当前位置:科技 > 资讯 > 正文

ISC 2017聚焦大安全时代 全链条防御成移动安全趋势

2017-09-14 19:46:26       来源:中国科技网
“中国移动支付震惊世界”、“歪果仁惊叹中国手机支付普及”……一系列标题的背后,是中国移动互联网的高速普及。据工信部最新数据显示,截至2017年7月末,我国移动互联网用户总数已达12亿户,位居世界第一。同时,手机全民化也带来了层出不穷的安全问题,360此前发布的《2017年第二季度中国手机安全状况报告》显示,恶意程序、钓鱼网站、骚扰电话、垃圾短信、网络诈骗是威胁手机安全的五大因素,其中网络诈骗发展最为猖狂,第二季度人均损失金额翻倍,高达17582元,同比2016年第二季度高出一倍多。

 

  如何保护12亿移动上网用户的安全?如何构建更健康的移动安全生态?在9月11-13日国家会议中心召开的中国互联网安全大会(ISC 2017)上,移动终端安全分论坛成为整个大会的焦点。以中国移动代表的运营商,以华为等代表的手机厂商,工信部旗下泰尔实验室、盘古实验室,以及国内领先的安全服务商360等多家机构,共聚一堂,就新形势下的移动终端安全问题,进行深入探讨。与会专家一致认为,移动环境下安全风险更加复杂、攻击手段呈现高科技、高智商化,单靠一家厂商或者一款软件来保护的时代已经过去了,全链条的协同防御变得非常重要,共建移动安全生态势在必行。

 

  图一:ISC 2017移动终端安全论坛嘉宾合影

 

  作为论坛主持人,360集团助理总裁姚彤举了一个案例故事,某位用户,接到某电商的客服电话,告知是退款,该用户按照电话,输入验证码,登录操作,最终莫名奇妙在某网贷平台上欠了几十万元,方知道自己受骗。在整个过程中,牵涉到电商平台管理、个人信息隐私和泄露、电话和短信验证码识别、网贷平台管理等等多个问题,但却很难用单一手段彻底解决,这导致今年网贷类诈骗案例频发,呈爆发迹象。

 

  手机安全和个人财富息息相关,安全问题一旦大规模爆发,甚至会让大批人倾家荡产,威胁社会稳定。幸运的是,运营商、手机厂商、研究机构、安全服务商已经意识到威胁的严重性,并积极协同,未雨绸缪。

 

  运营商主动提升开放性,账号认证安全性更出色

 

  此前财富中文网发布最新《财富》中国500强排行榜,中国移动位列第6名,持续领跑运营商行业。中国移动作为运营商领域最强企业,多年来不断推出包括动感地带、神州行等在内的多项服务,满足了不同类别用户需求,最终收获口碑赢得民心。

  在论坛上中国移动代表人提出中移动将主动开放大网能力,为手机用户提供更安全更便捷的账号认证服务,届时会给移动互联网安全带来全新体验。

  手机厂商公开网络安全战略,只为建设联合安全生态

 

  移动终端安全问题重大,仅凭运营商一己之力并不能解决,因此华为作为手机厂商代表应邀参加移动终端安全分论坛,华为首席安全科学家李雨航出席了此次会议。

 

  图二:华为首席安全科学家李雨航

 

  在论坛上,李雨航发表了以《芯端云协同,消费者安全》为主题的演讲,他提及手机用户面临着移动应用方面的威胁,其增长速度极快,部分安卓恶意软件呈现指数级增长。华为公司在应对安全方面,将网络安全视作公司最高战略,置于商业利益之上。

  而在应急生态和安全建设方面,李雨航表示:各个厂商可能也是需要政产学研来协同,一起共建生态。

  由此可见,华为已经意识到协同合作共筑移动互联网安全防线的重要性,相信在不久的将来,华为将为建设联合安全应急响应和安全生态提供更大助力,用户在使用手机时也能减少安全威胁困扰。

 

  多家安全实验室共揭重大安全漏洞

 

  移动互联网的安全问题日益严重,并呈现高科技、高智商、社会工程学、诈骗产业化、损失巨额化等愈加复杂的趋势特点。从个人信息泄漏、网络电信诈骗,到金融支付骗局,再到勒索病毒,可以看到每一类移动安全事件的背后,都牵涉到移动终端的多方面漏洞和不同环节的安全生态。

  基于此,盘古实验室、工信部泰尔终端实验室、阿里系蚂蚁金服巴斯光年实验室、360烽火实验室、360阿尔法团队等多家安全机构均出席了移动终端安全分论坛,共同向大众揭露重大安全漏洞,并分享精彩干货。

  论坛现场,阿里系安全实验室从手机集成的第三方服务入手,向论坛嘉宾及观众介绍了第三方服务的攻击面及攻击方法。并以之前发现的某个FOTA服务漏洞为例,现场演示如何根据方法寻找到相关攻击面进而发现漏洞。

 

  360 Alpha Team安全研究员杨文林从N-Day安全威胁出发,在论坛上向大众揭秘了现实中安卓系统的安全状态。在演讲中,他提及安卓系统缺乏高效的升级功能并且碎片化严重,并且据安卓上市的0day漏洞披露统计:2015年谷歌官方公布了64个漏洞,2016年则公布了498个,截至2017年上半年谷歌官方已披露了1000个,由此可见安卓安全漏洞数量呈迅猛上涨趋势。2017年下半年,甚至2018年漏洞可能数以千计爆发出来。

  随后杨文林还通过研究N-Day在各设备上的影响情况,统计各种维度上的安全状态的差异,并分析出不同设备、系统的安全状态,最终描绘出了一个清晰的安卓系统安全状态图。

  图三:360 Alpha Team安全研究员杨文林

 

  360烽火实验室技术经理陈宏伟则以今年臭名昭著的勒索蠕虫病毒WannaCry为切入点,讲述未来手机勒索软件的发展及变化。还揭破了手机勒索软件背后的黑色产业链以及特有的传播方式。最后还针对各类手机勒索软件提出了具体可行的解决方案。

 

  对于手机勒索软件,陈宏伟强调手机勒索软件是指利用一种或多种技术手段,造成的后果包含但不限于锁住用户移动设备、加密设备中的数据文件、设备无法正常使用,并以此威胁用户,要求用户支付一定的费用来恢复移动设备正常的恶意程序。

  而如何应对手机勒索软件,陈宏伟建议手机用户首先要提高安全意识。并及时安装手机系统更新,另外还需安装安全软件,并保持病毒库的实时更新,保持病毒库在一个最新的状态。

  图四360烽火实验室技术经理陈宏伟

  本次分论坛最后,各方机构还联合发布了《2017年中国手机安全生态报告》,共同发出倡议书,形成了以手机厂商、安全厂商、科研机构等为一体的多方位、全链接移动网络安全防护体系。为了能够更加有效的解决移动安全问题,对此我们呼吁更多企业和机构能协同联动,共筑移动互联网安全防线。

文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com