幾維安全CEO範俊偉：對代碼進行加密或能更有效應對網絡攻擊

11月17日，由幾維安全和看雪學院聯合主辦的「2018物聯網安全行業論壇」在北京舉行。幾維安全CEO範俊偉在論壇上表示，因爲攻擊者可直接購買、拆解物聯網終端，一旦獲取其代碼，分析代碼漏洞，就可進行攻擊。若是對代碼進行加密，即便攻擊者拿到代碼，也難以分析業務漏洞並實施攻擊。

幾維安全CEO範俊偉

範俊偉在分享中指出，據Gartner預測，到2020年物聯網將連接全球40億的用戶、250億以上的終端設備，在此過程當中將會有2500萬的應用App被開發出來，沉澱出超過50萬億GB的數據，同時創造出4萬億美金的收入機會。同時，不一樣於傳統設備和應用場景的差別化安全需求凸顯。

範俊偉表示，傳統模式下，大多數業務邏輯放在服務器上，其所面臨的威脅可能是針對服務器的攻擊，而在物聯網環境下，隨着數字資產的產生和業務場景的變化，大量智能終端將出如今人們身邊，此時，智能終端受到惡意利用和攻擊將給人帶來直接的安全威脅，形成信息泄露、經濟受損甚至是人身安全，好比對智能汽車、智能家居產品的攻擊帶來的危害。

「物聯網終端的安全和Web（網站）服務器的安全是不同的。」範俊偉指出，訪問Web網頁，用戶接觸不到服務器，難以獲知服務器中的業務漏洞。

而物聯網終端不一樣，其軟件部分以固件的形式存在，其中的代碼等內容是全部漏洞挖掘和軟件攻擊的基礎，因爲物聯網終端設備直接發到用戶手裏，黑灰產等攻擊者也能夠購買設備，而後進行拆解、提取代碼、分析業務漏洞，進而實施攻擊。

有什麼方法能增長攻擊者獲取並分析代碼的難度嗎？範俊偉指出，安全永遠都是一個對抗攻防的過程，更安全的體系構建和關鍵點保護能從空間上和時間上延緩攻擊、提升攻擊者的成本，致使其最終放棄攻擊。

傳統的保護方法只能增長獲取代碼的難度，並不能增長分析代碼的難度，好比在App上加一層「保護殼」，攻擊者一旦破解「保護殼」，將直接獲取代碼，分析業務漏洞。而若是在開發過程當中就加入加密機制，把安全技術下沉到代碼層，不干預代碼正常的業務邏輯，這樣一來，即便攻擊者拿到應用或終端，也難以分析業務邏輯和漏洞。

（文/南都我的信息保護研究中心研究員 尤一煒）