随着移动互联网的快速普及,用户通过一部智能手机就可以随时随地享受各种线上线下服务。在用户感受移动应用快速发展带来的各种便捷时,个人信息泄露、盗用、贩卖等事件时有发生,移动应用作为收集使用个人信息的重要入口,已经成为个人信息泄露的重灾区,受到广大消费者的广泛关注并因此引发担忧。
当人们的工作生活重点逐渐转移到移动端时,移动应用个人信息的保护将不能再局限于传统的边界防护,零信任安全理念因其技术特性进入安全从业人员的视野。纵观诸多零信任落地案例,它们或基于网络层面的虚拟身份安全边界建设、或聚焦于用户身份的持续认证、或专注于系统内部的流量精细控制与隔离,但是目前尚缺乏基于零信任的移动应用个人信息防护方案。
一、移动应用已成为个人信息泄露的重要途径
近年来,中国消费者协会在开展消费维权工作中发现,消费者反映比较突出的个人信息问题主要集中在手机App过度索权、消费者个人信息被泄露、非法推送商业信息、“大数据杀熟”以及敏感个人信息的非法处理等方面。
2020年315晚会曾报道,上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司提供的第三方SDK,均在“未经用户授权,用户不知情”的情况下窃取用户个人信息,读取了用户设备中包括电话号码、短信记录、通讯录等各类个人信息。
为了规范App使用个人信息的行为,2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“规定”)。《规定》第五条划定了39类应用最小必要个人信息和权限范围。
App违规使用个人信息行为的情形可能是App运营者基于业务推广、经济利益等驱动,也可能是App自身软件代码存在问题但APP运营者未能有效发现,亦或是集成在App中的第三方业务代码所为。对于App开发者而言,为了快速抢占市场、减少业务上线交付所需时间,在实际开发中大量使用了第三方软件开发商提供的工具包(SDK),但是第三方SDK代码通常封装为黑盒状态,开发者常常无法知晓第三方SDK收集用户个人信息情况。
二、移动应用个人信息治理挑战
个人信息违规行为不仅会发生在应用运行的初始阶段,也可能受攻击者操控后发生在任何时候,但消费者往往没有意识到自己的个人隐私及相关活动信息已经被收集。
App个人信息违规使用特点
✤静态权限过度申请
App在申请静态权限时,申请与自身业务不相关的权限。
✤动态权限超范围使用
App或者第三方SDK突破了所申请的静态权限,在动态运行中使用了超过业务需求范围的权限。
✤运行环境不安全
在App实际运行过程中,其运行载体环境会时刻变化,可能面临Android手机被Root,iOS手机被越狱,第三方SDK开启后门、下载执行恶意代码等环境。
✤个人信息违规传输
个人信息被违规收集后,传输至第三方服务器,继续被整合、利用。
当前治理手段面临重大挑战
✤对人工渗透测试手段的挑战
渗透测试受限于工程师的技术水平,耗时较长,只能是有限时间点的抽查,无法做到持续监测和认证。
✤对自动化工具检测的挑战
检测速度可以大大提高,但同样面临持续监测和认证的挑战。
✤对安全态势感知的挑战
目前不少企业也部署了安全态势感知平台,但更多侧重于网络侧以及云端。在移动端仍缺乏有效的监管手段。
三、零信任安全
针对当前App个人信息保护治理工作存在的难点和挑战,可以利用零信任安全技术来实现个人信息的防护。零信任是2010年由John Kindervag提出的新的网络安全理念及模型,即典型的零信任,但可以被扩展到包括所有的企业资产以及主体。据NIST(美国国家标准与技术研究院)的《零信任架构800-207》白皮书阐述,零信任产生之初,主要关注于数据保护。
零信任有三大常见架构
✤增强的身份治理(IAM):简单来说就是网络中有什么行为,他们能够干什么,通过IAM进行持续认证和管理
✤软件定义边界(SDP):简单来说就是外界的行为及流量如何进入内部(南北向),通过软件可信算法构筑边界,不再是基于传统的边界防护框架
✤微隔离(MSG):内部应用间的行为及流量(东西向)如何进行控制,如何做到可控隔离
零信任的一个本质特征就是面向资源进行管理,而不是面向网络,因此,零信任的技术特点非常适用于个人信息的保护。梆梆安全将App中的个人信息视为被管理的资源,遵循“永不信任、始终验证、持续监控”的零信任理念,融合了零信任IAM、SDP以及MSG三大架构特点,对个人信息进行持续认证、提供基于软件的边界隔离以及个人信息的东西向隔离。
四、移动应用个人信息保护零信任解决方案
梆梆安全根据多年来对移动应用个人信息的治理经验,以及对零信任安全的理解,提出了移动应用个人信息零信任解决方案,希望能为移动应用个人信息保护开辟一个崭新的视角,也为零信任框架的落地提供一个新的方向。其设计和部署遵循以下基本原则:
1)将个人信息视为资源;
2)在使用个人信息时,需要持续评估访问主体的真实性;
3)通过动态策略决定个人信息访问的认证和隔离;
4)监测使用个人信息的安全态势;
我们认为,由于数据平面的资产处于不可信的环境中,因此通过零信任系统进行持续管控十分必要。
保护框架主要包括:访问主体、控制平面和数据平面。
其中,控制平面可实现对资源访问的授予或拒绝,同时可直接处理访问主体到资源的所有流量和行为。
访问主体通过零信任安全来认证代理与资源通信。
控制平面具备对整个业务流程的持续安全监测、信任评估及动态更新访问控制策略等功能。访问主体能否对资源进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策。
关于零信任关键控制功能模块的几点介绍
✤个人信息零信任沙盒
梆梆安全秉承零信任SDP和MSG设计理念,将移动应用在零信任沙盒中隔离运行,确保可信应用与非可信应用(南北向)之间、可信应用之间(东西向)的个人信息使用行为,受到零信任安全策略的控制与保护。管理员可事先定义合规行为以及动态调整个人信息流动规则,真正做到细粒度的个人信息保护。
✤行为认证引擎
梆梆安全秉承零信任IAM设计理念,在移动应用发布之后,对个人信息的使用行为进行7*24小时的持续监测和认证,符合安全策略的行为才可运行,也可以为方便用户保证使用满意度设置为静默状态,并对其进行事后审计。
✤可视化中心
“只有看到,才可保护”,因此安全应做到可视化,即对个人信息的使用进行分析和展示,同时可对第三方和开源组件的个人信息使用行为进行放行、静默监测以及监测并拦截等设置。对个人信息整体资产安全态势可视化的呈现,可为用户后续个人信息的合规运营提供大数据支撑。
✤扩展安全模块-动态行为检测引擎
采用实时、真机运行的动态行为检测模式,对应用使用个人信息的行为进行事前检测和预警,匹配监管单位及企业合规安全基线。
零信任个人信息防护方案不仅可应用于移动应用个人信息保护领域,同样可以扩展至车联网、智能家居、智能穿戴设备等领域,其共同点是数据都处于不可信的环境中,需要对应用安全、设备安全进行持续检测、持续监测、持续认证和可信隔离。
推荐阅读
Recommended
原文始发于微信公众号(梆梆安全):基于零信任的移动应用个人信息保护
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论