2016年攻击者加强了对Root技术的使用,Root型恶意代码不仅在数量上有了大幅度的攀升,在恶意功能上也有了比较明显的进化,具备了与反病毒引擎的对抗能力,对用户造成的影响也在不断的扩大。
客观的来说,在移动终端上,由于操作系统的设定特点,一定程度上导致了应用安全软件并不具备权限上的优势,往往在与采用了Root技术的恶意代码对抗当中处于下风。也正是从对抗需要的角度出发,安天移动安全团队目前选择了和国内知名移动终端OEM厂商进行合作,希望通过我们的专业安全能力,对其进行赋能,通过协作的方式让移动终端OEM厂商在这场越发不平等的对抗当中尽可能发挥产业位置的优势,重新扭转对抗局面。
2016年恶意代码在技术实现上也得到了一定程度的进化,出现了多例恶意利用开源技术方案来实现恶意攻击的新型移动恶意代码。被恶意利用的开源技术方案主要集中在“多开”、“热补丁”和“插件”这3个技术领域。2016年出现的利用这类开源技术的移动威胁从家族和数量上来讲不多,整体来看还属于一个新型恶意攻击形态的萌芽期。
图6利用开源技术方案恶意代码案例
借助开源技术方案带来的技术积累,不仅方便了恶意开发者制作攻击武器,还能够有效的逃避反病毒引擎的检测;此外,还能够有效地减少受害用户对恶意程序的感知能力,起到更好的潜伏和攻击效果,这也是攻击者热衷于使用这类开源技术方案的主要原因。
2016年移动恶意代码新变种增长迅速,Root型恶意代码无论从数量和功能上都呈现出较为迅猛的增长和进化趋势。使用开源解决方案的恶意代码开始萌芽,恶意开发者对于绕过Android系统新增安全机制的进一步尝试等,这些真实存在的威胁案例从侧面可以反映出移动威胁技术正在持续的进化。
诈骗短信是电信诈骗当中重要的威胁形态之一,也是移动恶意代码进入用户手机中的重要入口。诈骗短信持续泛滥,伪基站是罪魁祸首,在2015年移动安全年报中提到的短信拦截马威胁的攻击模式在2016年依旧活跃,给受害用户造成了巨大的财产损失。针对电信诈骗的权威数据显示,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元[4]。下图展示了四例常见诈骗短信示例。
图7诈骗短信示例
图8电信诈骗进化图
图9移动终端场景的电信诈骗流程图
图10电信诈骗产业链
图12安天移动安全技术报告节选
图13DressCode攻击流程图
截止到2016年9月底,这类窃取企业内网信息的恶意应用在数量上已经超过3000,其中有400多款应用曾经上架过GooglePlay应用市场,部分应用的安装量在10万到50万之间。通过这类统计数据虽然无法直接有效地评估企业遭受的损失,但从侧面上可以反映出移动恶意攻击者已经开始将移动威胁的攻击向企业级场景切换。
图14DNS劫持流程图
2013年3月,卡巴斯基披露了首个移动终端上的针对性攻击事件[10],其结合了传统网络攻击下的邮件钓鱼攻击模式和移动终端的木马程序完成对特定目标人物移动设备的攻击和控制。这个事件的公开披露意味着移动威胁的攻击动机已不局限于利用黑色产业链牟取直接的经济利益,在攻击目标群体的选择上也不局限于泛化的移动终端用户。
2016年8月,在Pegasus间谍木马[12]攻击一名阿联酋社会活动家的事件中,使用了三个针对iOS的0-day漏洞实现攻击,表明在移动攻击场景下也可以和CyberAPT一样将高级攻击技术应用到APT攻击过程。同时也表明移动终端已经成为APT组织进行持续化攻击的新战场,并重点以对特定目标人物的情报搜集和信息窃取为目的。
随着移动互联网和移动支付技术的迅速发展,越来越多的用户使用智能手机、平板电脑等移动终端访问网上银行,进行便捷支付。与此同时,恶意攻击者也在持续加大对移动金融的攻击力度。2015年12月Android银行木马GMBot的源代码在网上泄露[13],其中包括Bot组件和控制面板的源代码。恶意攻击者能够直接从网络获取到源码并进行修改,快速的制作出大批量的Android银行木马。
Android平台2016年在移动金融威胁上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16个银行木马家族,52个银行木马变种,其中感染量较大的为Svpeng、GBanker、Gugi、Slocker、FakeBank等木马家族,如下图所示。
图152016年银行木马家族Top5及感染量
2016年新增的移动银行木马对全球50多家银行造成了不同程度的影响,其中影响的地域包括了俄罗斯、中国、美国、加拿大、澳大利亚、德国、法国、波兰、土耳其等国家和地区,涉及到有QIWI、Sberbank、Alfa-Bank、PayPal、Citibank、BawagP.S.K.、BankAustria、DeutscheBank、ING-DiBa、INGDirect等国际知名银行和支付平台。而国内的移动银行木马攻击的目标主要是建设银行、工商银行、招商银行、农业银行、中国银行、交通银行等国内用户较多的银行。对国内银行木马我们在安天移动安全官方技术博客2016年8月24日发布的DarkMobileBank报告[14]中已经做了详细深入的剖析。从下图可以看出2016年新增的移动银行木马主要针对俄罗斯、中国的移动终端用户。
图162016年移动银行木马主要感染区域分布图
2016年各类信息及数据泄露的安全事件依旧层出不穷、愈演愈烈。“徐玉玉”案等电信诈骗事件的报道,也引发了公众的思考,并对个人信息泄露带来的恶劣社会影响有了深刻认识。
z
图172016年部分重大数据泄露事件
上图列举的只是隐私泄露事件当中的极小部分,近年来,针对各类网站系统的脱库、撞库攻击频繁发生,大量用户的高价值隐私数据信息被泄露。隐私的大面积泄露,已经成为移动威胁当中重要的帮凶和支撑性的环节,这个大趋势不可避免会导致移动威胁朝着长尾化、精准化和碎片化的方向发展。隐私泄露已经成为普遍的安全威胁和问题,它助长了移动威胁的增长,并把移动威胁引导向了精准化、碎片化、高价值转化的方向上,使得移动威胁的长尾现象更加显著。这使得每个用户遇到都是高精准的、难以大面积出现、具有普适性的威胁,恶意攻击者不需要通过大面积的攻击来实现价值转化。
移动供应链的复杂性和终端服务的碎片化,导致隐私泄露这类移动威胁难以被用户和社会所感知,难以唤起社会普遍的重视。但最终这些重隐私和轻隐私的泄漏,由于其产生的长尾效应最终会对整个移动安全乃至身份安全体系产生巨大影响。
移动平台的勒索软件最早于2014年出现在东欧地区,2015年国内开始出现滥用Android系统功能的锁屏类恶意勒索软件,并活跃至今,已经成为了一种成熟的恶意代码攻击模式。对比近2年移动勒索软件数量,我们发现2016年4个季度与2015年同期相比样本数量都有不同程度的倍增,其中第1季度增长了近7倍,可见移动勒索软件在2016年得到了迅猛的发展。
图18近两年移动勒索软件数量变化情况
2016年移动勒索软件表现形态主要有三种:软件自身频繁地强制置顶自身页面导致手机无法切换操作界面、私自设置手机PIN锁屏密码导致用户无法解锁手机、屏蔽用户手机虚拟按键或者触摸部分。
我们对勒索软件影响的地域进行了统计,发现东欧或俄罗斯的占比为54.8%,其次是中国占据了38.65%,英美占据2.95%,中东地区的伊朗占据了3.6%,这表明俄罗斯和中国是2016年移动勒索软件检测和感染率最高的国家。
图19勒索软件在全球范围内分布情况占比
在2016年6月份,国外某安全公司发现了勒索软件“Flocker”[15]家族能够感染智能电视。“Flocker”家族的一个变种会伪装成美国网警或者其他的执法机构,当用户不小心运行勒索软件时,界面会以英文提示“你被通缉了,需要交付一定的赎金,赎金是价值200美元的iTunes礼品卡”。智能电视之所以受到攻击者的利用与厂商本身有一定的关系。由于厂商不积极更新系统安全补丁导致大部分的Android智能电视系统都停留在Android4.4版本以下,容易遭受勒索以及其它移动威胁的攻击。
当前移动终端的勒索软件虽然在数量上有明显的增长,并同时开始转向对智能电视等设备的攻击,但与PC端相比其攻击对象依旧以普通用户为主,并且在“赎金”要求上相对较低,加之移动终端系统不断更新的系统安全机制能够在一定程度上抵御勒索应用的攻击。从这个角度来看,移动勒索软件对用户的威胁影响相对有限。
iOS系统因为其系统封闭性以及安全封闭性,安全生态体系基本依赖Apple自行解决。从2009年到2016年,iOS系统上公开的恶意代码家族一共40多个,其中绝大部分家族的恶意功能依赖于越狱后的iOS系统。从2016年全年来看,iOS系统上公开的恶意代码主要是“AceDeceiver”[16]和“Pegasus”[12]两个家族,它们能够在非越狱iOS设备上实施恶意行为。因此从iOS的实际威胁现状看,恶意代码的影响力相对受限。
2016年针对iOS从9.0到10.x版本的系统公开了不少可以利用的漏洞及利用方法[17],其中比较典型的有针对iOS10.1.1对mach_portal攻击链的利用方法,以及具有较高影响力的针对iOS9.3.4系统定向攻击窃取阿联酋的一位人权活动家隐私的“三叉戟”漏洞。同时为了提取特定Apple手机的数据,FBI和Apple公司也进行了长达数月的司法纷争。最终通过第三方公司,对手机中的数据进行破解和提取18。这也侧面反映出,iOS体系中Apple处于绝对的攻防核心地位,控制着所有安全命脉,但是iOS系统并非坚不可摧,在高级漏洞抵御层面并不占据优势。
根据CVEDetails统计的有关移动操作系统的漏洞信息(如下图所示),iOS系统2016年公开漏洞数量为Android的三分之一左右,主要风险集中在拒绝服务、代码执行、堆栈溢出、内存破坏等高危漏洞方面。但考虑到Android系统的碎片化以及开放性,这样的统计数据并不能说明iOS更加安全。
图202016年Android和iOS系统漏洞类型及数量对比
围绕iOS系统的封闭性与安全性之争预计还将持续。但值得深思的是,因为iOS的安全封闭性,安全厂商、政府机构、普通用户等参与者难以建立有效的安全应对机制,虽然Apple在iOS系统漏洞的遏制和响应上具备一些优势和经验,在安全上的投入也取得了一些成绩,但用户在遭遇到新型威胁或高级攻击时即使是专业的安全团队也难以有效地配合跟进并帮助用户解决威胁问题。与Android这类开放的移动操作系统相比,iOS系统由于高封闭的模式在反APT工作以及与高阶对手的竞争中可能处于劣势,并在一定程度上局限了其商务应用的有效发展。
与iOS相比,Android系统的生态体系更加繁荣,潜在威胁更多,因此也对Android安全提出更高要求,Android系统的开放性和可定制化给安全厂商有效的防御策略提供了积极的支撑作用,能够让安全厂商在移动威胁的防御上大有作为。从Android整个安全体系看,需要通过供应链加强安全协同,从设备、系统、应用、环境等多层面加强漏洞检测、系统加固、安全增强和内置安全引擎等工作,从而最大限度的保障整个安全体系的有效性。
面对移动威胁规模的持续增长、威胁技术持续进化和电信诈骗泛滥等现实威胁状况,恶意代码检测无疑是一种核心安全防御手段。
下图是全球主流的移动反病毒引擎在2016年11月份AV-TEST[19]的测评中的结果对比图,从中我们可以看到绝大部分厂商的检出率都在90%以上。值得一提的是,近5年来,安天移动安全团队自主研发的AVL移动反病毒引擎在AV-TEST,AV-C等国际权威反病毒认证机构的测评中均以极高的检出率名列前茅。
图212016年11月AV-TEST测评成绩
面对持续爆发的威胁,手机制造商、系统供应商等关键环节需要进一步加强移动威胁检测能力的引入,从系统深层次提供对移动威胁的检测,为用户提供深层次安全防御。
通过进一步的威胁情报体系建设和产业协同工作,我们也看到移动恶意代码检测能力将会成为一种安全基本能力,通过不同行业和技术领域的不断使用,逐渐展现出超过移动恶意代码检测原有内涵的综合防御效果。
Android应用市场作为Android应用和用户手机直接连接的重要桥梁,是移动生态环节当中重要的组成部分。Google的官方应用市场GooglePlay以及国内外的各类应用市场都拥有大量的用户群体,一旦出现恶意代码极有可能会导致大量用户受到威胁。
图222016年安全厂商在GooglePlay应用市场发现恶意代码案例节选
应用市场和应用分发问题在安全策略和安全防护上没有得到普遍重视。当前的应用市场,包括GooglePlay这样的一级分发市场、国内的二三级分发市场以及与用户联系最紧密的移动应用市场服务商,对于自身在安全上扮演的角色是不够重视的。国内外应用分发市场都存在上述安全问题,说明应用市场本身的审核机制存在一定的问题。相比而言,Apple应用市场在这方面做的较好,Apple系统闭源、应用下载市场统一、审核流程更加严格,发现恶意App后能够进行及时响应和下架处置,Android的应用市场与Apple的应用市场相比仍有较大的差距。
2016年Android应用市场频频出现恶意代码并非偶然,从根本上来看是因为Android应用市场的安全问题依然没有得到重视,也没有引入有效的安全检测和防护方案。
特别是像DirtyCow[22]和Drammer[23]这类能够影响从Android1.0及以后几乎所有Android系统版本的通用性漏洞,对用户的伤害性不言而喻。DirtyCow(又称“脏牛漏洞”)是由安全研究员PhilOester首先发现的。DirtyCow利用Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在的条件竞争漏洞,导致私有只读内存映射可以被破坏。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。Drammer漏洞由国外安全公司VUSec发现并公开,是一种针对Android设备的攻击方式,该漏洞利用内存芯片设计上的一个缺陷不断的访问某个位置上的内存,就可能造成相邻的内存进行位翻转,如果攻击者访问足够多次就可以控制它指向内存中特定的高权限空间,从而获取Root权限。
图23近两年Android系统漏洞类型及数量对比
当前移动操作系统漏洞的有效利用点依然集中在提升权限漏洞上,还没有扩大到比较复杂的应用和攻击场景。但是,这种局面并没有得到有效的遏制,给整个攻击链的防御上带来了极大的风险和控制难度。2016年出现的大量手机Root型恶意代码充分印证了这一点。
图24短信拦截马数量变化情况
在移动通信和移动互联网领域,与国外相比,国内已经呈现同步乃至超前的发展态势。从移动应用来看,社交、电商、支付、出行等各种紧贴用户生活的行业需求在移动端逐渐成型;从应用生态链条来看,国内MIUI、阿里云、百度手机助手、腾讯应用宝、360手机助手等应用商店与GooglePlay、AppStore等应用分发体系相呼应;从全球范围来看,以华为、OPPO、VIVO、小米等为代表的众多本土优秀手机终端品牌强势崛起,并在国际市场中占据愈加重要的位置;从系统供应链来看,ARM、高通、三星等厂商仍然占据主流地位,但也可以看到国内厂商通过自主研发、海外并购等方式逐渐进入IC设计和制造的优秀行列。
从习近平总书记4.19讲话提出“树立正确网络安全观”“安全发展同步推进”到《中华人民共和国网络安全法》正式表决通过,国家增加了多项促进网络安全的措施,推进了网络安全的发展。这些指示和立法推动,无疑给包括移动安全在内的网络安全领域提供了顶层设计指导。
移动安全领域作为安全领域中一块相对较新的领域,经过了6年多的行业发展,逐渐成为安全领域的重要组成部分。在恶意威胁检测等核心技术领域,一大批安全企业持续加强投入,不断应对新型恶意代码、新型漏洞和新型攻击手段的挑战。在安全管理等泛安全领域,逐渐形成了设备管理、应用管理、用户管理等多层次的安全管理方案,安全加密、安全加固等方案也在移动安全领域被广泛使用。通过近几年的努力,诸多安全技术已经运用到移动领域,为用户创造了较大的安全价值。
随着移动安全重要性的日益提升,安全企业之间应借助威胁情报、产业合作等方式形成行业整体的安全协作和应对姿态,共同打击移动安全威胁。同时通过更多的产业合作,与职能部门、移动供应链、企业和个人用户等建立更加深入的合作和信任关系,共同维护移动安全环境。
从2012年到2016年移动安全威胁发展轨迹来看,攻击者对移动供应链从早期的App应用拓展到了如今的芯片、系统、网络等多个层面,移动安全威胁的乌云早已笼罩了整个移动供应链的上空。
供应链不同层次的移动威胁呈现不同的特点,整体来看,越底层威胁能力越强、事后处置链条越长、最终防御效果越差。从威胁防护来看,供应链不同层次厂商基于自身威胁特性建立针对性的防护方案。芯片和系统级的安全防护方案已经得到厂商的重视和采纳,并在实际生产中起到有效的防护效果。移动网络服务供应商作为供应链中重要的支撑环节,需要加强对于移动网络服务这类基础设施的防护能力,同时提高对于恶意利用移动网络服务行为的监测和处置能力。移动互联网服务供应商应结合自身业务特点,加强安全审查和管控,防范移动威胁对用户造成的损害。
供应链和服务提供商,可考虑通过对威胁展开前置防御和针对性防御,及早的在供应链和服务各环节引入安全解决方案,包括但不限于威胁检测、行为拦截和阻断、漏洞检测和补丁技术、系统加固和数据加密和网络检测等。通过安全解决方案的前置、早置,最大限度的辐射整个供应链环节,降低整体安全防御成本,提升整个供应链的安全性和安全效率。
随着移动办公、移动服务等业务的加强,各类企业、厂商在移动威胁的整体对应上,需要全面加强企业整体安全防控中对于移动安全的重视。
针对IT安全,要逐步将移动设备带来的威胁应对纳入企业安全威胁防控体系中,预防移动设备对原有企业IT安全带来的冲击。针对应用层风险加强应用管控,加强对正常应用的仿冒审查,加强对应用隐私泄漏的防范。针对系统层风险,加强系统权限管理,引入行为异常监测,防范未知安全风险。针对网络层风险,加强传统网络威胁向移动威胁的迁移,预防潜在的移动安全高级威胁。
需要特别说明的是,目前有不少企业的对外服务和核心业务主要以移动互联网为场景,目前这类企业遭受的移动威胁的影响也颇为严重,建议结合移动终端身份识别、移动终端环境安全检测以及积极建设面向业务的风控系统持续加强威胁对抗和响应能力。
APT攻击的一个基本规律是:攻击是否会发生只与目标承载的资产价值和与更重要目标的关联度有关,而与攻击难度无关。这就使得当移动设备承载更多资产,当智能终端的使用者覆盖敏感人群或他们的亲朋好友时,面向智能终端的设备的APT系统性的产生就成为一种必然。
在移动互联网时代,移动智能终端已经高度映射和展现人的重要资产信息和身份信息,其中在移动终端上存储的短信、通讯录、照片、IM工具的聊天语音记录信息等等能够高度表现和描述人的身份、职务、社交圈、日常生活等信息,所以针对移动智能终端的攻击威胁是能够具备高度目标指向性的。在过去,诸如移动拦截马之类的威胁攻击都重点以手机用户的短信、手机联系人列表为窃取对象,并在地下黑色产业链形成了庞大的和身份高度映射的社工知识库,其中包括了姓名、手机号码、职务、日常信息、活动区域轨迹以及其社会关系,从而为移动APT攻击的前置准备和更精准的投放手段提供了极高的战术价值,并且对于整个APT战役的前置阶段来说,对攻击的重点目标人物或组织的情报收集和持久化监控也是具有高度战术意义的。
除此之外,移动设备同时还具备极高的便携性和跨网域的穿透能力。从2016年出现的一些不同动机的攻击技术,包括DressCode[7]通过移动设备形成对内网的攻击渗透能力和Switcher通过对终端所在网络的网关设备的攻击从而形成对网络的劫持能力,预示着通过移动设备作为攻击跳板,可以实现对企业内网、物联网甚至基础设施的攻击。
移动威胁会综合移动的高级攻击技术、移动互联网络的战略意义以及针对重点目标的战术价值为APT攻击组织提供更加丰富的攻击能力、攻击资源和战术思路。
隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来普遍的欺诈泛滥、威胁碎片的长尾化,对整个移动威胁的商业价值带来的长远影响。
对于这一问题,安天将在后续发布的“基础威胁年报”给予更多解读。
当前面向个人的欺诈出现垂直化的增长、碎片化的攻击,显示恶意攻击者开始往垂直化和高价值方向的挖掘和转型。企业由于承载大量高价值信息和资产必然是恶意攻击者转型中瞄准的重要目标。
2016年出现了以移动应用作为中间跳板尝试对内网进行渗透,窃取内网的重要信息的恶意代码,同时,在年底出现了篡改用户手机连接的Wi-Fi路由器DNS进行流量劫持的移动恶意代码。移动终端、Wi-Fi路由都是当前针对企业场景攻击的重要的支撑点,当前大多企业对于移动威胁的检测和防御并没有引入有效的解决方案。从移动威胁的发展趋势来看,基于移动终端设备或应用的跳板攻击倾向性非常明显,将移动终端、应用当成关键的攻击载体,在不同场景下配合实施更有力的攻击是一种行之有效的思路。伴随着各种BYOD设备在企业办公中开始普及并广泛使用,2017年移动威胁在企业级场景中可能会出现一定规模的增长。
针对勒索软件,Google在Android6.0和7.0版本的系统中进行了安全性改进,现阶段的移动勒索软件当中使用到的技术手段在未来可能会逐步退出舞台。只要用户更新到最新的Android系统,即可在很大程度上抵御勒索软件产生的威胁。Google从系统源头上阻止了勒索软件的发展但是无法阻止恶意攻击者对攻击技术的进化升级。2017年移动勒索软件可能会向3个方向进化:与其它恶意攻击方式结合、通过蠕虫形式让勒索软件进行大面积传播、结合远程控制指令对更加精确性的攻击。Android端的勒索软件会包含PC端勒索程序或者携带物联网恶意软件,进行跨平台发展,尝试感染PC或者智能设备。攻击者信息更加匿名,此外,类似PC端的勒索软件恶意勒索时使用比特币作为货币,通过匿名网络支付比特币这种形态会向Android平台迁移。
图25业务欺诈案例
2016年在移动终端出现了不少“刷榜”、“刷单”类的恶意程序,也在一定程度上促长了“刷单”这类业务欺诈给企业带来的危害。
过去几年,是中国移动网络产业高速领跑发展的时代。以移动支付、移动社交、移动商务等为代表的移动互联网应用水平已经走到世界前列,移动基础设施建设也正经历高速发展和更新换代的阶段,中国自主品牌的手机产量也已经跃居全球第一,中国手机品牌正在获得全球用户认可。伴随着中国移动产业和应用的高速发展,移动威胁快速滋长。巨大的用户基数、较高的应用水平、全新的业务探索都必然导致中国用户面临的移动安全威胁风险规模前所未有,手段持续泛化演化,模式关联复杂深远,受损范围广阔深远。我国移动产业的发展速度和覆盖广度已经决定了在移动安全体系的整体推进上我们已经没有可以全面师法的对象,也已经没有必要跟着硅谷的所谓创新实践亦步亦趋。我们一方面需要加强全球移动安全共识和协作,一方面更需要走出自己的科学化、体系化移动安全发展道路。
移动互联网在过去一年仍然面临着恶意应用的持续威胁,新增威胁继续涌现,威胁手段持续进化,攻击者加强仿冒、社工欺诈、勒索手段、权限冒用、开源组件恶意利用等攻击手段的使用。同时存量威胁依然泛滥,电信诈骗拦截马、扣费、流氓、色情等威胁仍在持续演化和进化。这些恶意应用威胁在当前整个传播链条监管尚不十分完善的安全防护背景下,依然会造成巨大的安全风险和资产损失,大多时候只能依靠普通用户的自我安全意识提升来抵御威胁。面对这些威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报作业上,我们已经有了比较充分的准备,能够在威胁早期甚至威胁出现之前形成可防御的能力,但这些能力手段,与我国庞大的网络资产规模和用户体量相比,还有赖于通过和产业、用户的进一步联动更好的发挥作用,同时仍需要持续地与市场需求、商业规律结合以找到自身独特的价值和生存空间。
移动互联网系统也正经历着快速发展,网络制式、操作系统在短短几年间,发生多次代际升级和版本更新。沙盒、权限等安全机制的持续引入一定程度上对原有安全体系起到了增强作用,但由于威胁方式和手段的复杂多样,种类繁多,很多原有威胁手段依然有效,并进一步利用系统和网络的新特性新功能进行自我演进,比如传统恶作剧手段逐渐升级为勒索威胁、0-day甚至N-day漏洞攻击依然有效。从系统层面看,更多的还是依赖于更完善、全面、有效的整体安全规划和体系建设。在这个过程中需要系统规划和建设者与安全厂商密切协作,在系统的设计、实践中引入多种检测、防护、加固和阻断等安全手段和机制,在系统的使用中持续不断进行检测、阻断和升级完善。同时由于不同版本、地域、模式带来的碎片化问题,我们也在积极地通过归一化和定制化相结合、数据驱动和手段创新相适应的理念完善系统安全手段。
移动设备与传统设备的一个关键的不同是信息承载的类型和价值——移动设备上有着与人更直接关联的数据信息。在互联网、通信网、物联网甚至工控网不断连接和融合的时代,不论是移动设备、移动系统、移动应用中对个人信息的泄漏,还是来自个人PC、企业组织内部信息系统、互联网服务信息等渠道的个人信息泄漏,这些数据和信息流最终都有可能经由黑色产业链对移动安全中的个人和组织造成威胁。因此对移动安全而言,进一步加强信息流中的安全监管和防范非常必要。通过对短信钓鱼、应用隐私泄漏、网络隐私泄漏、电信诈骗等威胁检测手段和管控制度的加强,可以在移动终端这个信息流的最终环节起到有效的威胁防范作用,这对个人隐私安全乃至移动APT防御都将大有裨益。
移动安全体系的构建离不开移动产业供应链体系的协同。在供应链的设计、制造、销售、使用、回收等各个过程中,都有可能被引入安全威胁。每个环节被引入的安全威胁既有可能造成自身的安全损失,也有可能进一步造成其他环节的安全损失。因此通过芯片、设备、系统、应用、服务、网络等供应链中的各个环节加强安全手段,一方面可以有效对抗自身环节面对的安全威胁,另一方面也可以对其他环节的安全威胁起到防范作用。从威胁防护来看,安全厂商应该积极参与供应链的防护,为供应链中不同层次不同角色厂商提供基于威胁特性的针对性防护方案。针对芯片、系统等应该引入具有基础防御作用的安全方案,加强全局安全体系辐射作用;针对服务、网络等关键信息基础设施,应该加强对自身安全和信息流的防护,提供稳定安全的基础服务体系;针对应用、个人等,应该面向更具象的威胁提供检测和防护能力;通过不同环节的安全协作,增强整个供应链体系及其全生命周期的安全性,提升移动生态体系安全。
由于安全威胁的复杂性,安全体系建设的艰巨性,这份报告中的部分观点可能并不成熟,但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献自己的力量。在这个过程中,我们不仅会坚持对关键、基础、共性、领先技术手段的持续创新,也会更加积极的开展产业协作,同信息流和供应链中的所有角色一起建设更加完善的移动安全体系。
通过这些协作,我们坚信领先的安全技术能够转化为坚实的用户安全价值。我们将为用户提供更加有效的安全威胁情报,帮助用户掌握和感知威胁态势,同时为用户提供更加精准的安全解决方案,用领先的移动威胁检测和安全防护产品和服务,保护更多的用户。
安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。
安天移动安全公司核心产品体系为AVLInside移动反病毒引擎和AVLInsight移动威胁情报平台。AVLInside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVLInsight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。
安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过6亿终端用户保驾护航。更多信息详见公司官网:www.avlsec.com
昵称
安天移动安全
Gdevops全球敏捷运维峰会
MasteringtheChallenge!——来自The3rdAutoCS2022智能汽车信息安全大会的邀请函
AutoSW2021智能汽车软件开发大会
2021中国国际网络安全博览会暨高峰论坛
The2ndAutoCS2021智能汽车信息安全大会
贝壳找房2020ICS安全技术峰会
全球敏捷运维峰会(Gdevops2020)
2020京麒网络安全大会
OPPO技术开放日第六期|聚焦应用与数据安全防护
EISS-2020企业信息安全峰会之上海站11.27
CSDIsummit中国软件研发管理行业技术峰会
2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会