后疫情時代,在新冠戰“疫”中扮演了“核心武器”的小程序,因其在金融科技領域應用范圍的爆發式擴展,其安全問題成為本屆大會的重要關注點之一。
小程序成“無接觸金融”擴延“加速器”,安全性是基礎考量
移動支付、數字貨幣、云計算、5G等技術日趨場景化的普及應用,使得銀行、保險、證券等金融機構加快了向“無接觸生產及服務”邁進的迭代步伐。突如其來的新冠疫情和持續鋪展的新基建版圖,更是為數字化、智能化的“無接觸金融”造就了加速擴延的新契機。
在疫情期間,各類金融小程序因低開發門檻、強用戶體驗和快速上線并迭代的特性,而成為金融行業助力企業復工復產的重要數字化工具。新金融生態下,小程序已成為金融行業加速業務轉型和數字化發展的重要平臺。
然而,伴隨著高價值業務渠道和資源的遷移,金融小程序也因暴露面增加和原有安全策略的缺失而面臨著更為嚴峻的安全局勢。確保“0”大型平臺問題,“0”數據安全問題的安全標準,加之復雜的跨網交換和成倍增加的運營壓力,都向小程序應用發起了更大的挑戰。
來自騰訊云的安全架構師魚勇在App安全與個人信息保護論壇上,就分享了自己的看法——當前,金融小程序面臨的安全風險主要表現在三大方面。一是在小程序與微信交互的開發過程中,開發者為追求上線速度而未能規范使用開發API,將帶來因用戶信息泄露所衍生的業務營銷身陷“薅羊毛”的風險;二是作為小程序安全最為薄弱的環節,小程序在與第三方服務器業務邏輯交互過程中,可能存在用戶信息泄露、訂單盜刷等安全風險,甚至出現“仿冒與山寨”小程序;三是與小程序交互的第三方服務器本身或存在SQL注入、管理員口令泄露等Web安全風險,從而導致金融小程序數據被爬取、破解,帶來數據泄露風險。
這些安全風險,背后都是小程序行業客觀現實。首當其沖的,就是建立安全防御的時間沖突。作為一種更輕量化、強調快速開發能力的應用開發方式,小程序的時效要求一直很強,往往也就沒有了安全建設的時間;第二是小程序所需的安全能力是復雜多樣的:小程序本身的代碼需要確保安全、小程序部署的服務器需要確保安全、小程序本身內嵌的業務邏輯需要確保安全,復合的安全能力需求,一般公司和開發員工并不一定全部具備。最后是小程序對于整個系統的潛在安全威脅,小程序通常會跟企業自身的數據庫,其他形式應用相通,小程序沒有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多樣的客觀事實。
在魚勇看來,在金融行業大步向數字化轉型邁進的趨勢下,小程序作為其業務服務場景擴延和拓客的主要工具,其安全性也已成為以小程序為載體的金融業務開展不可忽視的基礎考量,對于金融“無接觸”服務的擴延至關重要。
貫穿前后端全場景,打通開發運維安全一體化部署鏈路
針對已全面瞄準小程序開發前后端的潛在安全風險,魚勇認為應將安全性納入到整個開發的全過程,打破“補丁式”安全策略限制,強化小程序原生安全能力,打通開發運維安全一體化的部署鏈路,是筑牢金融小程序應用與發展底座的有效途徑。
基于這一思路,騰訊結合20余年的安全攻防積淀和在微信小程序開發運營場景中的防護實踐,提出了一套覆蓋小程序開發全流程的安全部署方案,旨在打通小程序前端和后端的安全鏈路,為金融行業提供兼具開發和運營的全方位小程序安全防護,從而助力“無接觸”業務的推行與平穩發展。
以自動化檢測小程序安全性的機制為例,就必不可少。小程序的數量持續激增,實現自動化檢測的重要性異常凸顯。以騰訊安全自己的小程序安全自動化檢測技術方案為例,這套自動化檢測方案主要由兩部分組成;位于底層的掃描器用來檢查常見的基礎安全問題,例如通用web風險、微信API掃描、代碼安全等等。而用AI驅動的小程序爬蟲,則主要用來模擬人為操作中的安全漏洞,例如點擊、輸入、滑動等等。有效解決小程序快速上線與安全性保障之間的矛盾,盡可能從源頭上剔除安全風險。
在小程序與后臺的連接交互方面,騰訊還結合自己豐富的攻防經驗,以及七大頂級安全實驗室技術優勢,對小程序進行滲透測試,通過截獲網絡數據、業務數據篡改、API調用數據監控等手段,進一步挖掘小程序運行過程可能存在的安全“突破口”,從而確保整個后端服務器的安全,杜絕因某個小程序被攻擊而帶來的連鎖反應。
不過這遠不是騰訊在小程序上投入的全部,騰訊安全還在持續推進小程序輸出云原生概念的,通過更新的技術、更完善的理念,推進DevOps技術,將需求、設計、自動化檢測全面融入開發流程中,從而滿足用戶開發運維一體化的安全部署需求。
本文地址:http://m.murenxiang.com.cn//article/2020/1117/21725.html