大家好!我是梆梆安全的崔建勋。今天非常高兴听到很多很好的分享。在所有嘉宾片子里涉及到场景的时候,我都看到了手机移动设备,这恰好是我关注的领域。我今天带来的是移动互联时代保险面临的新挑战。
整个移动时代的发展,手机已经变成了人的第二开关,我们简单回顾一下在移动发展的过程中,我们面临着怎样的机遇与挑战。2016年底中国手机网民数量,将近7亿。在这样广阔的用户市场基础下,我们做了什么?我们获得了非常便利的移动服务,很多人都是饿了手机订餐,饱了手机交友,困了手机订房,一切都是手机。
在这样的机遇下还有一些人非常勤奋的研究了一下,他们也在努力,过去一年他们创造了一千亿产值,他们是谁?他们就是广大的黑产从业人员。随着他们的出现,我们美好的移动互联生活增加了一些插曲。我们定餐的信息泄露了、我们支付的信息泄露了、我们交友的信息泄露了,到最后我们开房的信息也都泄露了。
移动时代下,我们面临着这样的安全环境,我们把视野转回来,看一看保险领域的情况。
正如我说,所涉及的行业,包括分享都可以看到移动设备,这些移动设备已经广泛的覆盖了我们从展业到投保到客户的方案、理赔等一系列业务场景。服务了我们的代理、服务了我们内勤,服务了众多客户,在这样方便、快捷、高效服务手段进一步发展、进一步渗透着基础下,我们的安全现状怎么样呢?
大家可以看一下这个数字,这是第三方的安全机构对保险行业的应用现状进行的分析。那么大家可以看到我们所有的保险业务里边有70%存在着高危漏洞,有40%的漏洞极易被利用。当时我看的时候觉得是不是安全机构的一面之词,请教了一下攻防团队负责安全渗透的白帽子,他说极易意思就是黑客利用这样的漏洞,是很容易,但是不利用的话那很可耻。
所以基于这样的一个大背景下梆梆安全起家于移动应用,我们也专注于移动应用安全,我们也对市面上50个保险APP进行了分析。大家可以看一下我们的分析情况。有90%的移动应用存在业务风险,对这90%来讲,70%可以在开发阶段规避,刚才的偏重于技术本身,而业务的漏洞偏重于通过技术手段组合达成对业务伤害。东西很全面很丰富,我没有办法在很短时间内逐一开展。所以有常见的信息泄露、短信轰炸,在座各位不知道有没有碰到过,我们逐一看一下,信息泄露这件事已经是一个广普性行为,中国信息泄露达到60亿,平均下来每个人都能得到四五个,对于保险行业来说整个车险信息、保户基础信息黑市里都很好买,随着场景工具化有一个新渗透方式,现在很多保险公司在使用客户自助保单。这样实时信息泄露,导致的结果是去年在北京、上海、广东、湖北等地方都出现过针对车险报案理赔电信诈骗。一方面是实时精准的泄露,另外一方面是这群勤奋的年轻人他们真的很有头脑,基于事实信息构建出完整的社会工程学的诈骗方法。
这是信息泄露带来的业务影响。
我们来看看短信轰炸,这是一个很有意思的事,很多保险公司客户朋友都碰到信息轰炸,只不过都不极端,每个月有一部分用来轰炸别人。但是今年4月份证监会通报了一家基金公司,通报原因是因为有一个客户,他们收到1200多条来自基金公司的短信服务器的短信。这个客户我相信他是金融从业者,他直接通报了监管机构。基金公司去查是短信接口被盗用,除了损失了财产,他们还面临着监管机构的问责。这是行业的。
那针对短信轰炸,实际上这是一个新的黑产产业链,简单来说每一个短信接口在黑市上价格是0.25元,这个我们待会儿强调一下,待会儿谈到服务解决的问题,我还会用到这个。
第三个场景,薅羊毛,这个大家应该耳熟能详了,因为我作为一个普通的消费者,薅别人羊毛的时候我是喜闻乐见的,但是看到我很多客户被别人薅羊毛了,我是不愿意的。基于薅羊毛这样一个场景,在座的各位,回忆一下,如果你们在做一些促销推广活动的时候,如果你们使用的是加油、公务卡、现金红包等很容易直接变现的产品时,提醒你们重点关注服务器在推广期间的运营情况。为什么这么说?今年5月有一个保险客户跟我讲,我们被薅羊毛了。
他说上个月有一个促销,一句不太恰当的话,业务做得都不够,怎么可能出现薅羊毛的问题呢?后来发现业务部门应市场要求,开发部门没有对安全质量进行发布,结果没想到直接把服务器给薅了。所以这是薅羊毛。薅羊毛发展本身大家都很清晰了,但是薅羊毛的防范,从技术到业务密集企业需要一个防范手段。
谈完这几个场景,我们业务里安全的威胁时刻又在看着你,那么我们该怎么办?
我们基于700个成功案例,总结出了一套移动安全的服务信息,那大家来看一下,首先这个移动安全的信息在移动互联时代的今天,从解决方法上看是一致的,还是那些设计,从业务结合上来看已经发生非常大的变化,我们强调安全运营一体化的方法解决。简单来说我们需要基于移动应用全生命周期构建几条安全基线,开发阶段要避免涉及外部开发可能引入的安全问题,发布阶段要保证应用在不安全的环境安全运行。这里大家需要回忆一下我们有七亿手机网民,这里有85%使用的是安卓的操作系统。而安卓是一个非常好的系统,有很好的开放性,但是同时由于它的开放性,也导致很多漏洞是直接暴露在整个空间里。
所以发布阶段我们需要相应的安全架构指标。
最后也是标红的部分,是跟业务结合最紧密的,我们如何利用现有移动端的数据,去进行漏洞识别等等,来构建可以成功发现威胁、阻断威胁的方法。具体怎么来做呢?
在设计开发阶段这是一个基础,这部分的内容实际上大家可以看到和我们原来做的几个,我们需要安全咨询,50%的问题在开发阶段解决掉,我们需要相应安全测试、我们需要第三方安全组件,所以说这个我就不强调了。简单来说针对的是移动端的各自问题解决移动端的问题。
第二部分应用发布阶段,我们需要在机器上穿上一件防弹衣,让他不管安全还是不安全的环境中都能够安全运营,这两个是基础。
最后一件事情是我们刚才谈到的,我们需要基于非常丰富、广泛、准确的移动端数据构建相应安全模型。利用这样的安全模型帮助我们至少做到一件事,第一件事,有效的搭建和阻止实时攻击,第二件事有效的去避免业务行为的发生。
虽然我们再回到刚才我们讲过的三大流程,通过这样的体系怎么样解决它。第一个信息流,大家可以看一下相应的安全报告,信息泄露有很多,重点在设计的阶段,通信的领域,核心点是这几个点,这几个点完全可以通过咨询阶段设计和相应的安全手段解决。这是一个最底层的。
第二看一下短信轰炸,除了和上面一样的大家可以看到一个短信验证码,短信验证码是安全的验证,它只要解决一个问题,提升黑产的成本,这是基础问题,我们构建好的,第三方安全组件更多是加强安全强度,提升攻击的成本。那前面我们说过一个短信接口在黑市价格只要0.25元,没有一个黑客会为了能卖0.25元的东西去跟这些需要人工介入的安全验证码较劲。市场上有太多太多这样功能,这块需要提升攻击成本。
最后是薅羊毛,从业务设计上要保护、从通讯前期要保护。还有相应的架构手段,这时我们会发现解决这件事情需要一个更全面的方法。因为前面的因素解决技术手段的薅羊毛但是解决不了设备漏洞和设备模式里的薅羊毛,目前我们没有看到在保险行业用这个方式来薅羊毛的,但是在互联网金融、P2P等这是最常见的薅羊毛,利用手机设备来窃取业务部件。
上面就是我今天给大家分享的主要内容,后面我用两分钟时间介绍一下梆梆是个什么样的公司,梆梆安全成立于2010年,也是移动互联网元年,我们已经服务700家企业用户,我们在全国14地方有我们的服务中心。
第二在整个安全服务发展过程中,我们积累了很多资质还有很多国家安全机构认可,包括公安部、工信部、国家安全中心,这里有一点需要强调的,今年6月1日实施网络安全法对于在座各位不陌生,因为我们是关键信息基础设施的经济命脉,这个范畴内使用密码类产品和方案都需要具备国内生产资质的单位提供。我们在业内为数不多的几家有这样的资质。
这是我们服务的案例。我们在银行目前做了150家,五大行做了四家,12家全国股份制商业银行做了10家。
在保险行业目前人保、人寿、平安、太保等都是我们服务的客户。我也希望如果有机会,明年我再来这个大会和大家分享时候能够看到各位的公司。
最后梆梆安全从2016年开始已经全面布局物联网安全,在无人机、智能家居、运动设备等都有相关案例。另外和车险直接相关的智能汽车领域我们拥有了众多成功案例。为什么我们会致力于移动应用到移动互联网,梆梆安全使命就是保护智能生活,谢谢!