随着移动互联时代的到来,移动应用正在成为业务与关键数据的载体,移动应用安全备受关注。提到移动安全的防护,我们可以看到基本上所有移动端安全的创投和移动安全的产品,关注的方向主要在客户端和手机端,而在服务器端关注较少。在手机端,保护的核心是数据和用户。在服务器端保护的是移动应用运营者,保护他们的资产和业务。因此,他们所保护的对象不一样,面临的挑战和解决方案也不一样。
据了解,目前对于移动APP服务器的安全防护,基本上是用传统的Web应用防火墙(WAF)或IPS来防护,并无专门的一款安全产品。因此,移动APP防火墙的出现也就变得顺理成章。
于是,WebRAY推出了一款部署在移动APP服务器端,对APP服务进行保护,主要应对面向服务运营者进行的攻击的安全产品,并将其定义为移动应用防火墙(Mobile Application Firewall,简称:MAF)。在2016年6月25日,由51CTO举办的WOT企业安全技术峰会上,WebRAY正式发布了该产品理念。这款产品代表着一个新的安全产品品类的诞生。
服务器端的移动应用安全防护存在哪些难题?
会后,盛邦安全产品战略负责人兼副总裁严雷在接受51CTO记者采访时表示,在移动APP发展早期,由于大量采用B/S架构设计,因此主要是通过WAF来保护移动APP服务器。甚至很多人会利用IPS甚至是下一代防火墙来保护APP应用。
但是,现在专门面向移动服务器端的攻击越来越多,很多威胁都无法通过传统的安全设备来防御。其中在服务器端有个最严重的问题,就是APP的运营者被欺诈的问题,或者说APP劫持,例如:为无广告APP插入广告,替换APP中的广告、钓鱼重定向、内容篡改,以及盗取资产、虚假身份、剪羊毛和外挂工具等欺诈行为。
其次,由于移动设备的构建与PC不同,导致本来在WAF上能够轻松解决的问题,在移动应用防护上就成为了问题,虽然理论上讲的通,但实际并不好解决。
再次,2g/3g/4g传输特性不同,公共Wifi不稳定,速度不同,使得服务器端的调试优化难,导致用户体验差。在运转效率上,由于手机等移动设备本身的问题,内存小,软件多,再加上后台运行的程序,导致运转效率比传统Web应用上的防护差很多。
此外,由于HTPS的存在,加解密是需要消耗服务器端的资源,给传统的抗D手段带来了困难。
WebRAY的MAF——幻影
作为MAF产品理念的率先提出者,WebRAY的MAF是什么呢?它是该公司一款内部打磨许久却一直秘而不宣的神兵利器——幻影!据严雷介绍,这款神秘产品是WebRAY的战略创新产品,公司希望凭借这款产品能够打开新的市场空间,并成为公司成长的主要驱动来源。
严雷表示,幻影技术的核心就是变形。幻影将APP中的代码采用代码替换、代码注入等技术进行变形,这种变形是相对于机器人或者工具类的变形,在人的角度看,并无感知。另外,虽然该款产品还在打磨阶段,但是目前已经帮助了一些客户,例如:北京交管新推出的北京交警APP的安全保障。未来,WebRAY将会加载威胁情报,引入行为分析等技术,用来防欺诈,增强应用层的抵抗力。
MAF部署到哪里?主要面对的用户群体是哪些呢?
对此,严雷解答说,MAF部署在用户的移动APP服务器前面,即是原来放置WAF的地方。目前,MAF的主要用户群体特点主要体现以下几个方面:第一,公司自己开发APP。第二,APP不能放到公有云里。第三,APP已经有一定的影响力,可能会被攻击。第四,没有太多的安全运维方面的人力和资源。如银行、医院、出版社、政府部门等。