持续应用安全(CAS)研讨之:移动应用安全测试

攻防
1年前

20221216120533.png

【编者按】
持续应用安全(CAS)是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的,源代码阶段——构建部署阶段——上线运行阶段,全流程的安全状态。CAS可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。
持续应用安全(CAS)研讨系列文章的主要目的是,通过CAS核心能力提供者对CAS的研究,从不同的角度解读CAS,共同推进CAS的落地进程。CAS已经得到比瓴科技、酷德啄木鸟、思客云、孝道科技、四维创智、边界无限、云智信安、云起无垠等核心能力提供者的认同,目前已推出七篇文章:

持续应用安全(CAS)研讨之:ASOC
持续应用安全(CAS)研讨之:IAST
持续应用安全(CAS)研讨之:SCA
持续应用安全(CAS)研讨之:SAST
持续应用安全(CAS)研讨之:DAST
持续应用安全(CAS)研讨之:FUZZING
持续应用安全(CAS)研讨之:RASP

本文是该系列最后一篇文章。后续我们会开展更多的关于CAS的研讨内容,如CAS白皮书、CAS标准化、CAS最佳实践等,欢迎读者共同参与探讨。

  CAS是安全能力原子化概念的延深与扩展,通过离散式制造、统一式交付、集中式管理、智能式应用的方式使安全能力可持续发展,保障数字化应用的构建、上线和运营全流程的安全状态。

  CAS中每一个原子化的安全能力只需完成最小化且有意义的安全控制或操作;对客户层面展现出的特征是高度的集成、一体化的平台、多源的异构协同和多场景的灵活组合与能力编排;对能力内部展现出的特征是内部“开源”,各个原子化的技术可实现排列组合式对接,为客户不同的业务场景、业务逻辑可动态且灵活快速的做出响应与调整,提升可持续性安全能力。

  对于CAS来说,我们认为可以给客户提供更顶尖、更迅速、更灵活、更多样的持续安全能力,各个顶尖安全能力的原子化、内部的“开源”融合、原子化能力的排列组合的特性可真正实现符合业务特性的安全能力。

CAS之移动应用安全测试

  移动应用安全测试可通过一体化平台的自动化编排能力嵌入到DEVOPS的CI/CD流程中,输出相应的CAS数据形成统一的分析。移动应用风险与合规检测能力必将成为CAS关键的一环,形成可持续的安全检测识别能力。

  移动应用安全测试分为业务风险的检测与信息合规性的检测,从业务风险检测来说主要是通过一系列的分析和测试,最大限度发现移动应用中存在的技术和业务层面的安全问题,并指导开发人员进行安全问题修复,保障移动应用安全、稳定、可靠、持续运行。信息合规性检测是通过技术检测手段识别移动应用的“个人信息使用”、”身份认证权限“等内容。

  先来谈一谈移动应用风险识别检测,APP业务风险的识别能从业务、技术、管理层面提升移动应用的合规和风险管理能力,从业务层面来讲:确保客户移动应用的安全得到及时有效的修复,保障移动APP客户的个人信息安全、财产安全、移动终端安全以及移动APP业务的稳定,持续运行;从技术层面来讲:可全面了解移动APP各类风险、提升移动APP多层面的安全性、降低安全漏洞风险,规避各类损失、使应用终端符合国家以及行业安全性合规要求;从管理层面来讲:协助客户发现组织内部的安全最短板,分析企业目前的安全瓶颈,帮助组织管理者了解目前安全状况,从而增强信息安全的认知,提升内部安全能力。

  再来说一说移动应用信息合规检测,近几年,工信部不断开展推进APP侵害用户权益专项整治行动,整治对象包括三大类,即APP服务提供者(即应用软件,包括快应用和小程序等新应用形态)、软件工具开发包(SDK)提供者、应用分发平台;同时有许多典型问题:“私自收集个人信息”、“超范围收集个人信息”、“私自共享个人信息给第三方”、“强制用户使用定向推送功能”等。那么在大数据时代,每一个人在互联网中的画像都是“数据化”的,作为CAS中关键的一环,形成完善的合规检测体系,切实保障用户信息安全,为APP健康发展保驾护航是移动检测部分的重要任务,通过CAS的也必将提高移动应用的合规性和信息处理的合理性。

  总之,随着物联网、通信技术的发展,移动应用也会成为安全的“风口浪尖”,那么CAS正是目前能够保障数字化应用的构建、上线和运营全流程的安全状态的最佳路径和方式,是应用真正需要的持续安全,其中移动移动应用安全测试也会成为持续安全的关键过程。

云智信安的移动应用安全测试能力

  云智信安的检测能力和相关平台,可有效结合CAS中各类安全能力,为客户不同的业务场合和业务逻辑可动态调整检测手段和方式,赋能持续安全的目标。

移动应用脆弱性检测能力

  脆弱性检测层面,云智信安结合自研的红队武器库系统,将攻击工具进行汇总实现统一,采用静态分析和动态分析的检测方法有效的提升移动应用的脆弱性检验能力,从客户端和服务端全方位识别移动应用的安全风险问题,达到持续安全的目标。

移动应用安全测试01.png

移动应用个保检测能力

  云智信安基于对移动应用安全的专注研究和技术积累开拓研发出了APP个人信息保护指数检测平台,通过对移动应用中的合规性检测结合APP专项治理工作组的投诉平台信息,对移动应用中直接影响个人信息收集的指标项赋值,根据模型计算出APP个人信息保护指数,并以量化方式呈现的一款系统,为app专项治理工作组提供了技术支撑,为广大网民下载使用APP提供直观参考,为APP运营与创新提供合规指引。 

移动应用安全测试02.png

20221216171014.jpg

参考阅读
持续应用安全(CAS)研讨之:ASOC
持续应用安全(CAS)研讨之:IAST
持续应用安全(CAS)研讨之:SCA
持续应用安全(CAS)研讨之:SAST
持续应用安全(CAS)研讨之:DAST
持续应用安全(CAS)研讨之:Fuzzing
持续应用安全(CAS)研讨之:RASP
软件供应链安全研讨会全纪实