2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,爱加密移动安全研究院的魏超副院长带来了《移动金融风险防护建设浅析》主题演讲。
大家下午好!
首先说说我们对金融科技的看法
今年颁发一系列的法律法规对金融科技的相应要求,包括移动金融应用的个人信息,以及国家网安法等保2.0的要求,它最主要是为了促进金融行业能够稳定有序的发展。其二是科技对于5G、移动应用、智能技术、区块链、云计算的应用,给金融行业带来了相应的创新和实际的活动。
我们看看移动金融目前最主要的两个形态:第一个是输出。对于输入来说,金融行业希望更多拉新,更多新用户融入到金融平台来,成熟信息科技相应技术打包,输出到各个互联网平台中来。第二个是引进,把移动金融行业现有的客户黏度更高,能够添加什么扩展类金融服务,将现有客户更多进行积极性调度。输出和引进对环境的开放可能带来风险,这是现在移动金融带来的问题。
今年8月份,中国人民银行印发出了《金融科技发展规划(2019-2021年)》,发展规划对金融APP的稳定提出了相应的要求,对网上银行、手机银行等业务系统监测提出了相应要求,这是以往没有提出过的。对于业务系统在互联网的监测作为金融安全建设核心重要的一环,对金融行业资产比如APP资产在环境之下可能出现的仿冒、盗用以及可能出现的个人信息泄露而造成的风险。前两天,高检和高法发布对个人信息违法违规的解读,个人信息超过500条之后就会有相应的刑事处罚。提高到这样严重的高度,这对金融行业特别是P2P这些掌握大量用户信息的企业,对于移动应用出口的安全有更高的要求。包括银监会的通知和去年的护网行动以及今年年初四部委联合发布的开展APP违法违规收集使用个人信息专项治理,惩处现在也有相应的依据,是非常合适的合规点。
从国家监管来说,金融企业如何保证自合规?相应的方式有哪些?包括我们自营的APP,包括我们赋能的SDK。之所以我们做SDK或者API银行,就是将银行的自身包裹出去或者把互联网的能力拉进来,在开放过程中可能出现的问题。目前我们现在关注的是个人信息,之后可能是金融数据以及市场数据,向金融数据安全上发展。总体职责上希望:第一,保证企业自身的安全;第二,我们向外输出的能力,包括SDK或者第三方SDK的合规性会不会给我们企业带来风险是一个大问题;第三,保证互联网应用生态的合规,响应国家安全政策,主动提升自身安全能力,保障人民的财产安全。
二、移动互联网环境恶劣
2018年,新增恶意APP数量新增283万余个,最主要的是恶意扣费、短信或者违规采集个人信息等问题。上面的案例我就不着重说了,包括墨迹天气的事情在央视报道。
这是个人信息泄露事件,涉及破解之后或者被网络中间人劫持,将个人重要的信息提取出来。当然,个人信息泄露案件为什么能够组成完整的一环?最主要的是个人信息获利在黑产或者安全行业里形成了完整的利益链,所以个人信息泄露才会如此的严重。包括相应的平台或者APP有越权或者滥权行为,越权或者滥权行为并不会对个人形成单体的危害,它可能形成群体危害,比如将你的通讯录或者通话和录音进行收集。再加上之后有5G或者AI,把个人情况、设备情况、实际环境信息也暴露,最后在互联网上完整还原了个人的家庭生态和金融生态,这样就变成非常的可怕。
这是举去年个人所得税APP的例子,这款APP刚出来第二天,就出来几十个类似于个人所得税仿冒的APP,包括一些征信的。现在我们去网上搜某某银行,下面有个某某银行使用助手、某某银行的使用帮助等相应APP,这些APP也都是大量含着恶意广告和广告代码的短信扣费,严重就是个人信息收集等问题,这些问题非常猖獗。
第三方SDK现在也暗藏各种玄机,比如我们结合第三方SDK,它暗藏代码,之前看到某个页面上架前承载一些功能,这在BS架构PC时代非常容易理解,页面刷新指向不同地址以后功能都发生了变化,变成借贷的或者推送一些广告,还涉及到赌博等问题。这些第三方SDK带来的问题会不会成为我们金融企业自身的问题?这在APP运行初期和测试阶段是不会发生的,只有APP在用户端运行一段时间状态之后才能出现,也比较巧妙的规避检测上的风险。那么他们什么时候发生、什么时候触发,状态是不是需要监测,这就是金融企业需要考虑的问题。因为毕竟第三方SDK在使用时,如果它的合规性得不到保障,我们作为主体单位会受到相应的危害。
这是相应的智能终端环境,我们统计全国移动发布渠道,北京、广东差不多有100多个应用下载渠道,包括智能终端操作系统,安卓的、阿里的等等。我们想说的是,如果单作为一个企业、一个监管单位来面临这个事情,这么多移动市场、这么多不同操作系统版本以及相应可能出现的问题或风险,移动操作系统带来的不同风险或者危害是我们APP端无法自身解决的,这是一个实际的问题所在。那么我们如何来符合监管的要求,如何来解决我们APP自身的安全?这是我们要考虑的事情。
这是刚才的总结,首先是技术层面环境复杂,其次是管理层面监管复杂。我们的思路是这样:首先,自身肯定要安全防护,包括动态静态检测和运营安全防护,以及有没有考虑移动运营全生命周期的状态监测,包括有没有从开发者、从应用市场、从监管层面要求,比如我们现在有些应用需要相应的认证以后才能进入应用市场,通过这样的方式保证应用安全和企业的利益。
三、爱加密防护体系建设
包括:事前检测能力、事中防护响应能力、安全加固、事后智能监管。这是我们首家提出来对于APP个人信息安全检测,隐私条款合规性检测,权限检测、静态检测、动态分析等等,得到监管机构和CCRC相关认可,做个人信息安全检测的服务。
安全风险漏洞这点比较明确,你自身的问题,基本信息的,包括组件的、包括原文件的这些。当然,组件有数据的、身份认证的和安全策略的相应的风险。这归结为两段,第一,操作系统给应用带来的风险,第二,应用自身所含的风险,我们把这两部分检测出来就OK。
第三方SDK的检测,我们更趋向于提供两点技术能力,一个是个人隐私,一个是恶意行为。包括本身SDK未说明或者未声明的功能可能潜藏着数据或者动态信息,监管比较严格的APP可能自身没有问题,但是突然发现向美国或者加州、洛杉矶发送数据,也许这些数据是商业服务器部署造成的威胁,但是如果因为这个原因纵使不合规也是不值得的,所以对这点进行着重检测是我们对第三方SDK检测重点。包括病毒、超范围采集这些全新的检测,我们也会相应的提供。
这是爱加密积累的第三方SDK支持库,我们自身做相应的检测和加固提供给各个用户,对每个用户的APP资产可能涉及和使用到的第三方SDK——包括互联网上主流使用的SDK进行版本追踪、相应信息、功能对比、合规情况,能够迅速和准确的提供出来。如果监管单位需要合规分析或者认定分析,我们提供相应的技术支撑。而对于企业来说,怎样选型第三方SDK,我们提供相应的经验。
安全感知是我们刚才所说科技发展规划里明确提出来的,第一,将智能风控嵌入到业务流程里,实现风险拦截处置。在以往反欺诈中有很多厂商提出来在服务器前端进行有效识别,然后进行自动化拦截。我们能不能到APP端进行相应的拦截和控制?这就是我们提出的方案,对于APP端提供相应的智能风控,包括我们提供的是商用SDK采集还是可视化埋点,等等相关的方案。提升穿透式的监管管理,对于系统嵌入API的手段实现获取风险信息、自动抓取业务特征数据,这个建设的范围已经给我们提供了明确的道路,就是要在银行或者证券、或者第三方保险提供的APP里可以采用相应的技术手段对APK和SDK进行状态收集和控制。
当政策上允许、技术上满足,对用户个人端APP的预留事件、安全事件,可以通过智能化、本地化功能,相应应用名单和应用属性对企业来说可以进行安全画像。这是我们提供的事中的安全防护,在前面的检测和感知完成之后,在后面的安全加固涉及到第一代、第二代、第三代。爱加密在安全加固方面从2013年开始到现在,加固的强度和细致度现在有个质的提升。
这是我们对安卓、ios、h5、SDK提供的加固方案。这是事中防护,通过各个APP间端点的防护,可以实现合理利用交互结合、弹窗、允许执行、退出难等相应的方式。
互联网监控就是刚才我们所总结的,互联网有多少人在用你的APP,有多少你的APP等等,对渠道进行监测,包括钓鱼、取证分析,可以协助金融单位进行应用下架等相应功能。
这是我们给监管机构提供的资产梳理,包括地区的分布,比如我们希望知道广东省有多少金融APP,合规情况怎样、企业怎样、恶意应用、钓鱼应用等实际情况。当然,我们也做了一些相应的数据输出,通过我们自有的数据安全、大数据平台,可以向客户提供单点APP的分析报告或者整个区域的分析报告,或者整个行业的分析报告。
在安全服务能力,我们配合检测加固、感知相应业务线,对渗透测试服务、业务接口提供合规测评,SDK的包括之前146号文发出来之后我们对很多银行提供146号文的合规检测服务。
这是对于客户端软件程序代码调式、业务安全的相应功能进行支撑的案例。
爱加密方案从企业APP的技术层面、业务层面、合规层面的三个方面,在开发前、开发中、上线后以及互联网事前、事中、事后的全过程智能化全生命周期安全合规的设计。
四、关于爱加密
爱加密从2013年到现在,目前服务的行业用户、市场保护类APP、网络监控类APP、智能终端设备都已经达到行业排名第一的位置。
这是金融客户,目前对于证券、银行服务的客户达到60%,对互联网金融相应用户提供大量的支持。
以上就是我的分享,谢谢大家!