人員認識到它是一種客戶體驗改進工具，但是開發人員并不覺得其應用程序可能成為攻擊目標。作為Gartner指南里唯一總部位于中國的供應商梆梆安全更是早已意識到了這一點。(*)

在近幾年發現的針對移動應用的攻擊和漏洞中，比如國內發現的應用克隆漏洞、Zipperdown、寄生推等，很多都屬于無差別式攻擊范疇，任何應用都可能成為相關攻擊對象，加之來自于合規層面的要求，需要從移動應用保護思路著手轉變，從意識培養入手，重新對安全進行戰略定位，選擇適合的應用保護技術，使得應用保護策略逐步逐級實施。

構建更為有效的移動應用防護體系

依據PPDR下一代安全體系框架思路，移動應用保護需要從預測、防御、檢測、響應四個維度，強調安全防護是一個持續處理、循環的過程，細粒度、多角度、持續化的對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，并不斷優化自身的安全防御機制。

縱觀近年來應用保護市場的發展，應用保護的技術和理論研究從未停止過，從最初的應用加固、到源碼混淆、白盒密碼、數字簽名、SO文件加固、SDK加固、應用沙箱，再到安全軟鍵盤、多態、清場SDK以及其他可以保護應用本身安全及其資源環境等安全的組件。技術的發展使得有意識且需要采用應用保護的企業面臨越來越多的選擇，越來越多的組織開始采用組合式的應用保護技術以避免他們開發的應用遭遇黑客攻擊，但如何來構建更為有效的移動應用防護體系成為難點。采用平臺化技術能夠更好地幫助企業完成應用保護，并對應用保護實施的全生命周期進行更為有效的安全管控。

Gartner今年發布的《應用保護市場指南》中提到，到2021年，一半以上的企業將通過單通道多通道應用保護平臺來進行應用保護。(*)

聚焦平臺賦能企業移動安全

然而，現實的情況是，很多安全產品還無法有效整合，企業安全思維仍然停留在“事件響應”階段。而好消息則是，近年來，在業務和合規雙軌驅動的環境下，諸如銀行、政府、物聯網、車聯網等企業正在開始采用新技術的同時注重安全技術的引入和管理，其思路正在向持續響應思維轉變，并且開始嘗試以平臺化方式、從用戶視角面向業務實現精細化安全過程管控。

基于此，梆梆安全發布了全新的應用安全開發管控平臺，在深度研究應用行業規范及業務特性基礎上，通過場景化威脅分析和應用安全建模，為行業應用打造專屬的安全基線標準，客觀展現每一個安全需求細節。同時以自動化方式指導、監控應用安全開發生命周期，并在其中提供靈活的應用安全解決方案及服務集成。

服務開發

長期以來，安全部門和業務部門對于安全需求及其重要性的理解存在嚴重的信息不對稱，一方面業務部門不太重視安全需求開發的重要性，且不了解安全開發的必要性，因此使得安全開發不能得到有效執行。另一方面，安全部門不能全面了解其所在機構開發應用的安全實施進展，因此無法確保在關鍵節點采用應用安全保護方案，導致安全開發與規劃脫節。應用安全開發管控平臺可以有效緩解安全部門和業務部門關于安全開發信息不對稱的現狀，根據組織特性及行業特性定義安全基線，并在規劃階段制定適合的應用保護策略，將其細化至安全開發的每一個環節，確保閉環防御流程的落地實施。

智能管控

新一代自適應安全防御架構強調通過預測、檢測、防御和響應的流程實現持續監控與分析，完成閉環防御流程。應用安全開發管控平臺正是基于這一架構及思想，根據移動應用業務功能特性，自動化為用戶同步生成具有針對性的移動應用安全開發規范，實現移動應用在需求分析階段、設計階段、安全編碼階段、安全策略執行階段、測試階段、投產運維階段的全生命周期安全管理，形成防御閉環，并以自動化的方式實現安全流程指導和管控。

量化管理

網絡安全可視化及量化管理是近年來網絡安全的熱點趨勢，同時對產品的數據處理和分析能力提出了更高的要求。應用安全開發管控平臺將安全管理工作量化，并以報表的形式直接呈現。一方面可以基于業務全流程生命周期管理推進安全管理工作的實施，凸顯安全管理工作的價值；另一方面基于平臺實現跨部門的最大化協同工作，使移動應用保護工作不再成為組織網絡安全保護的短板。

應用安全開發管控平臺是幫助組織完成從移動應用保護1.0到2.0邁進的重要里程碑，是梆梆安全在應用保護領域的重要探索成果，梆梆安全堅持踐行“自適應 御未來”，與用戶一起共同筑起全球應用保護的圍墻，將攻擊消弭于圍墻之外！

(*) Gartner, Market Guide for Application Shielding, 27 June 2018

聲明：

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.