陆茜茜:支付应用背后的安全博弈,用户综合画像能做什么¸
移动支付网 卢华秋2016/11/16 10:01:02

在10月20日MPSC 2016中国移动支付安全大会上,预计300人的会场实际到场近600人。意料之外,却也在情理之中,金融支付的安全问题得到越来越多的关注。上至国家政府,下至黎民百姓,都对该领域表现出了空前的关注。

正因如此,我们看到了越来越多原本不被熟悉的支付安全参与者浮出水面,诸如从2011年就开始关注移动应用的梆梆安全。一个安全服务提供商,梆梆安全的服务对象自然是企业级用户,大众消费者或许根本不知道他们的存在。为作进一步了解,移动支付网采访了梆梆安全高级安全顾问陆茜茜,希望能窥知一二。

梆梆安全高级安全顾问 陆茜茜

巨头向左,梆梆向右

2011年国内加固市场正好赶上Android系统在智能手机领域的发展节点,而在整个Android生态中,对应用而言,一旦接入网络那它的安全都会受到威胁。因此加固慢慢成为一个应用在上线前必须要做的事,应用开发者的需求也迅速促使了加固平台的发展。根据梆梆安全的技术划分,从2011年算起应用加固经过了Java类加载、Java类抽取、混合加密、Java转Native、Vmp等五个阶段的发展。陆茜茜认为,技术的更迭过程基本上也就是和黑客灰产赛跑的过程,世界上没有100%的安全,也没有永久的安全。除了在与黑客灰产的“交流”中发现问题,安全公司一般都会主动找茬,危机感是安全行业必须具备的属性之一。

谈到个人隐私保护、帐号交易安全,普通消费者首先想到的可能是金山、360、BAT下的各种安全产品。而梆梆则选择了APP安全为立足点,在这点上梆梆与巨头们的安全业务区别颇大。简单而言就是巨头2C,为个人提供查杀病毒、反垃圾短信邮件等服务;而梆梆2B,为企业或开发者来提供更底层的APP安全服务。

当然除了上述杀毒、反垃圾短信等个人终端安全业务外,一些巨头企业也具有APP加固业务,并将免费作为噱头吸引一些中小开发者。但只会将其作为企业生态链中的一小部分,毕竟体量过大导致了它们在加固市场并不好扩展,同领域的竞争对手出于大数据采集的担忧也自然不会选择巨头的加固业务。此前某巨头应用市场曾要求APP必须使用指定加固才可上线,最后只能激起众怒不了了之。事实证明在互联网领域,既当裁判又要当运动员的事情还是比较难的。陆茜茜表示,像梆梆安全等小而精的第三方产品经过广泛的市场检验,成熟度上表现更好,产品在安全性、兼容性和性能上都是优于这些巨头的。

移动金融应用是黑客的重点目标

自古以来,钱和命经常被混为一谈,例如谋财害命、要钱不要命等说法。事关生命和金钱的事情都被看得特别重,这样一来安全措施也一定是非常周到的。只是现代社会下,不法分子不再流行扛刀谋财,而是通过诈骗电话、短信、病毒链接等手段来进行资金盗取。他们不会明白,有时候钱财对于家庭困难的人来讲,就是命。

陆茜茜表示:“人们对黑客定义本身发生了根本改变,最早黑客指的是专门研究、发现计算机和网络漏洞的计算机爱好者。而现在说到黑客,我们总会联想到一些心怀鬼胎的计算机用户,他们通过各种非法手段来骚扰民众、诈骗钱财、窃取信息,甚至破坏经济或者窃取国家机密。”黑客从以前的兴趣行为,发展成为赚钱或工作需要,而金融应用与其他行业相比直接与钱财挂钩,自然成为了黑客们攻击的重要目标。

陆茜茜向移动支付网透露,目前在中国有150多万地下黑产从业者,他们已经发展成为有规模、有体系、有组织的黑色产业链条,上游负责黑产基础服务、中游负责账号生产销售、下游负责直接获利,涉黑资金已达千亿规模。因此加强对应用的保护依然任重道远,需要产业各方共同推动,也需要国家层面更完善的监管制度。也正是由于监管政策的不同,相对于第三方支付,银行业应用安全水平走在了前面。

移动支付认证第三要素“你是什么”

陆茜茜表示身份验证是支付交易的核心安全手段,目前银行普遍使用双因子身份认证机制,即:账号密码+短信验证码。双因子身份认证用到了身份认证核心三要素中的两个“你知道什么”+“你有什么”。但是帐号密码仍然可以通过钓鱼撞库手段窃取,短信验证码也容易被木马截获转发,因此突破双因子认证并不难。为了提高支付交易的安全等级,有些银行机构开始引出身份认证的第三个要素“你是什么”。当然这也增加了验证步骤,导致了用户体验下降。

综上考量,梆梆安全提出采用综合用户画像作为认证第三要素。采用用户画像不需要增加验证步骤,而是通过集成在应用里的威胁感知探针来采集你的各种行为数据,例如走路的步态、APP启动频度、输入间隔、陀螺仪信息等,形成独有的数字档案标识,从而在移动金融反交易欺诈系统的下实现安全认证。未来在综合用户画像足够完善的情况下,移动支付完全可能通过手机和应用建立的画像来完成支付认证,安全与便捷共存。

事实上这并非小编第一次接触此类加固企业,但以往受访者均为男性,毕竟这是个程序员的领域,即便有女性给人的印象也应该是女汉子类型。而陆茜茜则完全出乎意料,打破了我们对安全分析师“综合画像”的认知,看来主观上的想当然确实可能差之千里。就如平静的支付应用下,也许危机四伏。


展开全文
相关阅读
资讯查询取消