导语:
通过对PC和移动时代在终端上的威胁和风险模型进行比较,分析移动威胁模型和风险分布的特点。对过去几年在海量移动终端上呈现的长尾分布现状做介绍,并对新的移动威胁变化和迁徙进行分析。从终端上的威胁分布,延伸到移动互联网生态和产业链构成,以及延展到移动互联网新型业务,进一步探讨和分享如何在新的移动和物联网安全场景下重新正确认识威胁现状,防范风险。
安天移动安全公司CEO潘宣辰
嘉宾演讲正文:
非常高兴有机会能够站在这样的舞台跟大家做一个分享,这个报告从2015年开始已经在很多地方分享过了,今天时间比较有限,是一个简单的分享。我相信在座的很多人应该是可以有一个统一的感受,从08年、09年在安卓包括苹果出来以后,大家心里想的第一个问题,我们当时看到移动互联网的时代和04、05年诺基亚那个时候发了非常好的智能手机之后是不一样的,包括到今天大家再回头往前看,大家也会有一个想法,我们今天移动互联网远远超出大家在当时的想像,我们整个移动互联网的发展有很大的差异性,现在整个移动互联网在安全的事件上,还有威胁上,不管是新的威胁,还是新的威胁量上一些新的现象,和以前PC的时代是不一样,我今天这个报告会从这些点的不一样角度出发,安天是在国内反病毒和威胁对抗领域有一个非常深底蕴的公司,从2000年城市一直在一线,安天2010年专门成立一个团队做移动威胁的检测和对抗,今天的报告也是把我们从10年到过去7年的时间,把看到的一些情况,尤其移动威胁在国内和国外看到的一些情况跟大家分享一下。
我今天分享报告会从三个纬度跟大家分享,第一个是升级,第二个是迁徙,第三个是改变。
首先第一个是升级,以前的PC时代的恶意代码有一个现象,就是当有第一个人中了病毒或者木马的时候,出现了第一个受害案例的时候,传播的规模和传播的方式往往是从一台主机到两台到四台,绝大部分PC上的恶意代码无论是病毒还是蠕虫,大部分都是符合这样的一个情况的。前段时间还有“勒索蠕虫”,将大家拉回到了05年的场景。以前的PC时代的恶意代码是一个速度和深度的对抗,它的增长曲线很快,如果没有足够的速度的话,两个小时感染的主机量是几千台,八个小时感染的是几十万台,速度很快。
深度,是防御的深度,不管面对消费者市场还是面对企业级的市场,在这个曲线点上有一个遏制,表现了在PC时代的一个进度。目前除了在极少数不典型的案例之外,我们在移动上其实没有看到可以直接打穿到某一个主机或者某一个手机的攻击方式,今天面临短信的骚扰和电话欺诈的骚扰,没有直接穿透的攻击路径和攻击目标标定。所以它的底层架构是一个服务化的架构,它先天运行大量的服务,也是给攻击者开了很多的窗口,但是对于移动的平台先天本身来看是双操作系统的架构,本身其实是一个功能型和一个本地服务型的架构,在移动上来讲终端到终端之间,包括终端本地的话,是没有通过太多的服务进行关联,主要是用标定的方式进行通讯式的链接。在移动终端上有一个天然的碎片化,包括移动的特性直接决定了整个网络的行为,包括活动的特性,我需要连上一个网线,这个直接限制和决定了我们PC在这个范围内。包括今天可以看到一个很大的点就是,不管3G、4G在弹性和动态的个性上越来越加强,你在这个地方连接的基站到下一个基站群的时候,整个网络策略会发生变化,到现在也没有大规模可传递式的探测的入口,但对移动来讲虽然也是一个大区域网的概念,但是背后主机不断的变化,这种探测扫描时效性非常短。
在移动时代攻击的前提和场景不一样之后,那以前是一个增长曲线,到今天看到是非常少的,甚至几乎不存在了。11年、12年、13年、15年对于比较主流的,移动的恶意代码所导致的威胁行为,如果做一个标签可以看到13年发现一个典型,13年之后绝大部分移动的威胁恶意代码,90%以上都和移动上的承载个人隐私相关,这个直接体现和反应了一个结果,这是我们在移动终端上网络流量上恶意代码传播的一个分布的分析,包括我们是在15年、16年、17年恶意代码家族的一个分析,都能看到一个基本的情况是,在移动时代我们迎来非常典型的曲线,是一个长尾曲线。
我相信有的人遇到过一些意外的遭遇,比如预定了一个航班,两个小时立马接到一个短信,告诉你打一个电话,说这个航班要取消了,要做什么操作,其实这是有很多逻辑和道理的。那把整个长尾发现的恶意代码包括一些威胁深度剖析一下,在整个长尾上不同的部分之间其实是有内在的关联和关系的。
我大体上分成三个部分,第一个是长尾的头部,第二个是长尾的中部,它的身体,第三个长尾的尾部。大体上有几种关系,一种关系是流量型控制,第一个是流氓的广告,包括打一点擦边球的应用、小工具,包括一些比较诱导你们下载的一些应用,基本上占据了整个长尾的头部。那在头部来看它和后面整个升级和长尾上最直接的关系,它其实有一个流量型的倒流和控制的一个关系,那基本上可以发现在升级当中绝大部分的真实的起到恶意功能的,不管是窃取你的隐私,还是在你的移动终端上进行深度埋伏和隐藏的,还是对你手机进行远程控制和监管的,你会发现它有很大一部分流量和来源是从前面的这样一些头部应用倒过来的。其实不管是头部还是身体上应用,其实贡献的很大的一部分就是隐私泄露,这直接导致的一个结果是,绝大部分长尾上的恶意代码在进行攻击的时候,攻击目标到达的时候,基本上都是一些重度隐私泄露。大家发现攻击貌似很了解你的行为轨迹,他知道你的联系人和名称,知道你下一步航班和你的行程的安排,你会发现它是有些内在的联系。在这些长尾的头部、身部和尾部来看的话,我们在进行恶意代码检测和捕获的时候,你会发现恶意代码本身的特性也是不一样的,比如说头部的话比较难,它制造成本比较低,而且定性的,你很难界定有的时候是不是一定是纯恶意的,它的手段比较多样性,这是比较简单粗暴的,有的只需要偷你短信的来电码,或者诱导你重新做一个什么新的事情,或者给你发一个伪装制造本地的短信,让你安装一个可以提交你银行帐号的密码之类的。在每个点上恶意代码策略也是不一样的。
在整个长尾上不同的头部、身体和尾部是分步进行了,而且是可以进行交易的,比如我在头部流量可以卖给后面的人,恶意代码和其他拿到的主机或者隐私还可以卖给别的人,包括可以卖给专门去做隐私的萃取,有的恶意代码的攻击者和黑产他们提供的是一些服务,是按小时收费的,可以按小时购买部分移动终端,所以你会发现其实整个背后阶段性和服务性和产业链是非常明显的。
前面铺垫完之后,我们看到以前在PC时代很多的攻击,甚至绝大部分攻击最终的一个走向诉求都是一个很强的规模化的走向,从1到2,从2到10,百千万,而且移动时代你会发现要么直接跳转到很精准到你攻击的对象,要么分阶段分时间歇性到达对象,其实体现的一个很直接的效果是,在感知度上,包括在受害者用户分布上,我们在移动时代今天感受到了威胁,和以前PC时代感受的威胁不一样,以前PC时代感觉像是传染病一样的,今天的话比如一个人感冒了在咳嗽,周围的人觉得会被传染。而对移动今天有一个攻击手段和攻击的方式可以在场的攻击,是一个靶向的攻击,可能只会攻击在座的小米手机的人,或者是某个特定的,所以有很直观的感受是攻击的效率和精准性比以前要高了很多,能够直接感受到移动威胁,包括大家知道有移动威胁的时候,它本身的攻击路径和以前发生了很大的变化。
第一次认识包括用长尾这个视觉看移动威胁的时候是在15年,包括15年、16年到现在都会把长尾上的分布看一下,从目前来讲基本上可以看到的是,以前还要大量的PC攻击者不断涌入到这个场景当中,现在电信的欺诈,包括新的攻击的手段,包括在移动上互联网上越来越有新的目标,攻击的价值点不同,包括刚才介绍了刷流量,攻击新的收益点在增加。现在还有新攻击的模式和攻击的场景,用更多的开源的技术,用更好的对自己的伪装,在16年发现很多新的攻击的方式出现,比如通过你的移动终端污染你路由器,然后攻击到你的内网之后,直接攻击内网当中的交换机、路由器或者是其他的主机,这些场景其实在16年之后都在大量的新增和快速的出现,我们其实大体上看到15年之后长尾上一个很明显的状态是,朝长尾的两头进行演化。第一个是越来越朝头部转化,因为头部有规模效应,另外一个是朝长尾上转化,它的攻击的精准性和单点的高收益性和价值非常高,以前PC时代需要感染一万个主机,锁定1000个受害者,其中有100个能够获得收益的受害者,但是移动时代只需要攻击1000个移动终端,高级职的受害者,这个长尾是在朝两头,这是我们15年之后一直看到的一个基本的情况。
整个迁徙是三个走向,规模化、精准化以及新的场景和新的路径,尤其现在随着整个移动互联网不断的演化、融合,包括对我们传统企业级包括人生活的场景渗透来看,我们相信在17、18年包括19年之后,尤其是在中国当前整个移动互联网发展速度如此高速的情况下,还会有大量的新的场景和新的路径,会不断的出现。
最后和大家分享一下改变在哪里,这个也是我们在10年专攻这个威胁的技术,15年展开一些商业化之后,也是看到了整个中国和全球移动互联网很大不一样的地方,我们今天感受到的互联网远远不是在10年、11年我国我们想像的样子,我相信在2020年再回头看今天,很多事情也不是我们今天所想像的样子。在今年第一个季度,用了5年的时间,整个移动终端平台哪怕是仅仅安卓操作系统平台,已经在数量上超过了微软,如果加说苹果的分量,目前微软的操作平台已经落后了。在过去5年也是大数据的技术,包括云的技术,以大量新的业务的包括应用的,消费指标和企业级的场景不断涌现出来的5年。你会发现一个很现实的状况,整个移动互联网在国内包括在海外来看的话,发现了很不一样的路径,今天大家慢慢会发现越来越多的行为会在移动终端上发生,而不是PC上发生,包括今天行为以前是在PC为主,但现在来看90%行为甚至已经从移动终端发生,像支付宝、淘宝的一些购买的行为来看的话,有80%、90%已经从移动端出发,不仅仅是操作系统位置的变化,而且是大家的行为和生活方式的一个变化。
回到以前的长尾来看,移动和PC时代的供应链不一样的,以前的PC时代是有因特尔联盟的,包括芯片和主板的架构系统,其实简化了整个PC供应链的模式,包括构成的方式,包括上面软件的基础架构,但是对我们移动来看的话,我们其实可以发现在芯片、设备、操作系统、应用包括管道和内容的分发来讲,看移动的设备在前面整个芯片来讲,涉及了2000个以上的供应商,和整个供应体系,实际上这里面有60%的供应只要出一点点问题,都会面临很大的风险。不管是供应链的碎片化,还是设备、操作系统包括应用,包括网络,包括内容,供应链碎片化的一个基调形成了完全和以前PC不一样的格局。这种带来威胁分布导向的话,不仅仅是攻击者的诉求也在,也是整个供应链大的特点导致的。
在这种长尾的情况下可以看到,在这种大的威胁的场景和逻辑下,移动安全的公司商业的格局的逻辑,包括安全、产品和技术的路径,不管是个人还是企业级,以及到最后我们再进行移动的威胁,怎么样去和这种长尾碎片化进行对抗的时候,它所带来的这种逻辑的改变和起到颠覆的效果是超乎大家想像的。比如商业的格局和以前不一样,以前的PC时代杀毒软件是非常主流,不亚于浏览器一线流量级入口的产品,但是在移动的时代,杀毒包括安全工具也好,更多形成分布式的和一个碎片化的,没有那么强的流量聚合项的一个场景,所以你会发现它其实导致价值商业格局的改变。今天可以看到在国内和国外,各种各样巧合和偶然,你会发现海外形成以谷歌、苹果为主的移动安全的格局,国内是一个开放性的生态。
从今天来看我们整个供应链和这些基础设备和基础设施的服务提供商,其实是前所未有的数据安全。以前在PC时代,才开始在芯片层面、虚拟化层面开始注重,但是今天基础供应链和基础设施,海外和国内来看其实是相当注重安全的。这是对谷歌的一个剖析,从08年到现在整个安卓的操作系统形成非常系统性安全的布局,其实谷歌是一个开放式的模式,其实也形成了一个以自己的操作系统平台为中轴的主导,上下游可以去合作的模式。苹果相对来讲独特一点,它自己在底层有自己的安全处理器,构成了一个很自闭和安全生态的体系,全球最大的移动安全厂商我会说是苹果,每年在移动安全上的投入超过50亿美金以上。
在这个背景下你会发现以前我们在PC时代,我们可以去缩短检测响应时间,我们可以去提高威胁捕获的效率,我们可以通过云检测的手段优化这个能力,我们可以通过大数据的分析,然后去局部提高我们对于一些未知的预判能力,也可以基于原来的PC时代的边界和传统的安全策略,形成一个比较有效的安全的防御体系。但对移动来讲,其实你会发现基本上在这样一个长尾的驱动下来讲,包括移动本身来讲,防御需要更加强,包括我们在样本的界定上是需要高度依赖于用户行为和上下游的,因为同一个应用在不同的终端上,不同用户的操作行为包括的行为是截然不同的,以及包括怎么样利用好新的移动终端和末端,包括怎么系统性威胁的架构上,体系上进行学习和人工智能。我们以前看绝大部分安全能力是强调分类,强调策略统一,其实想起到的效果是以一抵十和以一抵百,但对移动上来讲我们会强调低频威胁和风险,碎片化的威胁怎么样防御,这个要求比较高。
我们来看一下安天移动的思路和方法,还是希望能够通过自己在威胁检测和威胁防御的基础能力,能够在供应链这个体系形成新的基础设施的安全的渗透能力。今天我们已经在芯片和其他的芯片上进行合作,手机厂商在国内覆盖到80%以上手机的厂商,系统已经自带了核心安全的能力,包括整个上游运营商供应商,我们希望是一个渗透型基础设施的重构,在这个重构基础上重新形成商业价值,威胁事件的响应包括防御的效果和驱动能力,反哺到后端的信息,然后最后形成一个对移动威胁长尾对抗的效果。
我今天的分享就到这里,也希望大家去看到未来5年我相信还是整个移动威胁不断演化的,希望通过我们的方式能够带来一些新的安全的方式形成新的安全防御的效果。谢谢大家。
本文由阿里聚安全编写,转载请注明出处。
阿里聚安全
阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。
