指掌易解读rsac 2020|预见移动业务安全保障技术新趋势
- 作者: 指掌易科技
- 分类:新闻
4月17日,第十二届信息安全高级云论坛暨美国rsa热点研讨成功召开。会议由公安部网络安全保卫局指导,中国计算机学会主办,ccf计算机安全专业委员会、绿盟科技集团、360 集团承办,以“以人为本”为主题,探讨2020 rsa最新、前沿的网络安全技术,从国家政策、产业发展、技术趋势等角度展开思考与碰撞,共同推动中国网络安全产业发展。
基于指掌易在移动业务安全领域多年的技术积累,指掌易技术副总裁庞南受邀出席,围绕《rsac2020对业务移动化场景的启示和思考》这一主题,与业内专业人士进行讨论和交流。
以下是指掌易技术副总裁庞南在本次会议中,结合rsac2020会议的主题和热点趋势,就业务移动化场景安全保障这一细分领域的五大核心技术趋势的核心观点实录。
有哪些人为因素的威胁
企业移动业务场景由云、管、端构成的完整架构,端是指企业使用的移动设备,以及移动设备上运行的和业务相关的应用,移动互联网作为数据传输的管道,在服务侧会有大量的移动业务应用产生的资产数据的分布。在云、管、端的移动业务场景下,具体有哪些人为因素的威胁呢?庞南认为主要体现为以下四点:
-
恶意攻击者。恶意攻击者对移动业务场景造成的威胁覆盖了云、管、端,包括数据窃取等这些恶意攻击的危险。
-
终端的用户。终端的用户因为安全意识的不足,导致无意或者是有意将企业内部信息数据泄露到外面,造成严重影响。
-
供应链端。很多app的开发往往涉及到第三方sdk的集成,可能会涉及到在端侧非法采集用户的个人信息。
-
移动业务的运营者。移动业务的运营者在方案的技术路线决策的时候,如果忽略个人信息保护和个人隐私保护,也会存在人为因素的威胁。
面向移动业务场景的安全威胁,在部署网络安全保障的过程中,需要采用有效的控制措施来避免这些风险。
安全保障移动业务化的五类技术发展趋势
趋势一:移动业务场景需要更安全、更便捷的iam
访问控制是网络保护过程中保证数据机密性、完整性非常重要的一类控制措施,身份识别与访问管理(iam),是这类访问控制的基石。但是在移动业务场景中,应用的形态是非常复杂的,包括门户应用、在门户应用中嵌套大量的h5以及轻应用,以及门户应用之外的其他具体与业务相关的原生应用。因此,在byod移动办公场景中,如何实现安全和快捷的身份管理和认证,是用户非常关注的一个需求。
• mfa 多因素认证
− tee/se
− nfc/bluetooth key
• fido2 无密认证
• iam 统一身份和认证管理
• 企业级sso 单点登录
零信任这一概念,尤其是在访问接入方面,仍是较为关键的热点技术趋势。包括在spa单包授权机制、动态访问控制、持续性的威胁监测等方面能够较好的实现服务端资产的隐藏,减少互联网暴露面,进一步减小了被攻击的风险。另外,csa联盟面向云计算安全领域提出的sdp技术,在移动安全接入这一细分领域也有很好的参考意义。
未来,把移动端的安全接入和pc端安全接入,通过sdp的方案整合成统一端点的安全接入,是一个主要发展趋势。
api安全包括了api威胁保护和api访问控制两部分内容。我们了解到用户对api的访问控制需求是非常旺盛的。通过把waf、api管理和iam联合一起的技术路线,可以有效控制api暴露风险,实现保障合法的用户在认证和授权的合理框架下合理访问api。