前言
当前移动互联网安全形势严峻,移动智能终端漏洞居高不下、修复缓慢,移动互联网恶意程序持续增长,同时影响个人和企业安全。与此同时,根据政策形势移动互联网安全监管重心从事前向事中事后转移,需加强网络安全态势感知、监测预警和应急处置能力建设。利用态势感知技术可建立移动互联网持续性和主动性监测能力,对移动互联网恶意应用、移动智能终端漏洞、安全攻击等安全状况进行感知监测,实现对移动智能终端和移动应用的持续监测和管理,掌握移动互联网运行环境安全,动态监测、响应、处置、改善移动互联网安全状态。
随着移动互联网的快速发展,终端产业与人工智能、大数据、物联网等新型应用紧密结合, 并呈现网络化、智能化的趋势,移动智能终端逐步由传统的网络末梢转变为移动互联网业务的接入口。但随着新技术新业务的发展,智能终端在为用户提供更多便利的同时,也面临着严峻的考验
(1)互联网安全威胁日益严重,防御手段与攻击技术均在不断对抗更新,多数是在被动抵御攻击。
(2)政府多次强调要加强事中事后监管,做到“放”“管”结合, 但当前缺乏持续性的、主动的监管方式方法, 针对安全事件缺乏应急响应与关联分析机制, 无法支持终端安全风险预警响应;
(3)互联网产业链是紧密结合在一起的一个整体的生态系统,威胁可能出现在移动互联网生态系统的各个环节,而一个环节受到威胁会影响系统中的其他成员,需要对互联网生态系统的整体进行安全管控。
一、互联网安全形势和监管挑战
一、智能终端漏洞居高不下 , 修复缓慢
移动智能终端开放的应用环境带来了日益严重的安全问题,移动智能终端操作系统漏洞近年来居高不下,严重威胁用户个人信息甚至人身财产安全。据公布的数据显示, 2018 全年 Android 系统漏洞和 IOS 系统漏洞数分别为 611 个和 125 个。
按漏洞类型统计,代码执行、拒绝服务、内存溢出等类型漏洞占比较高, 攻击者可利用这些漏洞获取系统最高权限和进行恶意操作,如窃取用户个人信息、拦截移动支付,侵害用户合法权益。在移动智能终端漏洞居高不下的同时,移动智能终端系统漏洞修复也十分缓慢,用户长期暴露在危险、易受到攻击的状态下。
研究表明, 超过 9 成的设备存在已知漏洞,每台设备平均检测出的漏洞数量为 35 个,其中严重漏洞 16 个,高危 11 个,中危漏洞 8 个。不同厂商的漏洞修补水平参差不齐,终端整体表现不好,漏洞平均存在时间较长。多数终端在 OTA 升级后漏洞数量并没有明显减少,部分终端的系统漏洞数量反而呈增加的态势。
二、移动互联网恶意程序持续增长,同时影响个人和企业安全
近年来移动应用程序极大丰富,但移动互联网恶意程序也随之大量涌现,严重危害用户的个人信息安全和人身财产安全。据相关资料显示,2018 年Android 新增病毒包达800.62 万个, 手机病毒感染用户数近 1.13 亿,支付类病毒感染用户数近 394.21 万,手机病毒类型主要是资费消耗和恶意扣费。
同时,随着移动智能终端向企业办公、移动政务等领域扩展,推动终端病毒向企业和政府等领域蔓延。个人应用和企业应用并存使得企业数据存在非授权访问风险。一方面,用户在外部网络使用移动终端可能会被恶意程序感染,在接入企业内部网络时会影响内部网络安全。另一方面,用户在安装非企业内部应用时也可能因内嵌恶意程序给企业网络带来潜伏式的攻击。
三、新技术带来新挑战,用户数据成安全重灾区
随着人工智能、物联网等新技术的兴起, 数据已成为制约其发展的关键点,其发展高度依赖于大数据的训练分析,需要收集、传输和存储大量的用户个人信息的数据。在企业高度重视网络数据的资产价值并对其表现出极大热情的同时,其面临的各种问题仍不容忽视,其中最严峻的就是对用户数据的保护问题,用户数据仍是网络数据应用违法违规的重灾区。用户数据价值的提升,带来了窃取用户数据的高级持续性攻击的陆续发生。
更甚者,用户数据非法买卖黑色产业链在愈演愈烈,不良网络信息等下游问题也随之加剧。据相关调查显示,2023年个人信息泄露总体情况比较严重, 超八成受访者曾遭遇个人信息泄露问题。
四、移动互联网安全监管重心从事前向事中事后转移,需加强网络安全态势感知能力建设
当前,移动互联网安全监管面临着一些新的形势:
(1)党的十八大以来,党中央、国务院从战略和全局高度,大力推动政府治理体系现代化,紧紧围绕处理好政府与市场关系,持续推进“放管服”改革,推动网络强国战略实施, 加快政府职能转变。近年来,国务院多次召开全国深化简政放权放管结合优化服务相关会议, 要改变政府管理方式,加强事中事后监管,做到“放”“管”结合,从事前审批转变为加强事中事后监管。
(2)《中华人民共和国网络安全法》已于 2017 年 6 月 1 日正式实施,对包括移动终端、移动应用在内的网络产品和服务的漏洞、恶意代码以及个人信息保护提出了明确要求。
(3)国务院发布的《“十三五”国家信息化规划》提出健全网络安全保障体系,能够“全天候全方位感知网络安全态势,加强网络安全态势感知、监测预警和应急处置能力建设,建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势,建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析, 更好地感知网络安全态势,做好风险防范工作”。
但与此同时,移动互联网安全监管也面临较大挑战:
(1)缺乏持续性监管方式和应急响应能力,监管部门针对移动互联网风险持续性监管策略和能力有待完善,移动互联网安全主要依靠厂商自行维护。一方面,厂商能力参差不齐,对威胁和脆弱性感知较为被动,风险响应时效性较低;另一方面,缺乏规范和监管机制推动,依靠舆情影响和厂商自律,较难保障用户权益,缺乏全面、权威的监测平台来支撑移动互联网安全风险预警响应,缺乏数据有效关联分析机制,无法支持移动互联网安全风险预警响应。
(2)产业链环节多,监管存在盲点, 移动互联网涉及终端制造商、移动应用开发者、服务提供商、运营商、安全厂商等众多主体, 每个主体涉及多个产业链,监管十分复杂,同时由于主管机构职责的划分,经常会出现监管的盲点,让不法行为有机可乘。
二、互联网安全态势感知
一、互联网安全态势感知概念
网络安全态势感知是指在网络环境中,采集网络通信、网络流量、计算环境、脆弱性、安全事件、运行状况、审计日志和威胁情报等数据,利用大数据和机器学习等技术,分析网络行为以及用户行为因素所构成的整个网络当前状态,获取、理解、评估能够引起网络态势发生变化的安全要素,预测网络安全态势发展趋势。
在移动互联网环境中,采集移动终端及移动应用的相关的网络流量、漏洞、恶意应用、设备型号、安全事件等数据,利用大数据和机器学习等技术,分析移动终端当前状态,获取、理解、评估能够引起移动终端态势发生变化的安全要素,预测移动终端安全态势发展趋势。
因此,应用态势感知技术可为移动互联网安全监管提供新的思路:
(1)是建立移动互联网持续性和主动性监测能力。对于用户移动智能终端受病毒感染情况、漏洞修复情况、恶意应用传播情况、恶意网址等进行感知监测,实现对移动互联网持续监测和管理,掌握智能终端设备运行环境安全、移动应用安全等,动态监测、响应、处置、改善移动互联网安全状态。
(2)是加强移动互联网事中事后监管。利用移动互联网安全态势感知,结合运营商、设备制造商、安全公司等,将海量移动互联网态势数据进行整合分析,解决移动互联网事中事后监管的关键技术难题。
(3)是增强移动互联网攻击溯源与应急处置能力。能够对恶意攻击、恶意应用、安全事件进行溯源取证,对恶意应用的发布者进行追踪。同时能够对移动终端安全进行监测预警和应急处置, 准确把握网络安全风险发生的规律、动向、趋势。
1.1移动互联网安全态势感知技术架构
基于态势感知建立移动互联网安全持续性监测的关键是移动互联网安全态势数据的获取、态势数据分析处理、态势感知和应急响应的应用。移动互联网态势数据的获取是核心问题, 需要收集移动终端设备数据、网络流量数据、恶意代码数据、漏洞数据、恶意网址数据等不同层面的安全相关数据来构造持续性监测平台的数据源。
移动互联网态势理解,即态势数据分析处理,通过对采集的数据进行处理,整理出有价值的数据,再对有价值的数据进行深度分析。态势评估预测通过移动互联网安全态势感知平台,面向监管机构、厂商和公众提供终端安全态势评估和预测,以及溯源取证和风险分析,以提升我国移动互联网生态的整体安全防护能力。移动互联网态势感知关键技术架构如下图所示。
(1)移动互联网安全态势获取
联合移动终端厂商、移动应用商店、安全公司、运营商、第三方检测机构采集与移动终端安全紧密关联的海量基础数据,包括移动终端设备数据,如设备型号、CPU 信息、操作系统信息、IMEI 号等,以及移动网络流量数据、移动恶意代码数据、移动终端漏洞数据和移动终端其他安全相关数据。
(2)移动互联网安全态势理解
由于从移动终端、移动互联网环境等获取的海量数据存在大量冗余信息,且数据存储类型不一致,获取的数据不能直接用于数据分析处理, 所以移动互联网安全态势理解首先需要进行数据的预处理:
(1)统一数据格式,将采集的所有不同类型的文件转换为统一格式的文件或数据结构;
(2)对数据进行分析,排除与安全态势感知无关的数据,将重复的数据进行合并。
随着移动互联网快速发展,来自移动终端和移动应用的数据异常庞大,即便是经过数据预处理后的信息,用户依然无法确定数据的真伪、价值与重要程度,还需应用大数据分析处理技术, 结合数据建模进行深层次数据分析,为移动终端安全态势的评估和预测提供有力支撑。
(3)移动互联网安全态势评估与预测
移动互联网安全态势评估是指在移动互联网环境中,在融合获取移动终端各类网络监测数据并进行预处理和大数据分析的基础上,根据移动终端领域知识和历史数据,借助数学工具或者数学模型,经过分析推理,对由各种移动互联网资源、安全运行以及用户行为等诸多因素构成的整个移动互联网的当前状态做出合理的解释。
移动互联网安全态势预测是指基于丰富的事件知识库和移动互联网运行数据,对移动互联网未来短期内的变化趋势做出正确的预测。在一定的时间和空间范围内,移动互联网的变化是有迹可寻的,移动互联网安全态势自身也存在着规律性,运用经验知识、专家系统和分析模型去预测安全态势,从而有针对性地制定策略,实现移动互联网安全态势预测。
基于识别的终端设备指纹,对设备历史接入网络信息和定位信息进行回溯分析,并结合时间线统计分析出设备常用所在地域,以及终端设备预置软件程序应用情况及信息,实现对移动终端设备的定位和回溯能力。
同时根据被攻击终端或网络节点结合日志数据分析,逐跳或逐层进行回溯分析,直到回溯到攻击源头, 掌握攻击方法和机制。
(4)移动互联网安全应急响应及威胁预警依托移动互联网安全态势感知的综合分析
和多渠道的信息获取实现移动互联网安全威胁态势的分析预警、安全事件的情况通报等;同时建立应急响应机制,依托与终端厂商、运营商、安全服务厂商等相关部门的快速工作机制和监管执法机构密切合作机制实现移动互联网安全事件的快速处置。
二、移动互联网安全态势感知功能架构
移动互联网安全态势感知至少需具备以下功能:
▲事件监测:依托移动互联网安全态势感知开展与移动互联网安全相关的终端系统漏洞、移动恶意程序、、恶意网址等安全事件监测。
▲应急响应:依托移动互联网安全态势感知丰富的数据资源和多渠道获取信息的综合分析,依据《公共互联网网络安全威胁监测与处置办法》等法规,对移动互联网安全威胁态势,包括移动终端或应用漏洞、恶意程序、恶意网址、钓鱼网站等安全事件进行分析预警。建立移动互联网安全应急响应机制,依托与终端厂商、运营商、安全服务厂商等相关部门的快速工作机制和监管执法机构密切合作机制实现移动互联网安全事件的快速处置。
▲溯源取证:依托移动互联网安全态势感知和合作伙伴的丰富的数据资源,对恶意攻击、恶意程序、恶意网址、钓鱼网站等安全事件进行溯源取证,为监管部门实施相应监管或处罚提供技术支撑。
▲可视化呈现:将庞大的抽象数据通过以散点图、直方图、时间轴和树图等可视化元素为主的用户界面来进行展示和高效率导航,解释信息之间的联系,帮助用户在认知层面组织和管理大量复杂的信息内容,直观掌握移动互联网安全状况。
三、德迅云安全方案
德迅云眼(云监测)
云监测是德迅云安全历经多年全新打造的一款对企事业单位业务系统(包括但不限于网站、小程序、API、APP)全生命周期、持续性、多维度监测的新一代云监测产品。通过结合德迅大数据平台及404实验室安全能力,为客户提供业务系统漏洞监测、可用性监测、SSL监测、安全事件监测、内容合规监测、业务系统资产发现等多项监测能力,帮助客户全面掌握业务系统风险态势。
1、德迅云安全智脑赋能
集众家之所长,新型漏洞感知全面。 德迅云安全智脑每天对来自全球4亿+的攻击流量分析学习,持续赋能云监测(ISSM)目前累计支持10万+漏洞检测,并持续更新中。
2、404实验室安全能力加持
打造全新一代立体监测平台。云监测(ISSM)是由德迅云安全倾力打造的新一代业务系统立体监测平台,协同联动Seebug漏洞社区近10万漏洞及5万PoC信息,持续不断提供全面、精准的安全监测能力。
3、智能网站业务画像监测
精准扫描无遗漏。基于德迅云安全防御大数据持续对业务系统进行网站画像监测,精细化监测每个URL及参数,及时发现业务系统所有监测点,实现全量、增量、专项等多种精准扫描,覆盖度全面,扫描效率更高。
4、分布式监测
及时报警、零误报。基于智能监测分波算法对全国超50个监测节点智能任务分配,适应不同运营商、不同线路的网络状况,模拟真实的网络环境,提供精准、迅速的监测结果,并通过可视化风险评估报表、安全报告及风险告警等手段构建完善监测体系。
应用场景
1、国家政策合规性要求
德迅云监测致力于对客户业务系统进行持续的可用性、脆弱性、安全事件、内容合规监测,帮助客户快速满足“等保2.0”提出的定期漏洞扫描及安全事件快速监测要求,满足《政府网站与政务新媒体检查指标》提出的业务高可用、内容安全合规等指标。
2、业务系统风险管理
主动监测党政机关、国企央企门户网站或其他重要业务系统的安全运行状态,全生命周期监测、持续性风险跟踪,快速定位威胁,积极响应,保障客户业务系统平稳运行。
3、监管单位所辖区域大规模监控
为监管单位提供对所辖地区或行业的所有业务系统全面安全风险监测服务,统一集中、全天候监测,精准快速发现安全 问题,及时通报预警相关单位。
4、重大活动安全保障
对接入服务的业务系统进行多维度安全监测并快速预警,帮助企事业单位在重要活动前期对业务系统进行安全风险全面检查,在活动期间持续监测安全事件,快速发现、预警、响应,保障重大活动期间不出安全事故。
态势感知
态势感知态势感知采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。
1、主动监测
通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。
2、精准防护
通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。
3、智能分析
对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。
4、可视化态势
态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。
实现功能
态势总览:
- 展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。
资产管理:
- 监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。
告警管理:
- 通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。
弱点分析:
- 列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。
日志库:
- 列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。
系统设置:
- 支持告警规则设置、日报/周报设置、资产授权。
态势大屏:
- 移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。
结语
将态势感知技术应用于移动互联网的安全监管,建立移动互联网持续性和主动性监测能力,对互联网恶意应用、智能终端漏洞、安全攻击等安全状况进行感知监测,实现对智能终端和应用的持续监测和管理, 掌握移动互联网运行环境安全,动态监测、响应、处置、改善移动互联网安全状态。
同时,增强互联网攻击溯源与应急处置,能够对恶意攻击、恶意应用、安全事件进行溯源取证, 对恶意应用的发布者进行追踪。同时能够对终端安全进行监测预警和应急处置,准确把握网络安全风险发生的规律、动向、趋势。