安天RSA“西游记”?第三回：动静结合风险可辨，场景还原威胁现形

安天RSA“西游记”

第三回： 

 动静结合风险可辨，场景还原威胁现形

RSA2016第三日，我们依旧一边守候在展台，等待更多国内外同行的来访参观，一边穿梭探访在展台之间；同行之间的交流，让我们时而有英雄所见略同的欣慰，又会有逆水行舟不进则退的动力，一些跟安天业务方向、技术理念、体量规模差不多的公司，成为我们主要交流的目标。

在2015年，移动安全威胁膨胀蔓延，在技术和攻防对抗上的大量案例都是现象级的，随着智能手机、系统、应用程序开发渐趋成熟，移动安全的威胁也在不断演变，供应链上每一个环节都有可能影响到最终产品和使用场景的安全性，所以，整体的移动安全观需要移动生态链体系全盘考虑。今日西游记第三回关注的两家公司一个有着清晰的产品目标，一个定位于企业级移动安全产品。

  一、  恶意代码判定方法依旧是核心

在RSA的现场，一些是巨资投入、展台新颖的综合厂商，一些是简约直接、主题突出的专业型厂商，Appthority直接在其展台上表明其主要业务“Protect private company information from the risks of mobile apps，”从名字就可以看出，这是一家专门为企业提供手机app安全服务的厂商。

Appthority展台

 在现场，Appthority的产品展示，可以清楚的看到他们的产品形态和信息，利用手机前端一个轻载的沙盒作为前端探头，监控用户手机app的行为信息，用于云端检测。利用自己的静态分析手段建立自己的敏感行为规则库用于给行为进行定级和报警，并对用户手机上的app的行为威胁总分进行排名；给出每个app的详细分析报告，报告内容包括app行为列表，app访问的url，app的网络流量数据等信息，该公司提供的产品还包括一个后台监控页面，可以为企业用户提供对公司员工手机威胁进行监控的服务。

Appthority主要使用沙盒技术达到对用户手机app进行动态监控，目的为企业提供其员工手机上安装的app的风险控制策略，涉及到app的动静态分析以及行为分析；同时，它的产品不仅仅能够进行恶意代码的检测，还能基于100多种恶意行为的判定来对app进行风险判定，从而给企业用户的风险控制提供基础支撑信息，让移动应用为企业进行风险管理。这种动静态结合的恶意代码判定方法以及基于动态行为风险判定方法正是与我们不谋而合，看来监控方法、利用动静态行为分析依然是移动安全的重中之重。

横向对比，Appthority使用沙盒技术达到对app进行动态监控的目的，可能采用的是api hook的方法。但是其监控的行为非常详细，提供用户关注行为规则配置页面，应该不仅仅是系统api所涉及的行为，还有一些漏洞利用的行为，感觉就行为分析和检测这方面来说该公司做的还是不错的。

而安天AVL SDK以格式解析和深度预处理能力为前导，依托高质量检测模型和多个检测分支，以及高质量的特征规则与模块，实现精确到家族变种号的检测，即有效检测、拦截恶意代码，同时与安天威胁情报体系相配合，可以输出提供准确的恶意代码关联的知识信息与情报。但不管是动态还是静态，对于恶意代码的判定依旧是移动安全的核心。

我司小伙伴同Appthority人员合影

 

二、  增加客户关注度各出奇招

在网络安全界，聪明又善于创业的以色列人永远是不可小觑的力量，Zimperium就是一家以色列安全公司。

近年来，由于移动安全威胁的膨胀蔓延及移动办公的人数的迅速攀升，企业级移动安全市场出现了机遇与挑战并存的现状。这家公司就是目前少有的，专门做企业级移动安全产品的公司。

由于zimperium目前还未进入中国市场，所以对国内用户群体来说，它是比较陌生的。Zimperium由著名黑客ZukAvraham 和白帽黑客Elia Yehuda，于2010年共同创立，主打为企业级用户提供对抗下一代高级移动威胁的安全防护。这同致力于移动互联网安全技术研究及反病毒引擎研发的安天AVL Team有着一定的相似性，同样是成立于2010年，同样专注于移动安全领域。

今年zimperium的展位虽然不大，却入驻了“高大上”的北展馆，聚集了不少观众参观咨询。在其现场的宣传资料中，展示了目前主打的产品，一套企业级安全产品——zIPS（可安装在手机端的APP）、zIAP（可内置化产品）、zCONSOLE（后台管理平台）。其中zIAP类似于安天的反病毒引擎产品AVL SDK，看来zimperium在后续的产品构思上，会更多的考虑通过集成的方式推广产品。

zimperium展台

在产品思路方面zimperium可谓创意十足，其企业级产品会首先将攻击场景还原展示给企业，提高企业对安全的意识，然后再为对方提供解决方案。从目前zimperium的客户反馈来看，这种独特的产品思路起到了不错的效果。另外，其解决方案具备良好的可扩展性，同很对多种类型的厂商，例如芯片厂商、MOA厂商等都可以进行合作，形成一套更完善地解决方案，达到共赢。

在技术方面，zimperium的特点是无需root，并且不需要app运行在构建的沙盒中，对用户设备性能消耗极小，具体实现原理我们不得而知，但他们一直强调的核心，威胁检测引擎技术——动态行为检测技术，目前看来，与传统的检测技术相比并无特殊之处。

但将场景还原的方式用在移动安全上，用于可视化的展示确是奇招。其实，移动安全目前的发展趋势需要我们用不断创新的思维和观念来审视安全威胁，目前，PC与移动威胁联系日益紧密，比如安天一直关注的反APT领域，移动设备在当前的APT攻击中，一方面成为攻击内网的通道；另一方面关键人员的移动设备也成为攻击目标。而移动设备本身又是传统企业级安全防护的盲点。安天作为在传统威胁检测方面有长期积累的安全企业，在从2010年后全面发力移动威胁检测，并逐步取得技术先发优势，完成了在高级威胁检测方面的跨越传统PC侧到移动侧的整体防御点布局后，安天的下一步将是更有针对性的提高跨平台防范策略，并探索与相关企业、行业的合作，共同开发新的安全模式，真正做到connect to protect。

2016 RSA Conference，南展区S744号，安天请您莅临！

 

安天

安天从反病毒引擎研发团队起步，目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累，形成了海量安全威胁知识库，并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验，推出了应对持续、高级威胁（APT）的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可，安天已连续四届蝉联国家级安全应急支撑单位资质，亦是CNNVD六家一级支撑单位之一。安天移动检测引擎获得全球首个AV-TEST（2013）年度奖项的中国产品，全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

关于反病毒引擎请访问：

http://www.（中文）

http://www.（英文