11月3日,北京金融科技产业联盟、移动支付网联合主办的2020第五届中国金融科技安全大会在深圳举办。来自相关金融机构、监管部门和安全企业的数百位行业领袖,围绕金融“无接触”时代的安全监管、行业痛点、“抗疫”经验和科技应用趋势等问题展开了深入探讨,旨在聚合产业链各方量,探索金融安全发展之路。
后疫情时代,在新冠战“疫”中扮演了“核心武器”的小程序,因其在金融科技领域应用范围的爆发式扩展,其安全问题成为本届大会的重要关注点之一。
小程序成“无接触金融”扩延“加速器”,安全性是基础考量
移动支付、数字货币、云计算、5G等技术日趋场景化的普及应用,使得银行、保险、证券等金融机构加快了向“无接触生产及服务”迈进的迭代步伐。突如其来的新冠疫情和持续铺展的新基建版图,更是为数字化、智能化的“无接触金融”造就了加速扩延的新契机。
在疫情期间,各类金融小程序因低开发门槛、强用户体验和快速上线并迭代的特性,而成为金融行业助力企业复工复产的重要数字化工具。新金融生态下,小程序已成为金融行业加速业务转型和数字化发展的重要平台。
然而,伴随着高价值业务渠道和资源的迁移,金融小程序也因暴露面增加和原有安全策略的缺失而面临着更为严峻的安全局势。确保“0”大型平台问题,“0”数据安全问题的安全标准,加之复杂的跨网交换和成倍增加的运营压力,都向小程序应用发起了更大的挑战。
(腾讯云安全架构师鱼勇)
来自腾讯云的安全架构师鱼勇在App安全与个人信息保护论坛上,就分享了自己的看法——当前,金融小程序面临的安全风险主要表现在三大方面。一是在小程序与微信交互的开发过程中,开发者为追求上线速度而未能规范使用开发API,将带来因用户信息泄露所衍生的业务营销身陷“薅羊毛”的风险;二是作为小程序安全最为薄弱的环节,小程序在与第三方服务器业务逻辑交互过程中,可能存在用户信息泄露、订单盗刷等安全风险,甚至出现“仿冒与山寨”小程序;三是与小程序交互的第三方服务器本身或存在SQL注入、管理员口令泄露等Web安全风险,从而导致金融小程序数据被爬取、破解,带来数据泄露风险。
这些安全风险,背后都是小程序行业客观现实。首当其冲的,就是建立安全防御的时间冲突。作为一种更轻量化、强调快速开发能力的应用开发方式,小程序的时效要求一直很强,往往也就没有了安全建设的时间;第二是小程序所需的安全能力是复杂多样的:小程序本身的代码需要确保安全、小程序部署的服务器需要确保安全、小程序本身内嵌的业务逻辑需要确保安全,复合的安全能力需求,一般公司和开发员工并不一定全部具备。最后是小程序对于整个系统的潜在安全威胁,小程序通常会跟企业自身的数据库,其他形式应用相通,小程序没有做好安全防御就有可能危及全局;最后是小程序安全防御能力需求多样的客观事实。
在鱼勇看来,在金融行业大步向数字化转型迈进的趋势下,小程序作为其业务服务场景扩延和拓客的主要工具,其安全性也已成为以小程序为载体的金融业务开展不可忽视的基础考量,对于金融“无接触”服务的扩延至关重要。
贯穿前后端全场景,打通开发运维安全一体化部署链路
针对已全面瞄准小程序开发前后端的潜在安全风险,鱼勇认为应将安全性纳入到整个开发的全过程,打破“补丁式”安全策略限制,强化小程序原生安全能力,打通开发运维安全一体化的部署链路,是筑牢金融小程序应用与发展底座的有效途径。
基于这一思路,腾讯结合20余年的安全攻防积淀和在微信小程序开发运营场景中的防护实践,提出了一套覆盖小程序开发全流程的安全部署方案,旨在打通小程序前端和后端的安全链路,为金融行业提供兼具开发和运营的全方位小程序安全防护,从而助力“无接触”业务的推行与平稳发展。
以自动化检测小程序安全性的机制为例,就必不可少。小程序的数量持续激增,实现自动化检测的重要性异常凸显。以腾讯安全自己的小程序安全自动化检测技术方案为例,这套自动化检测方案主要由两部分组成;位于底层的扫描器用来检查常见的基础安全问题,例如通用web风险、微信API扫描、代码安全等等。而用AI驱动的小程序爬虫,则主要用来模拟人为操作中的安全漏洞,例如点击、输入、滑动等等。有效解决小程序快速上线与安全性保障之间的矛盾,尽可能从源头上剔除安全风险。
在小程序与后台的连接交互方面,腾讯还结合自己丰富的攻防经验,以及七大顶级安全实验室技术优势,对小程序进行渗透测试,通过截获网络数据、业务数据篡改、API调用数据监控等手段,进一步挖掘小程序运行过程可能存在的安全“突破口”,从而确保整个后端服务器的安全,杜绝因某个小程序被攻击而带来的连锁反应。
不过这远不是腾讯在小程序上投入的全部,腾讯安全还在持续推进小程序输出云原生概念的,通过更新的技术、更完善的理念,推进DevOps技术,将需求、设计、自动化检测全面融入开发流程中,从而满足用户开发运维一体化的安全部署需求。