网站推广.NET

网站推广.NET

蚂蚁安全方面:与业务交织并平行的新安全防御概

来源:互联网

在今年的2020 BCS北京安全会议上,蚂蚁集团副总裁魏涛介绍了蚂蚁的“安全方面”防御系统。在刚刚结束的外滩会议和IoT安全子论坛上,Ant的Zhao Hao介绍了IoT场景中安全方面的重要安全价值。在本文中,我们将讨论安全方面。

赵昊在外滩会议上分享了“构建物联网防御的安全方面”

什么是板块?

方面,即方面,面向方面的编程(AOP,面向方面的编程)。它是一种编程范例,可以动态地向程序添加功能,而无需通过预编译,运行时动态代理或注入来修改源代码。 AOP追求调用者和被调用者之间的解耦,并提供跨模块功能的融合。 AOP适用于解决程序中涉及横切的系统功能。这些功能通常很难通过过程编程或面向对象的编程来解决。随后,它由AspectJ,Spring等实现并应用。

安全方面,将方面的思想扩展到安全系统

安全方面防御是Ant Security提出的一组新的安全防御概念。它的核心思想是建立一组相互关联且与业务平行的安全层,以便安全性可以渗透到业务逻辑中,以实现详细的观察以及攻击和防御;同时,它确保业务和安全性脱钩,使业务和安全性独立且独立快速发展。也就是说,“内生”和“解耦”必须同时存在。

上图描述了安全方面的内源性和去耦性。下图显示了蚂蚁移动终端的安全方面防御系统的示意图。安全方面防御层嵌入整个APP的框架中,同时保持独立的操作规则引擎和升级功能; APP中所有与安全性相关的关键接口均受各个方面的保护。另外,安全方面在判断呼叫是否合理时,将追溯检查该呼叫的链接信息,并查看该链接的呼叫风险,以做出准确,全面的判断。

蚂蚁的移动安全方面

安全方面的优点是什么?什么问题可以解决?

通常,这是因为现代终端操作系统的某些安全机制无法再满足移动互联网和物联网的实际安全要求。满足实际攻防需求的安全方面系统。

这是两个例子。

首先,提供一个供应链安全的示例。移动和物联网都将集成大量第三方SDK。这些第三方SDK是由第三方开发的,其安全级别参差不齐,甚至可能隐藏恶意代码。

从应用程序角度来看,由于功能要求,我们必须集成一些由其他公司开发的第三方SDK,其中大多数甚至是黑盒集成。从操作系统的安全性机制的角度来看,一个应用程序是一个整体,将不再有细分的安全性角色。这整个共享所有应用程序标识权限,文件存储和用户敏感信息等,并在同一进程空间中运行。因此,在应用程序中,就操作系统而言,就安全性控制的粒度而言,我们自己的代码和第三方SDK的代码是密不可分的。

以下是由第三方SDK引起的一些最近的安全和隐私风险事件。这样的每一次事件都可能对用户的安全和隐私造成严重的风险。

第二个示例与安全性构建和治理有关。随着业务的爆炸性发展,相应技术设施的复杂性也成倍增加,安全建设和治理常常受到复杂的技术设施和业务场景的限制,进展缓慢。由于各种问题,它通常会停滞甚至回滚。此外,缺乏对技术体系结构和安全功能的长期规划导致长期安全技术责任加剧,同时又迅速实现了短期业务目标。当治理这种技术债务时,它将遇到刚刚提到的各种阻力。坦率地说,如果不发布业务,则无事可做。

这时,需要一种可以与代码逻辑和业务逻辑交织的安全机制,以及一种可以独立地将安全性与业务开发分离的技术框架。可以实现不释放业务,仍可以进行安全治理,实现“可治愈”,能够与攻击者对抗(黑色和灰色产品),实现“可竞争”。

从技术架构的角度,我们总结了安全方面防御系统的核心概念,主要功能和特征:

l安全方面逻辑已集成到最终应用程序基础结构中;

l通过恢复通话链接,可以实现安全的洞察力和可追溯性,感知能力强;

l通过代码节点信息分析并在应用程序中找到更完善的角色信息;

l与企业脱钩,无需进行业务代码更新即可进行安全管理。

安全方面+

安全方面对物联网的主要好处如下:

l零散的IoT安全环境的封装:IoT生态系统非常零散,并且系统差异很大。通过安全性方面来平衡不同物联网安全环境之间的差异,并为上级服务提供相对统一的安全环境和安全机制。

l硬件和软件供应链中的恶意行为可追溯性:即通过安全方面的可追溯性功能,对物联网供应链中恶意行为的可追溯性和分析。

l风险模块的软隔离:通过调用风险模块实现强大的安全管理和控制,以实现安全隔离。

l此外,可以快速响应并处理风险事件等。

在支付宝的IoT业务中,安全方面防御系统已在支付宝的IoT小程序技术架构中实施。支付宝的IoT小程序是Ant为开发人员开发的IoT应用提供的平台。它与Alipay小程序共享一套技术架构,并针对IoT场景进行了定制和优化。开发人员可以快速开发物联网小程序,以满足各个行业的差异化需求。

基于物联网的安全方面防御系统,我们实施了支付宝的物联网小程序来封装和屏蔽安全环境中的差异,在运行时小程序安全虚拟沙箱,以及小程序阻止恶意行为。它还包括对风险行为的实时分析和感知,对风险事件的快速响应等。

我们的团队有一个名为“切面拉面Jajangmen团队”的小组。我们提供各种安全解决方案,以保护商人和消费者并实现包容性和安全性的金融服务。这碗“切面”是我们新创造的一道菜,味道还不错,欢迎品尝:)

免责声明:本站内容仅用于学习参考,信息和图片素材来源于互联网,如内容侵权与违规,请联系我们进行删除,我们将在三个工作日内处理。联系邮箱:chuangshanghai#qq.com(把#换成@)

上一篇餐厅的旅客流量减少?开发小程序:轻松并大大增

下一篇实用优化文章:关于SEO关键词分析和优化策略

其他文章