后疫情時(shí)代,在新冠戰(zhàn)“疫”中扮演了“核心武器”的小程序,因其在金融科技領(lǐng)域應(yīng)用范圍的爆發(fā)式擴(kuò)展,其安全問(wèn)題成為本屆大會(huì)的重要關(guān)注點(diǎn)之一。
小程序成“無(wú)接觸金融”擴(kuò)延“加速器”,安全性是基礎(chǔ)考量
移動(dòng)支付、數(shù)字貨幣、云計(jì)算、5G等技術(shù)日趨場(chǎng)景化的普及應(yīng)用,使得銀行、保險(xiǎn)、證券等金融機(jī)構(gòu)加快了向“無(wú)接觸生產(chǎn)及服務(wù)”邁進(jìn)的迭代步伐。突如其來(lái)的新冠疫情和持續(xù)鋪展的新基建版圖,更是為數(shù)字化、智能化的“無(wú)接觸金融”造就了加速擴(kuò)延的新契機(jī)。
在疫情期間,各類金融小程序因低開發(fā)門檻、強(qiáng)用戶體驗(yàn)和快速上線并迭代的特性,而成為金融行業(yè)助力企業(yè)復(fù)工復(fù)產(chǎn)的重要數(shù)字化工具。新金融生態(tài)下,小程序已成為金融行業(yè)加速業(yè)務(wù)轉(zhuǎn)型和數(shù)字化發(fā)展的重要平臺(tái)。
然而,伴隨著高價(jià)值業(yè)務(wù)渠道和資源的遷移,金融小程序也因暴露面增加和原有安全策略的缺失而面臨著更為嚴(yán)峻的安全局勢(shì)。確保“0”大型平臺(tái)問(wèn)題,“0”數(shù)據(jù)安全問(wèn)題的安全標(biāo)準(zhǔn),加之復(fù)雜的跨網(wǎng)交換和成倍增加的運(yùn)營(yíng)壓力,都向小程序應(yīng)用發(fā)起了更大的挑戰(zhàn)。
來(lái)自騰訊云的安全架構(gòu)師魚勇在App安全與個(gè)人信息保護(hù)論壇上,就分享了自己的看法——當(dāng)前,金融小程序面臨的安全風(fēng)險(xiǎn)主要表現(xiàn)在三大方面。一是在小程序與微信交互的開發(fā)過(guò)程中,開發(fā)者為追求上線速度而未能規(guī)范使用開發(fā)API,將帶來(lái)因用戶信息泄露所衍生的業(yè)務(wù)營(yíng)銷身陷“薅羊毛”的風(fēng)險(xiǎn);二是作為小程序安全最為薄弱的環(huán)節(jié),小程序在與第三方服務(wù)器業(yè)務(wù)邏輯交互過(guò)程中,可能存在用戶信息泄露、訂單盜刷等安全風(fēng)險(xiǎn),甚至出現(xiàn)“仿冒與山寨”小程序;三是與小程序交互的第三方服務(wù)器本身或存在SQL注入、管理員口令泄露等Web安全風(fēng)險(xiǎn),從而導(dǎo)致金融小程序數(shù)據(jù)被爬取、破解,帶來(lái)數(shù)據(jù)泄露風(fēng)險(xiǎn)。
這些安全風(fēng)險(xiǎn),背后都是小程序行業(yè)客觀現(xiàn)實(shí)。首當(dāng)其沖的,就是建立安全防御的時(shí)間沖突。作為一種更輕量化、強(qiáng)調(diào)快速開發(fā)能力的應(yīng)用開發(fā)方式,小程序的時(shí)效要求一直很強(qiáng),往往也就沒(méi)有了安全建設(shè)的時(shí)間;第二是小程序所需的安全能力是復(fù)雜多樣的:小程序本身的代碼需要確保安全、小程序部署的服務(wù)器需要確保安全、小程序本身內(nèi)嵌的業(yè)務(wù)邏輯需要確保安全,復(fù)合的安全能力需求,一般公司和開發(fā)員工并不一定全部具備。最后是小程序?qū)τ谡麄€(gè)系統(tǒng)的潛在安全威脅,小程序通常會(huì)跟企業(yè)自身的數(shù)據(jù)庫(kù),其他形式應(yīng)用相通,小程序沒(méi)有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多樣的客觀事實(shí)。
在魚勇看來(lái),在金融行業(yè)大步向數(shù)字化轉(zhuǎn)型邁進(jìn)的趨勢(shì)下,小程序作為其業(yè)務(wù)服務(wù)場(chǎng)景擴(kuò)延和拓客的主要工具,其安全性也已成為以小程序?yàn)檩d體的金融業(yè)務(wù)開展不可忽視的基礎(chǔ)考量,對(duì)于金融“無(wú)接觸”服務(wù)的擴(kuò)延至關(guān)重要。
貫穿前后端全場(chǎng)景,打通開發(fā)運(yùn)維安全一體化部署鏈路
針對(duì)已全面瞄準(zhǔn)小程序開發(fā)前后端的潛在安全風(fēng)險(xiǎn),魚勇認(rèn)為應(yīng)將安全性納入到整個(gè)開發(fā)的全過(guò)程,打破“補(bǔ)丁式”安全策略限制,強(qiáng)化小程序原生安全能力,打通開發(fā)運(yùn)維安全一體化的部署鏈路,是筑牢金融小程序應(yīng)用與發(fā)展底座的有效途徑。
基于這一思路,騰訊結(jié)合20余年的安全攻防積淀和在微信小程序開發(fā)運(yùn)營(yíng)場(chǎng)景中的防護(hù)實(shí)踐,提出了一套覆蓋小程序開發(fā)全流程的安全部署方案,旨在打通小程序前端和后端的安全鏈路,為金融行業(yè)提供兼具開發(fā)和運(yùn)營(yíng)的全方位小程序安全防護(hù),從而助力“無(wú)接觸”業(yè)務(wù)的推行與平穩(wěn)發(fā)展。
以自動(dòng)化檢測(cè)小程序安全性的機(jī)制為例,就必不可少。小程序的數(shù)量持續(xù)激增,實(shí)現(xiàn)自動(dòng)化檢測(cè)的重要性異常凸顯。以騰訊安全自己的小程序安全自動(dòng)化檢測(cè)技術(shù)方案為例,這套自動(dòng)化檢測(cè)方案主要由兩部分組成;位于底層的掃描器用來(lái)檢查常見的基礎(chǔ)安全問(wèn)題,例如通用web風(fēng)險(xiǎn)、微信API掃描、代碼安全等等。而用AI驅(qū)動(dòng)的小程序爬蟲,則主要用來(lái)模擬人為操作中的安全漏洞,例如點(diǎn)擊、輸入、滑動(dòng)等等。有效解決小程序快速上線與安全性保障之間的矛盾,盡可能從源頭上剔除安全風(fēng)險(xiǎn)。
在小程序與后臺(tái)的連接交互方面,騰訊還結(jié)合自己豐富的攻防經(jīng)驗(yàn),以及七大頂級(jí)安全實(shí)驗(yàn)室技術(shù)優(yōu)勢(shì),對(duì)小程序進(jìn)行滲透測(cè)試,通過(guò)截獲網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)篡改、API調(diào)用數(shù)據(jù)監(jiān)控等手段,進(jìn)一步挖掘小程序運(yùn)行過(guò)程可能存在的安全“突破口”,從而確保整個(gè)后端服務(wù)器的安全,杜絕因某個(gè)小程序被攻擊而帶來(lái)的連鎖反應(yīng)。
不過(guò)這遠(yuǎn)不是騰訊在小程序上投入的全部,騰訊安全還在持續(xù)推進(jìn)小程序輸出云原生概念的,通過(guò)更新的技術(shù)、更完善的理念,推進(jìn)DevOps技術(shù),將需求、設(shè)計(jì)、自動(dòng)化檢測(cè)全面融入開發(fā)流程中,從而滿足用戶開發(fā)運(yùn)維一體化的安全部署需求。
本文地址:http://123beaconmarketing.com//article/2020/1117/21725.html