主题 : 几维安全CEO范俊伟:对代码进行加密或能更有效应对网络攻击
级别: 一轮秋月
UID: 286222
精华: 0
发帖: 98
威望: 0 点
无痕币: -1360 WHB
贡献值: 0 点
在线时间: 26(时)
注册时间: 2017-06-26
最后登录: 2020-08-13

0 几维安全CEO范俊伟:对代码进行加密或能更有效应对网络攻击

11月17日,由几维安全和看雪学院联合主办的“2018物联网安全行业论坛”在北京举行。几维安全CEO范俊伟在论坛上表示,由于攻击者可直接购买、拆解物联网终端,一旦获取其代码,分析代码漏洞,就可进行攻击。如果对代码进行加密,即使攻击者拿到代码,也难以分析业务漏洞并实施攻击。
几维安全CEO范俊伟

范俊伟在分享中指出,据Gartner预测,到2020年物联网将链接全球40亿的用户、250亿以上的终端设备,在此过程中将会有2500万的应用App被开发出来,沉淀出超过50万亿GB的数据,同时创造出4万亿美金的收入机会。同时,不同于传统设备和应用场景的差异化安全需求凸显。
范俊伟表示,传统模式下,大多数业务逻辑放在服务器上,其所面临的威胁多是针对服务器的攻击,而在物联网环境下,随着数字资产的产生和业务场景的变化,大量智能终端将出现在人们身边,此时,智能终端受到恶意利用和攻击将给人带来直接的安全威胁,造成信息泄露、经济受损甚至是人身安全,比如对智能汽车、智能家居产品的攻击带来的危害。

“物联网终端的安全和Web(网站)服务器的安全是不一样的。”范俊伟指出,访问Web网页,用户接触不到服务器,难以获知服务器中的业务漏洞。

而物联网终端不同,其软件部分以固件的形式存在,其中的代码等内容是所有漏洞挖掘和软件攻击的基础,由于物联网终端设备直接发到用户手里,黑灰产等攻击者也可以购买设备,然后进行拆解、提取代码、分析业务漏洞,进而实施攻击。

有什么方法能增加攻击者获取并分析代码的难度吗?范俊伟指出,安全永远都是一个对抗攻防的过程,更安全的体系构建和关键点保护能从空间上和时间上延缓攻击、提高攻击者的成本,导致其最终放弃攻击。

传统的保护方法只能增加获取代码的难度,并不能增加分析代码的难度,比如在App上加一层“保护壳”,攻击者一旦破解“保护壳”,将直接获取代码,分析业务漏洞。而如果在开发过程中就加入加密机制,把安全技术下沉到代码层,不干预代码正常的业务逻辑,这样一来,即使攻击者拿到应用或终端,也难以分析业务逻辑和漏洞。

(文/南都个人信息保护研究中心研究员 尤一炜)
几维安全:http://www.kiwisec.com/,提供专业移动安全服务。
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61684(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

这个可以看看,了解一下。
级别: 六行秋雁
UID: 298293
精华: 0
发帖: 6816
威望: 7569 点
无痕币: 6838 WHB
贡献值: 0 点
在线时间: 359(时)
注册时间: 2018-04-22
最后登录: 2024-03-29

了解了
感谢LZ分享
十方秋水,漫长旅途.
级别: 十方秋水

UID: 116295
精华: 0
发帖: 111450
威望: 122808 点
无痕币: 4249 WHB
贡献值: 0 点
在线时间: 6088(时)
注册时间: 2011-03-27
最后登录: 2024-03-09

感谢楼主分享
Total 0.046340(s) query 4, Time now is:03-29 13:15, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛