shielding

shielding
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
登录
注册
大家好，给大家介绍一下，这是一份市场指南@Application Shielding 指掌易认证厂商2017-12-07共14261人围观 企业资讯
前提

随着移动化、物联网的普及，web应用的不断发展，客户获取的信息越来越多，保护运行在不受信任环境中的应用变得越来越重要，安全和风险管理领导应该选择性地采取保护措施，减少安全隐患。

据Gartner分析，到2020年，30%的企业将会使用应用防护（application shielding，AS）来保护至少一种移动应用、IoT应用或Java脚本的关键应用。

AS是指可以改进一个应用的来源、字节或二进制代码的一整套技术，让该应用能更好地应对入侵、篡改和逆向等攻击。企业要保护应用以保护企业的软件资产。

根据Gartner调查报告，AS技术可以部署在任意一款应用上，受保护的应用可运行在服务器、桌面、笔记本和虚拟设备中，目前应用范围比较广的是娱乐设备，如机顶盒、游戏机等，以阻止非法分子盗版软件，防止数字内容被窃。除了媒体和娱乐行业，金融、医疗、政府机构都是采用AS的垂直行业，汽车行业也逐渐将AS作为保护联网汽车的安全措施之一。

下面这张图是在Gartner自适应安全架构中，对应用保护能力的对标描述：

Clipboard Image.png

图1 Gartner自适应架构中的AS功能描述

从上图可见，AS包括预防、检测、修复等功能。随着攻击者对应用攻击采用的技术不断发展，上面矩阵中的AS能力也在不断增加、变革。人们普遍认为AS的能力远超过基础的安全编程最佳实践，增加了非关键应用中不常见的控制和保护能力。

预防

预防：是指加固应用，让攻击难以实现。其中最重要的一种技术是代码混淆，让攻击者难以读取、窃取知识产权拿来重新打包等。白盒或白盒加密（把敏感应用数据隐藏保护在加密秘钥等设备上）也是常用的一种技术。此外还有审计加固、加密、域名绑定、为应用设置独立键盘等预防措施。

检测

检测：通过侦查应用的周围环境（如设备或者服务器）判断应用是否可信。权限提升检测是常见的一种控制方法；完整性检测（通常包括各种检测方法）能够检测出应用是否已被入侵。

应用本身还能限制其在哪些设备上运行（设备绑定），此外AS有时还有场景识别的功能，甚至能将收集到的相关信息（如入侵迹象）等传到后台，并能识别正在进行的攻击，在逆向工程中通常会使用到调试检测/模拟检测这两种方法。

响应和预测

响应和预测：从图1可以得知，AS大部分功能都集中在预防和检测象限，但响应和预测功能也不可或缺，它们能允许应用采取行动削弱攻击的影响、减少攻击带来的危害。

AS方案能够识别攻击者是否正在使用method swizzling（一种被黑攻击者利用的合法编程手段），从而用更安全的方法来替换它。而虚拟应用补丁和运行时应用自我保护（RASP，这是一个独立的市场）技术也日渐成熟，例如，在运行过程中，应用能够识别出自己获取的某个权限正在被攻击者利用，那它就会自动改变当前的行为阻止攻击发生。

目前，商业化的AS产品还在进一步验证其预测能力。Gartner希望通过数据分析和威胁情报能够让AS方案识别攻击趋势、预测即将发生的攻击行为。

AS技术尤其适合保护那些安装在企业无法控制基础架构或运行环境中的应用，但也要求厂商投入大量研发精力，匹配用户平台的发展和外部攻击的不断演变。

在最近的一项调查中，Gartner发现，16%的受访者表示当前他们正在使用AS来保护企业应用，而有26%的人表示希望能在2019年前采用AS方案。这一比例的上升不只是因为软件数量在增加，更是因为随着应用的不断增加，越来越多的宝贵信息和内容存储在了不受信任的设备上。因此，随着移动应用的快速发展，企业应当考虑选择AS方案保护在非信任环境中的高价值应用，尤其是移动空间、物联网空间的应用

指掌易
指掌易
0 篇文章
等级： 1级
||
上一篇：本篇已是最后文章下一篇：国家信息安全漏洞库（CNNVD）发布2017年兼容性服务新增厂商及产品名单
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
指掌易
指掌易认证厂商

北京指掌易科技官方账号

0
文章数
0
评论数
最近文章
浏览更多
相关阅读
任子行移动互联网安全月报(七月刊)领跑敏感数据安全市场 美创科技完成亿元融资无人车量产，自动驾驶的网络安全问题如何解决？等级保护定级指南意见稿都有哪些变化？悬镜安全来支招14万孕妇数据背后的思考：数据出境处罚第一案
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank