開發十年，就只剩下這套架構體系了！ >>>   

經過三年發展，國內移動領域安全狀態有了很大的提升，面對更新的行業環境，傳統的安全方案有哪些侷限？新的移動安全應該如何定義？新的安全挑戰又該如何面對？

近三年移動安全發展變化

2015年是移動應用安全開始的時間節點，360加固保和國內其他移動安全廠商都是在這個時間開始起步的。下面和大家一起對比一下近三年的移動安全的發展變化。

移動安全現狀對比

通過上圖我們看出，2015年安卓的新增惡意樣本的捕獲量超過1800萬個。而2018年上半年，捕獲量在280萬左右，預計2018年的全年捕獲量在500萬左右。2015年每月平均值在150萬，而2018年的平均值下降到了45萬，國內的移動安全狀態有了很大的提升。

行業安全意識對比

2015年開發者對應用安全的概念還比較模糊，大家更多應用基礎功能的建設，而到2018年，60%的應用都採用了安全加固來保護應用安全。同時，應用分市場相比三年前更為集中，應用上線稽核有了更完備的規範。從應用監管層看，三年前行業監管處於起步階段，很多標準還在確立中。而現在已有了多層次的安全監管保障，國家標準/行業標準也正在出臺和施行。

但是安全廠商還是和三年前一樣，一直做SDK、檢測、加固和渠道監控這些服務。這三年間，移動網際網路的變化是天翻地覆的，但是安全廠商還在止步不前。

這是一個最好的時代，也是一個最差的時代。現在是中國安卓安全性最好的時間點。但是，對於安全廠商來講，卻有點迷茫。

傳統移動安全的幾個問題

SDK、檢測、加固和渠道監控四個安全方案都是圍繞著應用開發進行防護的，它的原型脫胎於傳統防護，最終大家都以核心加固強度來衡量應用安全的強度。這樣做主要有以下五個問題：

1、誰的生命週期？

我們說目前的安全方案是全生命週期的方案，但是這個生命週期與應用開發者所認為的生命週期有非常大的錯位。工信部把應用開發劃分為六個階段，每個階段都有對應的安全策略。開發完成只是應用生命週期的初期階段，應用大部分時間都在運營。所以目前的安全方案與實踐是有錯位的，我們需要考慮的是“誰的生命週期”的問題。

2、銅牆鐵壁是否就能保證安全？

現在的安全方案是一種銅牆鐵壁式的方案。以加固為思路，對應用的Dex、so、資原始檔以及資料檔案進行加密。而單純的加密會導致應用效能和效率的下降。很多特別追求使用者體驗的公司做安全，就是怕效率降低。其次，我們將這些加固措施做好了也不能真正保證安全，因為如果黑客直接從業務漏洞繞過去，前面做的都無濟於事。

3、閃電般的速度？

這張圖是安全人員經常用的。攻擊事件發生時，黑客的攻擊是分鐘級甚至是秒級的，然後馬上就可以匯出資料。而問題發現一般是天和月級別的，緩和措施的實施和發揮效果則可能需要用月和年來衡量。

黑客攻擊就像閃電俠一般的迅速，而開發者就像樹懶一般的緩慢，目前移動安全攻防處於不平衡的態勢。現在的很多應用還需要通過使用者下載更新包才能實現安全修復，這種模式更加放大了這種不平衡。所以說目前的移動安全措施反應是不夠快的。

4、移動安全能否等同應用安全？

現在除了應用，大家做的SDK、H5、小程式、快應用等，都是需要安全守護的。所以說目前的移動安全早已不再等同於應用安全，其他的移動業務的安全也需要重視。

5、什麼才是真正的威脅？

一般情況下，我們認為病毒、木馬、Root、雙開等是存在的威脅的。但是跟不同的開發者交流，發現大家對威脅的看法並不一致。對於遊戲開發者來說 ，他們認為外掛是有傷害的，但是對於銀行的客戶來說，他們有自己的使用者畫像和風控系統，他們認為使用者手機上的遊戲外掛並不會對自己的業務產生危害。所以不同開發者對安全的認識和需求不是完全一樣的，不能一概而論。

如何應用新的安全挑戰？

通過以上對目前安全現狀的反思，我們對安全進行了方法論層面的重新定義。我們認為新的移動安全首先是對抗的，兵來將擋、水來土淹；其次它應該是全面的，對應用真正全生命週期進行保護；第三，它應該是即時的，應該馬上響應以應用安全風險；最後，它還應該是智慧的，匹配不同使用者對於威脅的認識，滿足不同使用者對安全的訴求。

360在新移動安全方面的實踐

下面介紹360在新移動安全方面的兩個實踐。

1、盜版和仿冒監控實踐

盜版和仿冒應用是大家非常痛恨的。之前通用的防治措施就是渠道監測，從源頭上抓盜版仿冒。思路就是通過爬蟲監測所有的下載渠道，與原有的應用包進行對比分析，看這個應用包是不是盜版。

這個思路現在遇到了很大的問題：一是現在使用者下載已經基本都在手機端，用Web端爬蟲無法抓取有效資料；二是目前主流應用下載渠道已經非常正規了，基本沒有盜版應用的存在。

通過目前的爬蟲方式效果不好，但是盜版應用又真實存在，如何破解呢？

360採用的就是從下到上的方式，通過360手機衛士的裝機量、手機廠商合作量，以及監管部門的合作量建立正版簽名庫。然後360監測全網安裝應用的簽名，排查盜版應用。對未知簽名的應用送到內部的安全檢測中心進行檢測，如果存在病毒則通知合作的應用市場進行下架，並通過手機衛士對相關應用進行報毒處理。

2、反作弊風控實踐

銀行的風控系統是基於使用者消費行為的，但是安全廠商的風控系統是基於系統行為和使用行為，兩者對風險的判定標準不一致。比如，安全廠商發現使用者的手機獲得了root許可權，認為支付行為存在風險，但是銀行則根據自己的使用者畫像認為使用者的操作不存在風險。

現在的解決思路就將安全廠商與銀行的風控系統進行合併，為銀行與外部的觸點安全賦能。觸點執行操作時產生的資料分成兩部分，分別進入銀行的風控系統和360大腦的風控系統，然後兩個系統進比對並共同提出一個解決策略。這個策略會同時作用到當時賦能的每一個元件中，在這個元件中執行相應的策略，是持續監控，還是進行挑戰驗證。最終達成了資訊維度的風險策略和業務維度風