在過去的幾年中，伴隨移動互聯(lián)網(wǎng)的發(fā)展，移動應用作為越來越多企業(yè)最重要的業(yè)務渠道之一，發(fā)揮著越來越重要的作用。移動應用的業(yè)務豐富性、便捷性不斷提升，移動安全防護也成為企業(yè)安全防護中重要的一個環(huán)節(jié)。然而最近一個公開案例，又再一次讓我們把目光轉向了移動安全。

　　2019年10月，只有初中文化的00后田某被福建省廈門市思明區(qū)人民法院以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書表示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在某銀行手機銀行App內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。2018年5月也曾有類似案例發(fā)生，當時黑客發(fā)現(xiàn)某銀行App軟件中的質(zhì)押貸款業(yè)務存在安全漏洞，遂使用非法手段獲取了5套該行的儲戶賬戶信息，在賬戶中存入少量金額后辦理定期存款，后通過技術軟件成倍放大存款金額，藉此獲得質(zhì)押貸款，累計非法獲利2800余萬元。

　　筆者就這兩次攻擊事件采訪了梆梆安全移動安全攻防實驗室高級研究員譚陽，譚陽表示，這兩起案件里的黑客行動從本質(zhì)上來講其核心指向的攻擊就是：非授權惡意滲透測試+前端數(shù)據(jù)造假。

　　金融行業(yè)作為目前對于安全要求極高的行業(yè)之一，一直以來走在攻防對抗的前線。從移動安全防護本身來講，金融行業(yè)在移動安全防護中已經(jīng)采取了眾多安全手段，如安全加固、滲透測試、安全鍵盤等，甚至更多的企業(yè)建立了完善的業(yè)務風控或反欺詐的保護機制。在攻防對抗不斷提升的大背景下，這類事件的發(fā)生，所有人都想問一個問題：作為安全防護等級要求已經(jīng)很高的金融行業(yè)，為什么還會出現(xiàn)這類事件?除了金融行業(yè)是攻擊者關注的重點行業(yè)外，其最重要的一個方面是移動安全攻防對抗進入了新階段：動態(tài)安全對抗階段。

　　譚陽介紹說，當前移動安全攻防主要經(jīng)歷了三個階段：靜態(tài)保護階段、業(yè)務安全階段以及當前最新的動態(tài)安全對抗階段。

　　移動安全攻防對抗的第一階段：靜態(tài)保護階段

　　在過去的很長一段時間，移動安全的攻防對抗，仍然停留在靜態(tài)保護和破解之間的對抗，來回交手數(shù)次，攻擊者門檻和成本逐漸提升。防御者一般會：

　　1. 通過應用加固，防止黑客破解應用，分析業(yè)務邏輯找出漏洞或繞過安全控制措施，或進行篡改二次打包;

　　2. 通過安全鍵盤，防止用戶輸入賬號密碼被竊取;

　　3. 通過滲透測試/代碼審計，盡可能的找出業(yè)務缺陷并在發(fā)布前修復掉;

　　4. 通過密鑰白盒，保證本地密鑰存儲的安全性;。

　　移動安全的第二階段：業(yè)務安全階段

　　業(yè)務安全階段最典型的特征就是通過制定專家規(guī)則或者利用機器學習技術，分析各類交易行為數(shù)據(jù)，試圖找出各種違反規(guī)則或者異常交易行為，防御者一般會：

　　1、 通過業(yè)務規(guī)則，從IP、地理位置、設備、身份證、手機號等多個維度制定業(yè)務規(guī)則，防止薅羊毛、刷單、批量開卡等業(yè)務交易行為;

　　2、 通過模型，利用機器學習及關聯(lián)分析，找出異?？梢山灰仔袨椤?/p>

　　通過第一階段和第二階段的保護，絕大部分移動應用的安全防護達到了一個新的高度，攻擊者的攻擊門檻和攻擊成本也在顯著提升。然而攻防對抗總是在不斷的提升，攻擊者正在另辟蹊徑，尋求產(chǎn)出投入比更好的攻擊路徑。移動安全攻防對抗也隨之逐步進入第三階段：動態(tài)安全防護階段。

　　在動態(tài)安全防護階段中，攻擊者的典型特征表現(xiàn)為：

　　1、 充分利用業(yè)務漏洞的普遍性：在傳統(tǒng)的靜態(tài)安全保護中，滲透測試本質(zhì)上是用來降低業(yè)務漏洞帶來的影響。但滲透測試對滲透測試人員的依賴度過高，且無法保證所有的業(yè)務漏洞都被找到，而自動化檢測技術則無法達到人工的深度，加之業(yè)務迭代更新快速，無法保證每個版本都進行人工滲透測試。這些都導致了業(yè)務系統(tǒng)會有很大幾率存在潛藏、尚未被及時發(fā)現(xiàn)的安全漏洞。

　　2、 非授權滲透測試的便捷性：在第一階段和第二階段的防護中，無法鑒別和阻止非授權滲透測試行為，這個給黑客攻擊者制造了天然的攻擊條件。

　　3、 前端數(shù)據(jù)造假的低門檻：利用一些成熟的黑客攻擊軟件，能夠相對容易的實現(xiàn)終端設備信息造假、終端位置信息造假、影音數(shù)據(jù)造假。

　　譚陽提出，在這個攻防對抗的提升過程中，防守方目前處于弱勢，主要表現(xiàn)在幾個方面：

　　1、 在無法確保業(yè)務缺陷被完全消除的情況下，現(xiàn)有安全措施無法有效防御未經(jīng)授權滲透測試行為;

　　2、 在終端數(shù)據(jù)造假的低門檻下，無法保證前端采集數(shù)據(jù)的真實性;

　　3、 對于依賴于前端執(zhí)行的某些業(yè)務規(guī)則，無法保證是否正常執(zhí)行或被繞過，如拍照(繞過拍照上傳一張本地PS照片)、OCR識別(繞過OCR識別填寫任意信息)等。

　　在這個大背景下，中國人民銀行在2019年發(fā)布的《中國人民銀行關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》銀發(fā)【2019】237號文中，已經(jīng)再一次明確要求：各金融機構要建立健全客戶端軟件風險監(jiān)測管理機制，充分利用客戶端軟件風險監(jiān)測平臺，識別和處置客戶端軟件潛在的安全漏洞、權限濫用、信息泄露等風險隱患，對發(fā)現(xiàn)的漏洞和潛在的風險及時采取補救措施。237號文的發(fā)布，是金融行業(yè)移動安全走向第三階段的重要標志。譚陽認為，在第三個階段的動態(tài)安全防護的對抗過程中，以下幾方面的能力獲取對于防守方而言顯得尤為重要：

　　1、 靜態(tài)保護閉環(huán)監(jiān)測能力：對于傳統(tǒng)的加固、安全鍵盤等靜態(tài)保護手段，需要監(jiān)測其是否遭受攻擊，是否還有效;

　　2、 終端環(huán)境可信檢測能力：對于系統(tǒng)環(huán)境風險、惡意軟件風險、終端數(shù)據(jù)造假等情況的檢測預警能力;

　　3、 非授權滲透測試行為監(jiān)測能力：及時發(fā)現(xiàn)終端非授權滲透測試行為，及時作出預警和處置;

　　4、 終端惡意違規(guī)行為監(jiān)測能力：及時發(fā)現(xiàn)繞過拍照、OCR識別等前端業(yè)務邏輯的惡意使用行為;

　　5、 持續(xù)的攻防對抗監(jiān)測能力提升：能夠及時針對攻擊方式的轉變，及時分析攻擊路徑，提升監(jiān)測對抗能力。

　　攻防對抗不斷提升是整個安全發(fā)展的必然趨勢，唯有安全廠商與客戶一起同步能力提升，才能有效應對新形勢下的安全挑戰(zhàn)。