梆梆安全趙千里：移動金融如何打好保衛戰｜兵器譜訪談錄

前有支付寶、微信支付等移動支付的廣泛使用，後有各家手機銀行的普及推廣，移動端金融服務經過這幾年的發展，已成為日常生活中不可或缺的一部分。

與傳統金融相比，移動端金融受攻擊的可能性更大，在利益的驅使下，黑色產業針對移動金融展開了系統而隱蔽的攻擊，很多危險可能已經發生，但被攻擊者全然不知。

梆梆安全高階安全顧問趙千里的介紹，市場上存在上百萬的黑產從業者，他們涉及的資金規模上千萬。黑色產業分工很細，從建立釣魚網站，到木馬製作、偽基站釋出釣魚資訊、獲取使用者個人資料、銷售個人資料，再到利用個人資料進行金融欺詐，都是一條龍服務，有完整的體系。

根據《中國移動網際網路發展狀況及其安全報告（2017）》，2017年中國擁有23億活躍的移動終端，當時網際網路的網民才6.95億，除去物聯網的裝置，可見市場上有大量虛假裝置的存在。

經過這些年的建設，移動金融安全已經完成了從0到1的階段，包括設計階段的的安全諮詢、安全培訓、釋出前的滲透測試、原始碼審計、應用安全加固，到上線後的渠道監測、反盜版等。趙千里介紹到，現在行業面臨的安全威脅更多的來自業務方面，包括賬戶安全、業務欺詐、資料洩露、業務洩露等風險。

當下，受制於人才、技術、資金等因素，很多中小型金融機構在移動端金融服務安全問題的應對上，尚不能做到自給自足。而即使是大型金融機構，面臨新的攻擊手段，新的攻擊技術，也顯得吃力。與之相應的，就產生了梆梆安全這一類專門為第三方應用保駕護航的企業。

據介紹，梆梆安全迄今已經為8萬家註冊企業及開發者的超過80萬個移動應用提供移動應用安全服務，這些應用已經累計安裝在8億個移動終端上。包括12306、建設銀行在內的有數億使用者的APP都在使用梆梆安全的服務。

隨著金融科技往前推進發展，金融服務移動化的趨勢越來越明顯，與之相應的移動金融安全隱患也會日漸凸顯。當下，中國移動金融安全態勢如何？移動金融安全保衛戰的制勝關鍵何在？提供安全服務的第三方機構發展空間有多少？針對上述問題，我們邀請了梆梆安全高階安全顧問趙千里先生進行分享，內容如下。

趙千里： 針對金融機構我們主要提供在移動端安全體系化的產品，從最初的移動應用安全加固、應用渠道監測、滲透測試、原始碼審計再到現在的態勢威脅感知、SDK安全監測，還有基於SDLC的應用安全開發管理控制平臺等。

資訊保安問題本質在於程式程式碼的安全。要解決程式碼造成的安全問題，以現在的技術，包括已有的防範和檢測技術，都屬於亡羊補牢，都是解決已經發現了的、已存在的問題。如果能夠在開發階段儘可能把安全問題解決的話，那麼後續的安全維護成本就會隨之下降。

我們提供給銀行等金融機構的服務主要是應用安全開發管理控制平臺和移動應用態勢威脅感知平臺，這是他們最迫切的需求。通過安全加固，防二次打包、防篡改做得已經相當不錯了，但現在更多需要應對的是在業務層面，在實際的應用程式執行起來時面臨的一些動態攻擊，金融機構的防禦手段也轉向了業務方面的安全防護。

現階段各大行都有使用一些風控系統，但由於終端資訊源（包括有web端、APP端、徵信資料，還有來自同行或者聯盟的威脅情報）不可信或者存在部分虛假資訊的情況，就是從不同渠道拿到的兩個資訊有可能是矛盾的，沒辦法判斷真偽，這樣會使得最終的風控效果大打折扣。

因為後端拿過來的資料沒有辦法判斷是真是假，所以我們倡導要把一些威脅判斷前移，到最前端通過一些技術判斷，更大概率知道哪些是真的資訊。

趙千里： 首先是大資料。

業界現在一流的安全公司都在做這樣的事情——從防範已知威脅到防範未知威脅。

就像我們以前出過一些防火牆，防病毒，都是防範已知的一些常見的系統破壞、網路攻擊，但現在的態勢是從系統層面、網路層面、應用層面，多個維度都存在不可預知的安全風險，這樣就造成我們的防禦處在非常被動的局面。

也就是說，我們所知道的太少，而不知道的太多，而要解決這些不知道的風險，靠人工手段遠遠不夠，我們需要更多的資訊。

首先需要的就是現在比較流行的威脅情報，包括全球範圍內大家一致確定的一些攻擊者、黑產的相似資訊，通過共享由這一系列資訊形成的安全情報，從而把未知的東西更多地變為已知，減少不可控的因素。這個要藉助大資料，從各個方面進行資訊收集。

再者就是機器學習，這也是安全公司普遍用到的。

機器學習利用深度學習直接觸達和感知裝置的行為，基於裝置行為和狀態的使用者畫像模型來區分人和機器的不同。通過採集大量的資料，用於識別行為軌跡與正常人類/羊毛黨的相似程度，經過裝置畫像關鍵欄位：點選，移動，輸入，停留等進行大資料積累和利用深度學習技術，機器會逐漸積累更多的樣本來判斷哪些動作是人，哪些是機器。這就是靠機器學習來進行人的一些建模，這種技術也普遍應用在資訊保安防禦。

同時我們得到的訊息顯示，有些攻擊者也運用了機器學習，機器可以模擬人的操作頻率做得更像人一點，最後就變成了雙方計算能力和演算法的對抗。

趙千里： 我們服務的金融機構包括銀行、互金、證券、保險等。但是銀行的業務性質決定了他們在移動金融方面的安全需求更高，而其他機構的業務屬性對安全需求就稍弱。例如：你股票賬戶裡有10萬塊錢，我改了你的資料，最後只有一千塊錢。但對於攻擊者而言，這是個損人不利己的行為。因為要把這個資料裡的錢轉到自己這裡來，週期很長，中間鏈條很多。最終攻擊者最直接的方式是從銀行入手，直接轉賬，這個操作起來會方便很多。

趙千里： 從金融行業來說，一個是個人資訊洩露，一個是資金安全，再有就是對於機構傷害比較淺的名譽損失，比如說終端被黑了，出個新聞對名譽不好。

從黑產的角度來說，首先要存在利益才有人對他產生興趣，去研究、攻擊。所以說直接涉及到錢就是很顯然的利益，包括電商平臺搞的促銷活動、薅羊毛，這是明顯的利益。

另外就是個人資訊，對方拿到你的資訊能得到利益。從資訊保安的發展來看，最初出現一些病毒，更多的是攻擊者炫技，後面他們逐漸發現這樣做對自己沒有什麼利益。現在的攻擊是越來越隱蔽而且目的性越來越強。

我們發現很多使用者（不僅僅是金融領域的）會覺得不需要安全防範，覺得沒出什麼安全事件，這反而是更可怕的事情。因為真實的情況可能是黑產已經把資料盜走了，但使用者自己都不知道。

現在攻擊者的目的很明確，為了避免牽涉到法律的問題，他們會有反追溯反追蹤的技術，已經發展得比較先進了，讓人感覺不到，但並不代表沒有出現問題。移動網際網路時代，安全的問題都是和利益相關，攻擊者從資料或者虛擬貨幣這些獲利。

趙千里： 一是技術發展態勢。由於移動端作業系統的發展時間還不是很長，技術成熟度還不夠，不像傳統Windows是一個龐大的體系，它裡面會嵌入很多安全的手段。我們用到的安卓也好，IOS也好，通常沒有這樣的系統安全元件，同時也受限於現在移動終端硬體的容量和計算能力，因此從技術角度來說，這是先天存在的缺陷。

第二，隨著這幾年移動金融的迅猛發展，防護技術和配套管理還沒有完全跟上，這給了黑產從業者大量的機會。例如，從事黑卡、金融欺詐、電信詐騙、薅羊毛等一系列金融欺詐行為。移動金融蓬勃發展，大量資金投入其中，移動金融中的直接經濟利益加之從事黑產的技術門檻不高，進一步推動了黑產灰產行業的發展，促使他們越走越遠。

總體來說移動金融行業存在的問題為兩個方面，一個是利益驅動導致大量黑產存在，另一個是目前技術的發展不足造成安全風險普遍存在。

趙千里： 從發展趨勢上來講，移動安全防護肯定是需要的，但受制於幾個方面。

第一是客戶量有沒有那麼多。因為投入一百萬來保護一個目前只產生十萬效益的東西，是不合理的。比如我們需要選用幾個安全套件，那這幾個套件要投入的金錢是否遠低於你要保護的資產，這是使用者第一需要評估的東西。

現在國內頭部企業越來越強，給中間企業生存的空間越來越有限，中小型企業要發展壯大的機會其實是不斷變小，他們知道安全很重要，但要保護的內容價值低於付出的成本，那就需要把這個計劃往後推。

第二是使用者安全意識的問題。這幾年安全意識是在高速發展，但我們的使用者其實不像我們專業的安全從業人士，經過了十多年的積累，他們對資訊保安理解很多都比較片面或者比較淺，並沒有意識到一個技術問題對他的安全能產生多大的危害，在短時間內感覺不到，就會導致領導層對這方面意識不足，他們不缺錢，但是會覺得沒必要。

趙千里： 面臨的最主要挑戰還是人才問題。

金融行業由於有央行、證監會以及監管機構的強制要求，安全意識是相當高的，應該說僅次於國家的涉密單位。因為最初的攻擊者就是把他們設為攻擊目標，所以金融行業的安全水平很高，他們的技術人員在這方面的研究也有十多年。關鍵在於，當新的技術出來的時候，有沒有相應的人員儲備來做這個。

特別是移動端，因為移動端的安全是近幾年才發展起來，從銀行或者金融機構的科技人員儲備來說，做傳統領域安全的有很多人，但移動端也是個新領域，可能儲備不夠，對應的技術、意識也可能跟不上，這個需要通過一些共同的培訓來促進。

從整個行業來說，國家層面來重視金融安全也就是這幾年的事情。之前市場上安全從業者的數量並沒有明顯的增長，因為這屬於一個綜合學科，需要懂網路、資訊保安甚至是管理，要成為業內比較合格的一個從事安全工作的人，是需要一定週期。現在從全國的整體情況來看，人才是供不應求，也制約了安全的建設。

梆梆安全也會面臨人才問題。因為真正的安全實施人員，特別是移動端，市場上就那麼多，需要一兩年才培養出那麼一批，現在的存量遠遠滿足不了市場的需求。所以移動端安全問題，現階段相當一部分是在人才方面。我們也和使用者建立聯合實驗室，共同孵化產品，培養人才。