在過去的幾年中，伴隨移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)應(yīng)用作為越來越多企業(yè)最重要的業(yè)務(wù)渠道之一，發(fā)揮著越來越重要的作用。移動(dòng)應(yīng)用的業(yè)務(wù)豐富性、便捷性不斷提升，移動(dòng)安全防護(hù)也成為企業(yè)安全防護(hù)中重要的一個(gè)環(huán)節(jié)。然而最近一個(gè)公開案例，又再一次讓我們把目光轉(zhuǎn)向了移動(dòng)安全。

　　2019年10月，只有初中文化的00后田某被福建省廈門市思明區(qū)人民法院以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書表示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在某銀行手機(jī)銀行App內(nèi)使用虛假身份信息注冊(cè)銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。2018年5月也曾有類似案例發(fā)生，當(dāng)時(shí)黑客發(fā)現(xiàn)某銀行App軟件中的質(zhì)押貸款業(yè)務(wù)存在安全漏洞，遂使用非法手段獲取了5套該行的儲(chǔ)戶賬戶信息，在賬戶中存入少量金額后辦理定期存款，后通過技術(shù)軟件成倍放大存款金額，藉此獲得質(zhì)押貸款，累計(jì)非法獲利2800余萬元。

　　筆者就這兩次攻擊事件采訪了梆梆安全移動(dòng)安全攻防實(shí)驗(yàn)室高級(jí)研究員譚陽，譚陽表示，這兩起案件里的黑客行動(dòng)從本質(zhì)上來講其核心指向的攻擊就是：非授權(quán)惡意滲透測(cè)試+前端數(shù)據(jù)造假。

　　金融行業(yè)作為目前對(duì)于安全要求極高的行業(yè)之一，一直以來走在攻防對(duì)抗的前線。從移動(dòng)安全防護(hù)本身來講，金融行業(yè)在移動(dòng)安全防護(hù)中已經(jīng)采取了眾多安全手段，如安全加固、滲透測(cè)試、安全鍵盤等，甚至更多的企業(yè)建立了完善的業(yè)務(wù)風(fēng)控或反欺詐的保護(hù)機(jī)制。在攻防對(duì)抗不斷提升的大背景下，這類事件的發(fā)生，所有人都想問一個(gè)問題：作為安全防護(hù)等級(jí)要求已經(jīng)很高的金融行業(yè)，為什么還會(huì)出現(xiàn)這類事件?除了金融行業(yè)是攻擊者關(guān)注的重點(diǎn)行業(yè)外，其最重要的一個(gè)方面是移動(dòng)安全攻防對(duì)抗進(jìn)入了新階段：動(dòng)態(tài)安全對(duì)抗階段。

　　譚陽介紹說，當(dāng)前移動(dòng)安全攻防主要經(jīng)歷了三個(gè)階段：靜態(tài)保護(hù)階段、業(yè)務(wù)安全階段以及當(dāng)前最新的動(dòng)態(tài)安全對(duì)抗階段。

　　移動(dòng)安全攻防對(duì)抗的第一階段：靜態(tài)保護(hù)階段

　　在過去的很長一段時(shí)間，移動(dòng)安全的攻防對(duì)抗，仍然停留在靜態(tài)保護(hù)和破解之間的對(duì)抗，來回交手?jǐn)?shù)次，攻擊者門檻和成本逐漸提升。防御者一般會(huì)：

　　1. 通過應(yīng)用加固，防止黑客破解應(yīng)用，分析業(yè)務(wù)邏輯找出漏洞或繞過安全控制措施，或進(jìn)行篡改二次打包;

　　2. 通過安全鍵盤，防止用戶輸入賬號(hào)密碼被竊取;

　　3. 通過滲透測(cè)試/代碼審計(jì)，盡可能的找出業(yè)務(wù)缺陷并在發(fā)布前修復(fù)掉;

　　4. 通過密鑰白盒，保證本地密鑰存儲(chǔ)的安全性;。

　　移動(dòng)安全的第二階段：業(yè)務(wù)安全階段

　　業(yè)務(wù)安全階段最典型的特征就是通過制定專家規(guī)則或者利用機(jī)器學(xué)習(xí)技術(shù)，分析各類交易行為數(shù)據(jù)，試圖找出各種違反規(guī)則或者異常交易行為，防御者一般會(huì)：

　　1、 通過業(yè)務(wù)規(guī)則，從IP、地理位置、設(shè)備、身份證、手機(jī)號(hào)等多個(gè)維度制定業(yè)務(wù)規(guī)則，防止薅羊毛、刷單、批量開卡等業(yè)務(wù)交易行為;

　　2、 通過模型，利用機(jī)器學(xué)習(xí)及關(guān)聯(lián)分析，找出異?？梢山灰仔袨?。

　　通過第一階段和第二階段的保護(hù)，絕大部分移動(dòng)應(yīng)用的安全防護(hù)達(dá)到了一個(gè)新的高度，攻擊者的攻擊門檻和攻擊成本也在顯著提升。然而攻防對(duì)抗總是在不斷的提升，攻擊者正在另辟蹊徑，尋求產(chǎn)出投入比更好的攻擊路徑。移動(dòng)安全攻防對(duì)抗也隨之逐步進(jìn)入第三階段：動(dòng)態(tài)安全防護(hù)階段。

　　在動(dòng)態(tài)安全防護(hù)階段中，攻擊者的典型特征表現(xiàn)為：

　　1、 充分利用業(yè)務(wù)漏洞的普遍性：在傳統(tǒng)的靜態(tài)安全保護(hù)中，滲透測(cè)試本質(zhì)上是用來降低業(yè)務(wù)漏洞帶來的影響。但滲透測(cè)試對(duì)滲透測(cè)試人員的依賴度過高，且無法保證所有的業(yè)務(wù)漏洞都被找到，而自動(dòng)化檢測(cè)技術(shù)則無法達(dá)到人工的深度，加之業(yè)務(wù)迭代更新快速，無法保證每個(gè)版本都進(jìn)行人工滲透測(cè)試。這些都導(dǎo)致了業(yè)務(wù)系統(tǒng)會(huì)有很大幾率存在潛藏、尚未被及時(shí)發(fā)現(xiàn)的安全漏洞。

　　2、 非授權(quán)滲透測(cè)試的便捷性：在第一階段和第二階段的防護(hù)中，無法鑒別和阻止非授權(quán)滲透測(cè)試行為，這個(gè)給黑客攻擊者制造了天然的攻擊條件。

　　3、 前端數(shù)據(jù)造假的低門檻：利用一些成熟的黑客攻擊軟件，能夠相對(duì)容易的實(shí)現(xiàn)終端設(shè)備信息造假、終端位置信息造假、影音數(shù)據(jù)造假。

　　譚陽提出，在這個(gè)攻防對(duì)抗的提升過程中，防守方目前處于弱勢(shì)，主要表現(xiàn)在幾個(gè)方面：

　　1、 在無法確保業(yè)務(wù)缺陷被完全消除的情況下，現(xiàn)有安全措施無法有效防御未經(jīng)授權(quán)滲透測(cè)試行為;

　　2、 在終端數(shù)據(jù)造假的低門檻下，無法保證前端采集數(shù)據(jù)的真實(shí)性;

　　3、 對(duì)于依賴于前端執(zhí)行的某些業(yè)務(wù)規(guī)則，無法保證是否正常執(zhí)行或被繞過，如拍照(繞過拍照上傳一張本地PS照片)、OCR識(shí)別(繞過OCR識(shí)別填寫任意信息)等。

　　在這個(gè)大背景下，中國人民銀行在2019年發(fā)布的《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》銀發(fā)【2019】237號(hào)文中，已經(jīng)再一次明確要求：各金融機(jī)構(gòu)要建立健全客戶端軟件風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，充分利用客戶端軟件風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)，識(shí)別和處置客戶端軟件潛在的安全漏洞、權(quán)限濫用、信息泄露等風(fēng)險(xiǎn)隱患，對(duì)發(fā)現(xiàn)的漏洞和潛在的風(fēng)險(xiǎn)及時(shí)采取補(bǔ)救措施。237號(hào)文的發(fā)布，是金融行業(yè)移動(dòng)安全走向第三階段的重要標(biāo)志。譚陽認(rèn)為，在第三個(gè)階段的動(dòng)態(tài)安全防護(hù)的對(duì)抗過程中，以下幾方面的能力獲取對(duì)于防守方而言顯得尤為重要：

　　1、 靜態(tài)保護(hù)閉環(huán)監(jiān)測(cè)能力：對(duì)于傳統(tǒng)的加固、安全鍵盤等靜態(tài)保護(hù)手段，需要監(jiān)測(cè)其是否遭受攻擊，是否還有效;

　　2、 終端環(huán)境可信檢測(cè)能力：對(duì)于系統(tǒng)環(huán)境風(fēng)險(xiǎn)、惡意軟件風(fēng)險(xiǎn)、終端數(shù)據(jù)造假等情況的檢測(cè)預(yù)警能力;

　　3、 非授權(quán)滲透測(cè)試行為監(jiān)測(cè)能力：及時(shí)發(fā)現(xiàn)終端非授權(quán)滲透測(cè)試行為，及時(shí)作出預(yù)警和處置;

　　4、 終端惡意違規(guī)行為監(jiān)測(cè)能力：及時(shí)發(fā)現(xiàn)繞過拍照、OCR識(shí)別等前端業(yè)務(wù)邏輯的惡意使用行為;

　　5、 持續(xù)的攻防對(duì)抗監(jiān)測(cè)能力提升：能夠及時(shí)針對(duì)攻擊方式的轉(zhuǎn)變，及時(shí)分析攻擊路徑，提升監(jiān)測(cè)對(duì)抗能力。

　　攻防對(duì)抗不斷提升是整個(gè)安全發(fā)展的必然趨勢(shì)，唯有安全廠商與客戶一起同步能力提升，才能有效應(yīng)對(duì)新形勢(shì)下的安全挑戰(zhàn)。