经过三年发展，国内移动领域安全状态有了很大的提升，面对更新的行业环境，传统的安全方案有哪些局限？新的移动安全应该如何定义？新的安全挑战又该如何面对？

近三年移动安全发展变化

2015 年是移动应用安全开始的时间节点，360 加固保和国内其他移动安全厂商都是在这个时间开始起步的。下面和大家一起对比一下近三年的移动安全的发展变化。

移动安全现状对比

通过上图我们看出，2015 年安卓的新增恶意样本的捕获量超过 1800 万个。而 2018 年上半年，捕获量在 280 万左右，预计 2018 年的全年捕获量在 500 万左右。2015 年每月平均值在 150 万，而 2018 年的平均值下降到了 45 万，国内的移动安全状态有了很大的提升。

行业安全意识对比

2015 年开发者对应用安全的概念还比较模糊，大家更多应用基础功能的建设，而到 2018 年，60% 的应用都采用了安全加固来保护应用安全。同时，应用分市场相比三年前更为集中，应用上线审核有了更完备的规范。从应用监管层看，三年前行业监管处于起步阶段，很多标准还在确立中。而现在已有了多层次的安全监管保障，国家标准/行业标准也正在出台和施行。

但是安全厂商还是和三年前一样，一直做 SDK、检测、加固和渠道监控这些服务。这三年间，移动互联网的变化是天翻地覆的，但是安全厂商还在止步不前。

这是一个最好的时代，也是一个最差的时代。现在是中国安卓安全性最好的时间点。但是，对于安全厂商来讲，却有点迷茫。

传统移动安全的几个问题

SDK、检测、加固和渠道监控四个安全方案都是围绕着应用开发进行防护的，它的原型脱胎于传统防护，最终大家都以核心加固强度来衡量应用安全的强度。这样做主要有以下五个问题：

1、谁的生命周期？

我们说目前的安全方案是全生命周期的方案，但是这个生命周期与应用开发者所认为的生命周期有非常大的错位。工信部把应用开发划分为六个阶段，每个阶段都有对应的安全策略。开发完成只是应用生命周期的初期阶段，应用大部分时间都在运营。所以目前的安全方案与实践是有错位的，我们需要考虑的是 “谁的生命周期” 的问题。

2、铜墙铁壁是否就能保证安全？

现在的安全方案是一种铜墙铁壁式的方案。以加固为思路，对应用的 Dex、so、资源文件以及数据文件进行加密。而单纯的加密会导致应用性能和效率的下降。很多特别追求用户体验的公司做安全，就是怕效率降低。其次，我们将这些加固措施做好了也不能真正保证安全，因为如果黑客直接从业务漏洞绕过去，前面做的都无济于事。

3、闪电般的速度？

这张图是安全人员经常用的。攻击事件发生时，黑客的攻击是分钟级甚至是秒级的，然后马上就可以导出数据。而问题发现一般是天和月级别的，缓和措施的实施和发挥效果则可能需要用月和年来衡量。

黑客攻击就像闪电侠一般的迅速，而开发者就像树懒一般的缓慢，目前移动安全攻防处于不平衡的态势。现在的很多应用还需要通过用户下载更新包才能实现安全修复，这种模式更加放大了这种不平衡。所以说目前的移动安全措施反应是不够快的。

4、移动安全能否等同应用安全？

现在除了应用，大家做的 SDK、H5、小程序、快应用等，都是需要安全守护的。所以说目前的移动安全早已不再等同于应用安全，其他的移动业务的安全也需要重视。

5、什么才是真正的威胁？

一般情况下，我们认为病毒、木马、Root、双开等是存在的威胁的。但是跟不同的开发者交流，发现大家对威胁的看法并不一致。对于游戏开发者来说 ，他们认为外挂是有伤害的，但是对于银行的客户来说，他们有自己的用户画像和风控系统，他们认为用户手机上的游戏外挂并不会对自己的业务产生危害。所以不同开发者对安全的认识和需求不是完全一样的，不能一概而论。

如何应用新的安全挑战？

通过以上对目前安全现状的反思，我们对安全进行了方法论层面的重新定义。我们认为新的移动安全首先是对抗的，兵来将挡、水来土淹；其次它应该是全面的，对应用真正全生命周期进行保护；第三，它应该是即时的，应该马上响应以应用安全风险；最后，它还应该是智能的，匹配不同用户对于威胁的认识，满足不同用户对安全的诉求。

360 在新移动安全方面的实践

下面介绍 360 在新移动安全方面的两个实践。

1、盗版和仿冒监控实践

盗版和仿冒应用是大家非常痛恨的。之前通用的防治措施就是渠道监测，从源头上抓盗版仿冒。思路就是通过爬虫监测所有的下载渠道，与原有的应用包进行对比分析，看这个应用包是不是盗版。

这个思路现在遇到了很大的问题：一是现在用户下载已经基本都在手机端，用 Web 端爬虫无法抓取有效数据；二是目前主流应用下载渠道已经非常正规了，基本没有盗版应用的存在。

通过目前的爬虫方式效果不好，但是盗版应用又真实存在，如何破解呢？

360 采用的就是从下到上的方式，通过 360 手机卫士的装机量、手机厂商合作量，以及监管部门的合作量建立正版签名库。然后 360 监测全网安装应用的签名，排查盗版应用。对未知签名的应用送到内部的安全检测中心进行检测，如果存在病毒则通知合作的应用市场进行下架，并通过手机卫士对相关应用进行报毒处理。

2、反作弊风控实践

银行的风控系统是基于用户消费行为的，但是安全厂商的风控系统是基于系统行为和使用行为，两者对风险的判定标准不一致。比如，安全厂商发现用户的手机获得了 root 权限，认为支付行为存在风险，但是银行则根据自己的用户画像认为用户的操作不存在风险。

现在的解决思路就将安全厂商与银行的风控系统进行合并，为银行与外部的触点安全赋能。触点执行操作时产生的数据分成两部分，分别进入银行的风控系统和 360 大脑的风控系统，然后两个系统进比对并共同提出一个解决策略。这个策略会同时作用到当时赋能的每一个组件中，在这个组件中执行相应的策略，是持续监控，还是进行挑战验证。最终达成了信息维度的风险策略和业务维度风险策略的重合。