爱加密:面向监管侧和企业侧构筑移动安全生态 打造生态安全自愈能力

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2021-06-02
近十年来,随着移动互联网技术和移动智能终端的快速发展和普及,移动应用的数量表现出了爆炸式的增长趋势。可以看到,金融服务、生活服务以及社交娱乐等与居民生活衣食住行息息相关的各行各业,都正在加速自身数字化转型,将业务迁移到移动端为居民提供更加便利的服务。
 
但事实上,移动应用的一片繁荣背后,大量的不法分子也混杂在其中寻找可乘之机,网络黑灰产、电信欺诈、隐私泄露相关案例也“遍地开花”,移动应用正在成为网络犯罪的新战场。
 
近日,安全419走访了业内主流的移动安全厂商爱加密,听爱加密聊了聊移动安全领域快速发展的浪潮下,自身对安全形势变化的感知,以及爱加密围绕不同阶段的安全需求做出的选择和实践。
 
 
以App安全检测、加固、渠道监测为着力点
正式切入移动安全市场
 
爱加密CTO程智力告诉安全419,作为一家专注于移动应用安全领域的安全厂商,爱加密的产品和解决方案一直紧跟国内企业移动信息安全建设需求的发展而不断迭代和升级,目前爱加密正在打造面向监管方和企业的移动安全生态闭环,以帮助整个行业建立强大的自愈能力。
 
在爱加密成立初期(2013年),国内的金融行业正处于业务从线下到线上的重要转型时期,App安全成为了当时金融行业客户的核心安全需求。一旦App遭遇网络攻击,或者是出现其他安全问题,很可能造成难以承受的业务安全风险和经济损失。
 
但那时候,国内的移动应用安全还是一个前沿的技术领域,移动应用安全的发展也基本处于无序的状态。用程智力的话说,当时行业里面基本没有行业标准或者行业规范来做参考,低价竞争抢占市场的情况比比皆是。
 
“那个时期的爱加密正处于依赖APP检测、加固,还有渠道监测的工具类产品销售为主的工具单一产品阶段,但很明显,单一的工具类产品很难去考虑到用户的具体业务场景和行业背景属性,是不足以完全覆盖客户安全需求的。单一工具类产品同样也意味着,工具很容易被其他竞争者替代。”程智力谈到。
 
很快,爱加密发现许多一线客户不再满足于采购安全工具所能带来的安全效能上的提升,开始寻求如3-5年的中长期规划,比如App的安全应该如何做,安全建设如何与内部系统相结合,或者说如何把App上面的数据接入情报分析系统库等等,这些客户实际上已经开始提出了端到端的App安全运营的需求。
 
在迅速剖析和审视自身发展模式中的不足后,爱加密开始尝试为特定的行业、特定客户的业务需求,提供完整的解决方案,进入了自身发展的第二个阶段。

 
整合移动安全态势感知平台
真正提升App安全威胁发现能力
 
程智力表示,对App的运营企业而言,除了初期的安全检测、加固和安全防护外,他们事实上更希望在 APP推出去之后,用户端的数据能够在返回来,通过这些用户侧的使用数据来调整自己的检测加固的策略,然后形成一个良性的循环,进而再做好App的安全运维。在这个过程中,App安全数据的可视化成为了企业客户的诉求。
 
因此,爱加密将自身旗下的检测、加固、渠道监测在内的多款安全产品进行了整合,将底层的数据进行了联动和打通,推出了业内首款移动安全态势感知平台,以完整的解决方案形式帮助企业实现对自身App安全风险可视化的实时监测,帮助企业安全管理人员时时刻刻的监控App风险和安全态势,通过用户侧返回的安全数据动态调整安全防护策略。
 
当出现新的漏洞、新的风险的时候,安全管理人员可以通过态势感知平台判断防护策略是否能覆盖对应的安全问题,平台会要求企业动态的去调整安全策略,策略调整之后再去做加固和发布,进而形成一个完整的闭环,实现对移动App潜在风险的快速发现。
 
针对不同企业客户业务形态的不同,爱加密逐渐梳理出了对应不同行业需求的行业解决方案,持续为不同行业客户输送移动安全能力。而此时,爱加密也开始探索向生态系统的进化。

 
面向监管方和企业构筑生态
助力企业与行业建立安全自愈能力
 
近几年来随着数字化技术的蓬勃发展,大量的基础设施单位和企业也都加速了自身的数字化转型进程,这也造成了移动应用程序数量的激增。由于应用开发者安全意识的不足,大量的安全漏洞、App滥用个人隐私数据等安全问题滋生,为安全治理带来了前所未有的挑战。
 
面对比以往更加严峻的安全挑战,爱加密逐渐进入到了发展的第三个阶段,开始尝试分别围绕企业侧和监管侧的安全要求,打造面向企业的移动安全开发生态,和面向监管侧的App持续监督监管的大数据生态。
 
所谓面向企业的移动安全开发生态链,就是将DevSecOps的方案整合到了行业解决方案中,在行业解决方案的基础上进行了延展。将App的安全运营覆盖到了开发阶段,从企业App的业务设计之初,就将安全的功能和架构融合进去,在安全左移的同时,也将App运营过程中的实际数据短板进行补齐,实现安全的右移,形成一套完整的DevSecOps解决方案。
 
程智力解释,“这套方案实际为企业提供的价值在于,企业从App的业务设计到发布运营,再到应用的过程中,能够得到代码安全检测、安全加固、安全风险感知、渠道检测等等多重安全能力。这套安全解决方案的底层数据是互联互通的,所以是真正的实现了覆盖App整体的全生命周期安全解决方案。”
 
监管市场爆发出来的庞大需求则主要集中于个人隐私信息保护、舆情监测、内容安全监测等方面,因此,爱加密将历史积累的各方面的数据,以及从市场上收集到的App样本集中放到自研的安全检查引擎中,对包括资产信息、App安全信息、内容安全信息、个人隐私合规信息、恶意程序信息、数据安全合规等方面进行集中检测,最终形成对被检测App的全方位安全画像,利用画像数据为监管单位提供相应的技术支撑。
 
爱加密的这套大数据平台会协助监管机构将所有合理合法合规的App进行备案,此后在时间轴上的每一个更新版本都将记录在册,通过与国家对应的合规安全基线进行比较和持续的检测监督,进而为监管侧提供一个能够持续发现问题,促进企业改进问题的监管生态。
 
“我们这两个生态系统与解决方案最大的区别是,生态是可以自我进化和自我修复的。在为企业和监管方提供技术支持的同时,我们所收集到的数据会继续为生态赋能,驱动生态进行持续的优化。”程智力表示。
 
程智力最后谈到,当前在监管侧看到的一些数据,往往存在时效性不强的情况,在下一个阶段爱加密希望将监管侧与企业侧的两个生态之间的数据进行流转和交换,相互促进进化,从而实现更好的监管和防护效果,让整个市场变得更好。
 
爱加密也希望将自身的安全防护技术,以及对移动安全的风险发现与响应能力延展到物联网、工业互联网等领域,通过自身的一些技术创新、理念创新,帮助未来的智能世界提升安全水平,打造更和谐的万物互联生态。
 
在5G、云计算、物联网等新兴技术的蓬勃发展下,企业对用户数据的索取越发毫无节制,移动应用领域正在被推向无序发展的深渊。幸好在国家层面的政策监管下,以及众多如爱加密这样的移动安全厂商的技术支持下,移动应用的发展得以逐渐回归理性,伸向用户个人隐私信息的黑手也正在逐一被斩断。
 
当移动设备对我们变得越来越重要时,当科技逐渐的进步产生更多新型的移动应用时,无论是移动终端还是物联网终端的移动应用,在移动应用安全技术方面都应该要随着科技创新步伐前进,聚集全产业链的共同努力,让移动应用更安全更可控。