健身APP 又双叒叕泄露军方数据了。
兵哥哥也很无奈,一波未平一波又起,继今年1月Strava Labs的一款健身追踪器暴露美军士兵活动等敏感信息后,健身软件Polar也被发现利用程序中的活动地图,不仅可以找出军事和情报机构的用户,还能准确追踪到其姓名和地址。
这就很可怕了,情报人员变幻莫测的行踪和机密行动在Polar上一览无余,成了共享信息。就连美国国家安全局也毫不例外地“中招”了,没错,就是那个被称为“没有这样的机构”的神秘组织。
空气中有一丝尴尬。
出现数据泄露等安全问题的远不止军队,毕竟随着移动办公的兴起,金融、政府、交通运输、制造业、服务业都争先当起了“弄潮鹅”。
移动业务需求与日俱增,但移动安全技术保障却没跟上来。早期的安全措施大多集中在设备管理和对移动业务应用程序本身的代码保护上,如以设备管理(MDM)为中心和以程序代码安全为中心(App加固)。
但这些手段说到底仍是从一个点上解决问题,企业真正支撑的业务框架却有N个风险点。于是现在的场景就是企业在系统上打了一块又一块补丁,却挡不住一个又一个新的漏洞出现。
此时企业的内心:累了累了,奶不起奶不起。
好在这并不是连续剧中的大结局,安全公司开始思考,能否把之前单打独斗的神器做个1+1>2的合集?从原来的单点扩展到整体?
巧的是,不久前雷锋网宅客频道编辑就参加了一场研究报告发布会,会上指掌易推出了一套整体的安全解决方案《移动业务安全架构(SAME)》。
SAME是什么?
简单说就是基于移动端虚拟化、移动操作系统、移动安全等技术,针对企业业务,通过各种安全机制和技术管理手段,在保障网络、系统、应用和数据的同时,帮助政企用户快速构建起一个灵活易用的移动信息系统,实现业务快速交付。
比起还在琢磨怎么堵住“此起彼伏”的漏洞的企业来说,安全公司在想的是到底怎么才能快速的感知漏洞、快速响应漏洞、及时修复漏洞?
“不能因为前面有一块石头就不过去了,我们要先过去,同时想办法解决掉这块石头。从这个角度来讲,我们不光要解决眼前的问题,还需要随时感知未来世界并快速响应。”指掌易副总裁丁俊一说道。
在这个过程中其实就需要解决三个核心问题:
第一,企业最主要的安全风险在哪里;
第二,到底需要什么样的解决方案;
第三,怎么样能够让这个方案成功落地。
经过指掌易和第三方调研机构研究,企业最主要的安全风险在业务的应用和数据安全层面,而非设备、网络、边界。
那企业需要什么样的方案?这个方案绝不仅仅是管住一个设备,或是对单个应用进行加固,更需要的是一个完整的,解决你安全风险的前提下,还能简化运维,支撑你的业务优化的创新方案。安全不是目的,业务才是目的。
怎样保证它能成功落地?一方面在于IT架构的建设,更重要的一方面是所有的业务要能够在人的手持终端上实现。因此需要尊重人的体验,保护用户的隐私。
在此基础上,SAME架构出现了。
为了在确保安全的基础上,交付企业移动化的业务,SAME架构包括四个部分。
SAME架构概览
第一部分是底层安全基础的支撑平台。
这个支撑平台的核心主要是移动应用的远程安全管理技术,基于技术还需要有相应的工具,包括各种移动安全产品、集成工具以及项目实施落地的方法论工具。有了相应工具还需要与其匹配的服务。
总之,需要知道什么样的场景,使用什么样的技术和工具才能够达到最佳的一个目的。
有了支撑平台,如何将业务的应用从组织内部安全的传递到每一个移动端?这就需要第二部分:安全业务的交付平台。
“这是一个链路,我们要做的就是帮助每一个企业,在这个智能管道上构建出保证自己业务的安全通路来。而这个交付平台的核心,就是移动业务安全的网关。它有别于传统的接入、准入、VPN、WAF等各种设备,通过整合这些设备的价值,在移动端实现轻量级的接入,并面向最终用户实现按需接入。”丁俊一告诉雷锋网,“我们希望在这个过程中,能够去感知每一个用户自身的状态、设备的状态以及网络的状态,实现自适应保护。”
当然最终的业务是运行在每一个移动终端上的,所以终端也需要构建起高安全性的业务运行环境。
这就需要依赖于核心的VSA(虚拟安全域)能力,在操作系统和移动应用之间构建出一个微隔离环境。
最终为什么要使用VSA?因为过去的很多方法,比如用很多配发的终端,或者用双域的环境,对设备都有非常大的依赖性,没有办法实现普适性,让用户在一个低感知的状态下实现安全能力。
而通过VSA可以将业务数据和个人数据分离起来,并且在此层面上整合、集成、汇总各类更多的单点安全能力,让用户更加无感知的受到保护。
最后就是整个安全的感知和优化平台。
这四个部分相互支撑,安全基础支撑平台是业务安全架构实现的奠基者,安全业务交付平台是将业务从组织内部安全传递到移动端的传播者,安全业务运行环境是确保业务在移动端能够安全高效运行的执行者;安全感知优化平台则是开了上帝视角,挥着“小皮鞭”对业务安全优化的驱动者。
有意思的是,这整个方案其实是模块化、可定制化的。
什么意思?
指掌易CEO王伟将其视为一个工程化的问题,你在玩乐高时候利用一块块的积木搭建出各种造型,这套方案也是如此,可以直接将搭好的模块拿来排列组合。根据不同行业的不同需求,可能制造业需要甲乙丙丁四个模块打包方案,而在金融业需要的是戊己庚辛这四个模块。
但这套架构并非将之前市场上的技术做了一个叠加打包,“我们将一些典型客户的问题和方案提炼出一套方案,这并非简单叠加。”
“具体的模块选择需要根据企业自身需要,问题越多,业务越复杂的企业可能需要更多的功能模块,相反,业务简单的企业可能只用一两个模块”。
这与一次提供一个安全设备的传统安全解决方案大相径庭。
打个比方,一个很饿的人去饭店吃饭,他先点了一道菜,后厨一听立马做好了端上来。吃完后他又想点另一道菜,后厨还得做,可能永远不知道这个人下一道菜会点什么。此时就有人琢磨,既然单独做菜每次都得手忙脚乱,那一次性做个满汉全席不好吗?酸的,辣的,甜的,咸的,要什么有什么。
琢磨这事的就是指掌易,最终琢磨出的就是SAME 架构。
“说的通俗一点,并不是我们有一把刀就可以一劳永逸。而是如果你想切菜,我们就帮你把刀磨成切菜刀,如果你想劈柴,我们就帮你把刀磨成一个斧头。这是一个'见招拆招'的过程,总归我们有刀,可以根据客户真实的需求帮客户解决问题,这是我们的目标。”
但理想很丰满,现实很骨感,练成这道磨刀大法并不容易。
这套方案是个整体,就像盖楼,单独做一扇窗,一个门并不稀奇,难的是搭建整个大楼。
“我们在前4年一分钱不赚的情况下,先砸了2个多亿的研发成本进去,这一点也不夸张,哪个公司舍得?我舍得。因为我看好这件事情,也很坚定的相信这能更好地服务客户。”
事实上传统安全行业大家所做的都较为分散,有人做防火墙,做杀软,也有人做端点管理,但他们之间是缺乏协作的。安全是一个典型行业——这个行业遵循木桶理论,企业安全性取决于最薄弱的一环,赋予再多安全产品,一旦有短板和遗漏,也会带来不可估量的影响。
同步到移动端,依靠各类产品的叠加依然不能解决问题甚至拖慢了系统进程。如果想要做整体安全需要重新铺设,铺设所有关键点。这其中哪个点最难?王伟也讲不出,在他看来,每个点都不容易做,加在一起就更难了。但说难到不可突破,也并没有。
关键还在于客户,往往客户要一个点的安全的时候,他可能更希望得到覆盖整体的安全体系。
“如果没有的话,做这个点可能要花一年,做第二个点可能又得花一年,用户其实没那么大的耐心,翻来覆去就不愿搭理你了。所以,我前面四年宁肯不赚钱来做出这套方案,当然,在做出这套方案以后就形成了一个门槛,我有自信指掌易能保持这个竞争门槛。”王伟向雷锋网说道。
正在生成分享图...
我在思考中