介绍
稳如泰山·值得托付
北京梆梯安全科技有限公司坚守成为“全球软件安全领跑者”愿景,勇担“保护您的软件”使命,始终以客户为中心,通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。
作为引领者的梆梆安全,开创、繁荣了移动应用安全蓝海市场,建立了全面的移动应用安全防护生态体系,并在业务上形成了以安全服务为主体,联动移动安全和物联网安全的“一体两翼”业务体系,以及由技术、产品、解决方案和咨询服务构成的“四位体”产研体系。
梆梆安全以移动安全为核心,逐渐将安全防护能力向传统互联网及物联网延伸,并创新性提出“共享安全”理念,围绕业务安全、移动安全、物联网安全、安全服务帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全立体纵深防御系统。
目前,梆梆安全拥有10万家以上企业及开发者用户,安全技术覆盖的移动应用软件超过100万,这些应用已经累计安装在10亿个移动终端上,用户遍及金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业。未来,梆梆安全将继续秉承“稳如泰山,值得托付”的服务观持续为客户输出安全能力及产品,为国家培养网络安全人才保护万物互联时代的智能生活!
北京梆梆安全科技有限公司 电话:4008-881-881 网址:www.bangcle.com邮箱: service@bangcle.com邮编:100083地址:北京市海淀区学院路30号天工大厦A座20层
4大业务体系
移动安全
合规安全
- 合规测评工具箱
- 移动应用合规平台
- 移动应用监管平台
开发安全
- 应用安全测评平台
- 移动安全能力平台
- 软件成分分析平台
- 可信安全键盘
- 通信协议保护
- 防界面劫持
部署安全
- Android应用加固
- Android SDK加固
- H5应用加固
- 小程序加固
- 鸿蒙应用加固
- iOS应用加固
运行安全
- 移动应用安全监测软件
- 外发SDK安全监测软件
- 运行环境可信SDK(探针)
- H5安全监测与分析平台
- App渠道监测服务
- 钓鱼网站监测及下架服务
- 公众号及小程序渠道监测服务
物联网安全
- 物联网应用加固
- 车联网安全检测和渗透
- 物联网终端渗透测试服务
- 固件安全检测平台
数据安全
- API安全平台
- 梆梆密盾
- 个人信息隐私合规单平台评估范围
- 个人信息隐私合规双平台评估范围
- 数据安全治理咨询服务
安全服务
安全咨询
- 个人信息合规服务
- App隐私合规认证及咨询服务
评估服务
- App双平台安全测试服务
- App单平台安全测试服务
- 业务端(web 小程序 公众号)安全测试服务
- 代码审计服务
- App/SDK样本分析服务
- 风险评估服务
运营服务
- 安全平台运营服务
- 安全运维服务
应急服务
- 应急响应及溯源服务
- 应急演练服务
培训服务
- App个人信息隐私合规评估赋能培训服务
- 移动应用安全开发专题培训服务
- 移动应用渗透测试专题培训服务
- 安全专题培训服务
重保服务
- 重大活动安全保障服务(蓝队服务)
- 重大活动安全检查服务(红队测试服务)
人员外包服务
- 企业安全人员外包
- 企业安全服务托管
5大关键技术
- 程序安全可信
- 程序质量
- 软件定义安全芯片
- 物联网安全操控系统
基于硬件的虚拟保护层
- 授权计算机软件著作权 180+项
- 申请专利 190+项
- 授权专利 80+项
参与制定标准 (部分)
- GB/T28448-2019信息安全技术网络安全等级保护测评要求
- GB/T25000.21-2019系统与软件工程系统与软件质量要求和评价(SQuaRE)第21部分:质量测度元素
- GB/T25000.22-2019系统与软件工程系统与软件质量要求和评价(SQuaRE)第22部分:使用质量测量
- GB/T25000.23-2019系统与软件工程系统与软件质量要求和评价(SQuaRE)第23部分:系统与软件产品质量测量
- YD/T3474-2019移动互联网应用程序安全加固能力评估要求与测试方法
- JRT0191-2020证券期货业软件测试指南软件安全测试
- GB/T37952-2019信息安全技术移动终端安全管理平台技术要求
- GB/T38626-2020信息安全技术智能联网设备口令保护指南
- GB/T38991-2020军民通用资源信息数据对接技术标准总体要求
- GB/T38992-2020军民通用资源语义关系分类与表示
公安部GA (部分)
- 《移动终端防火墙产品测评准则》
- 《移动互联网应用程序安全加固产品测评准则》
产品业务
梆梆API安全平台
横向端到端,纵向全渠道
API安全面临挑战
随着各行业数字化转型的深入展开,企业对外的入口不仅体现在Web、APP侧,还会采用大量的H5、小程序、公众号等轻应用,无论是传统的原生应用、业务系统还是新型轻应用,当中都是通过API这种方式来和企业后端服务进行联动交互的,在企业新型业务模式的转变过程中,企业的API数量呈爆发式增长。企业内部的数据交换、模块关联均依赖于API这个“桥梁”,API安全将很大程度决定企业当下业务的安全性。
- 急剧增加的API难梳理
- 新型风险无有效发现手段
- 防护管控不知从何下手
目前,API面临的挑战主要有三个方面,首先,API数量的迅速增加使得API的管理变得困难,难以清晰梳理和跟踪。其次,由于新型API安全风险的不断涌现,传统的安全检测手段很难有效地发现和应对这些新的风险。最后,由于API涉及多个系统之间的数据共享,API防护管控不仅需要从技术上实现,还需要考虑业务、管理等方面的问题。因此,解决API安全风险需要综合考虑技术和管理等多个方面的因素。
梆梆API安全平台,通过对API上线运行后的数据流量实时检测,解决API上线运行后面临的各种安全风险,为企业建立一套完整的API安全防御管控机制,产品从API资产管理、 API风险检测、API敏感数据识别、API防护管控四大核心模块,助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护等四大安全问题。
- 资产发现与管理:API资产管理、僵尸API管理、影子API管理、风险API管理;
- 敏感数据识别与检测:敏感数据识别、数据合规检测、数据流向分析、数据泄露检测;
- 风险发现及检测:异常行为发现、威胁攻击检测、业务漏洞检测、组件漏洞检测;
- 安全防护及响应:直接阻断、限流限速、验证、威胁攻击预警、漏洞应急响应;
产品核心能力
- API资产发现:采用流量分析技术,自动化识别API并形成资产台账,可对API进行自动化分类。支持识别僵尸、影子APl。
- 端侧风险联动:在前端植入SDK/JS探针进行应用环境风险检测,结合后端业务流量分析技术,建立上下文风险关联机制,以此来发现新型攻击手段。
- 异常行为检测:支持针对API接口产生的异常行为进行检测,如高频/低频访问、非工作时间访问等。
- API资产弱点检测:支持检测通用型漏洞、未授权漏洞、业务逻辑漏洞及组件漏洞等,可对API资产本身存在的缺陷检测,如:弱密码、权限异常、参数未效验等。
- 资产智能合并:对API资产支持智能合并,若有API资产较为相似产品可进行推荐合并,企业可根据所需进行合并处理。
- 高级拟人攻击:针对API接口建立访问行为基线,结合客户端环境检测与接口本身的风险进行关联,识别新型攻击模式下的高级拟人攻击。
- 数据防泄漏:产品内置多种个人信息检测规则,支持检测针对敏感数据的拖库、撞库、批量查询等各类数据泄露风险。
- 安全防护管控:对不法请求、访问越权、数据爬取等恶意行为可进行直接阻断、限流限速、二次验证等操作。
基于端到端的渠道风险防护思路
- 静态防御全渠道覆盖:包含APP、小程序、H5、Web等业务渠道要同时覆盖
- 动静结合端到端联动:将前端风险与后端服务风险相结合,实现端到端的安全协同
- 实时防御多渠道联动:线上业务情报共享,在一侧发现风险同步至其他渠道
产品价值
- 摸清家底:
- API资产可视化
- 问题API透明化
- API行为精细化
- 数据流向清晰化
- 看清风险
- 敏感数据及时发现
- 数据泄漏持续监测
- 异常行为实时监控
- 资产弱点精细识别
- 精细管控
- 不法请求实时阻断
- 请求过频限流限速
- 黑白名单实时过滤
- 批量请求二次验证
- 合法合规
- 满足企业内部制度
- 降低对外暴露风险
- 帮助满足法律法规
- 避免企业信誉受损
移动安全能力平台
移动安全能力平台,基于梆梆安全 12 年全行业移动应用渗透测试及安全防护经验形成的流程、工具和经验,通过移动安全场景编排,配合移动安全专业测试工具及最佳实践经验,提供实战操练途径及技能量化手段,快速提升行业人员移动安全测试和攻防技能,助力企业沉淀和固化移动安全能力。同时,梆梆移动安全专家依托平台可持续提供行业内移动安全领域最新情报、漏洞、知识经验和专业工具,确保企业始终保持在移动安全技术前沿。
企业移动安全能力建设困境
攻防能力
缺少研究和从事移动安全的工具、思路及手段,无法满足移动攻防技术的快速演化。当新的攻防技术出现的时候,无法及时应对,包括攻击原理、防护手段等,针对越来越广泛的移动资产暴露面缺少红队评估技战法。
过程标准化
测试人员缺乏针对APP、小程序、SDK等对象的安全测试标准化过程,测试效果依赖人员能力、责任心和运气。人员的移动安全测试技术能力缺少实训环境和衡量标准。
行业实践
无法借鉴同行业、同类型APP的最佳安全实践,相同或相似的APP安全风险反复出现。自有APP出现过的安全风险没有形成积累,自有安全团队的移动安全能力没有形成沉淀,安全测试质量严重依赖实施人员能力,无法为后续工作提供指导和帮助。
应用场景
提升APP渗透效率 通过集成化工具集及场景编排能力,提升安全工程师针对APP的渗透测试效率,可对于新场景、新技术提供灵活的场景编排,使工程师快速上手移动安全渗透测试工作。
APP供应链安全测试 对于集成大量第三方SDK开发者,由于SDK代码混淆、SDK加固等技术,导致渗透成本较高、周期过长,无法满足敏捷开发时间要求。平台可提供通用化SDK测试场景,从而提升SDK及开源组件安全性验证的工作效率。
强对抗环境APP安全测试
在APP强对抗环境下,通用安全检测方法较难有效,需要通过脱壳、Hook、解密等环节,平台已集成梆梆自有各类专业工具,可以快速进行分析工作,省去寻找Hook插桩点、研究脱壳、研究解密等工作。
参与护网和竞赛 针对参加护网攻击队及安全攻防竞赛人员,提供多种移动端攻击工具及资产测绘工具,并可通过场景编排及配置以适用比赛和攻击场景,提高竞赛成绩。
移动安全防护有效性验证
采用APP防护或移动端威胁监测措施后,企业希望运用有效手段对防护强度及威胁监测有效性进行验证,以便调优策略并关联应急处置措施。平台可对验证过程进行场景编排,更方便高效的辅助人工进行高级验证测试。
建立标准化APP测试流程 可通过场景编排固化多标准APP测试流程,形成基于业务场景的SOP,并针对测试流程使用已有专家知识和持续录入新知识,指导实施人员,提高实施效率,降低新人培养周期,使其可以快速上手。
高校实训
通过平台构建高效、实操的学习体验,让学生更早的接触移动安全服务流程及移动APP渗透技巧,学习内容符合真实市场就业需求,提前“半只脚”踏出校门,从而实现真正的产教融合。
产品价值
风险库、知识库、工具库基于梆梆安全12年来全行业移动应用渗透测试积累的真实案例及实操经验,便于参考行业最佳实践,帮助开发人员及安全人员少走弯路。
企业可基于平台形成自有移动安全知识积累,助力其沉淀和固化移动安全能力,避免重度依赖人员个人能力和临场发挥。
风险库、知识库、工具库基于行业最新动态持续更新,使企业始终保持移动安全技术前沿。
业内独有的移动安全场景编排,提供实战操练的途径及技能量化的手段,快速提升行内人员在移动端的测试能力和攻防能力。
丰富的工具库提供高效、便捷的专家级工具,提高人员技能,提升工作质量及效率。
产品能力
- 工具库:207款
- 风险库:12678条
- 知识库:747条
- 技能场景:23个
- 定制ROM:22项hook能力4种证书绕过能 力、全方位伪装设备参数、主流加固脱壳能力
物联网终端渗透测试服务
梆梆安全提供专业的物联网终端渗透测试服务,专业团队通过模拟攻击的方式,结合客户业务场景和需求,人工测试和挖掘物联网终端设备/智能硬件的安全漏洞和脆弱点,最终提供渗透测试报告及修复建议,帮助客户及早发现智能设备存在的安全问题并及时有效修复,提前规避智能设备带来的安全风险,避免对正常业务造成不良影响。
测试目的
- 挖掘和修复智能设备安全风险
- 评估被测智能设备安全性
- 规避后续业务风险
测试目标
- 满足国内和国际相关信息技术安全标准
- 不存在明显可被攻击技术缺陷
服务对象
梆梆安全物联网终端渗透测试服务的对象为物联网设备及智能硬件,涵盖芯片、智能卡、汽车电子、智能硬件、智能家居(智能电视、机顶盒等)、无人机、机器人等领域,包括连接安全(3G/4G/5G/BT/Wi-Fi/Zigbee/RF/NFC/API)、硬件安全(PCB/芯片/存储/固件)、系统安全(含单片机/嵌入式Linux/ARM)等。
服务范围
梆安全物联网智能设备测试服务的范围包括:
- 智能设备安全
- 物理安全
- 固件安全
- OS安全
- 应用安全
- 数据安全
- 内存安全
- 配置安全
- 网络服务安全
- Web安全
- 设备与云端交互安全
- 通信安全
- 传输数据安全
- 云接口安全
- 认证/授权安全
- 第三方后端API接口安全
- 设备与App交互安全
- 通信安全
- 传输数据安全
- 交互逻辑安全
- 云平台安全
- App安全
- 组件安全
- 数据安全
- 代码安全
- 常规安全漏洞
实施步骤
梆梆安全物联网智能设备测试服务实施步骤总共分为六个阶段,如下图所示,包括信息收集、威胁建模、漏洞分析、渗透测试、测试报告提供和复测阶段:
- 信息收集
- 收集客户需求
- 准备测试计划
- 定义测试范围
- 定义业务目标
- 威胁建模
- 建立威胁模型
- 分析攻击路径
- 确定攻击规划
- 漏洞分析
- 安全漏洞分析
- 安全漏洞探测
- 安全漏洞挖掘
- 渗透测试
- 客户现场测试
- 公司内部测试
- 测试报告
- 提供测试报告
- 测试报告讲解
- 复测
- 渗透复测
- 提供复测报告
- 复测报告讲解
项目交付
在项目实施完成后,梆梆安全会针对每个设备向客户提供以下测试报告:
- 测试阶段测试报告
- 《智能设备渗透测试报告》
- 《App安全测试报告》
- 《云平台安全测试报告》
- 复试阶段测试报告
- 《智能设备渗透测试复测报告》
- 《APP安全测试复测报告》
- 《云平台安全测试复测报告》
移动应用合规平台
梆梆安全移动应用合规平台,借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术,对应用的动态行为、权限获取、软件成分、安全漏洞、合规情况进行采集与分析,帮助用户发现应用违规行为并输出合规评估报告。
应用场景
- 监管单位应用检测:为确保进一步规范市场应用情况,减少应用违规采集、使用个人信息行为,保障用户个人信息权益,支撑监管单位对应用进行合规检测,并输出检测报告,督促其进行整改。
- 测评机构应用检测:为企业、开发运营者提供应用合规检测服务,并出具相关检测报告,协助其发现应用不合规问题,并提出整改建议。
- App、SDK开发运营者自查: 在App上架前进行合规性检测,提前发现APp、SDK、微信小程序中的不合规情况,并进行针对性整改,避免提交上架申请后,由于应用不合规问题审核不通过。
- 应用分发平台检测审核:在应用上架之前,应用分发网站、应用商店等平台对应用进行合规检测,落实平台责任,强化App上架审核机制,帮助其做好个人信息保护的“守门人”。
产品功能
- 合规检测 合规平台内置164号文、191号文、165号文、292号文、国标35273、国标41391等多套合规标准检测模板,用户可进行自动化+人工辅助检测,输出检测结果,给出整改建议,满足合规监管、企业自查自纠等应用合规检测场景。
行为检测 合规平台借助深度定制的检测沙箱识别APP的个人信息采集行为、数据传输行为、数据存储行为、应用启动行为。小程序检测方面,针对微信小程序代码执行引擎进行监控,检测并列出个人信息采集行为。
- 权限检测 通过对应用进行自动化脱壳及反编译,识别App的声明及使用权限,依据知识库查询得出权限名称、权限含义、权限类型、保护级别、是否为敏感权限、是否为该App服务类型的最小必要权限等信息。
成分检测 合规平台在应用检测过程中,对App进行自动化脱壳、反编译,获取包结构与函数调用关系,并将包名、函数调用特征与SDK库进行匹配,从而识别App中集成的SDK,提供SDK名称、开发者、类别、描述、来源、包名等信息。同时可识别并列出App中集成的具备热更新能力的SDK。
安全检测
通过安全检测引擎检测程序源文件、本地数据存储、内部数据交互、通信数据传输、恶意攻击防范能力等风险类型,全面评估被测应用的安全情况,准确定位问题根源,并呈现详细的问题描述及解决方案。
产品优势
- 支持个人信息采集行为Web实时显示,配合手机Web投屏,及时发现应用在运行中发生的隐私不合规行为,为App隐私合规评估提供有力证据。
- 系统内置SDK库数量9000+,且支持用户自定义增加,可快速、准确的识别App中集成的SDK,充分洞察SDK的不合规行为。
- 支持多套合规检测标准(内置164号文、191号文、292号文165号文、GB/T 35273、GB/T41391等),且通过配置即可实现对新合规标准的支持。
产品价值
移动应用合规平台基于郴梆安全在应用安全领域的技术优势,提供全面的合规分析能力,参考164号文、191号文等合规要求对App合规情况进行分析,人工+自动化辅助对每个业务场景都进行检查,最大程度发现应用违规问题。
应用安全测评平台
梆梆安全应用安全测评平台,利用静态代码扫描与动态行为检测技术,为客户提供包括配置安全、数据安全、程序安全、通信安全在内的超百项检测能力,全方位检测应用中存在的代码安全问题,并提供准确的问题定位及详细的解决方案,为用户快速评估应用安全状况,帮助进行漏洞修复,减少应用发布后的安全隐患。
产品优势
全面发现应用安全问题,准确定位问题根源
检测项目数量行业领先,可覆盖应用中的主流安全问题,准确定位问题来源,并对应用中的安全问题进行监控预警和有效规避,提供代码级的修复示例或修复建议为开发者提供了代码修复参考。
大数据扫描统计,掌握漏洞趋势 将整个平台的检测数据进行自动化收集统计、清洗分析,多维度呈现应用漏洞分布情况、应用安全状态等关键信息,为业务赋能。
可对应用版本的安全性进行管理 通过自动化的技术手段,对移动应用各个版本的安全状况进行统计和分析,以提供可自动化操作、可展示、可追溯的安全性管理方式。
产品功能
- Android应用安全检测 通过全自动化深度静态代码检测、动态模拟攻击检测等技术,全面评估Android应用在源代码安全、数据安全、恶意攻击防范能力等方面的防护能力,精准暴露风险问题,输出专业的应用安全测评报告,给出建设性整改建议协助开发者修复漏洞,提高应用安全性。
- Android SDK 安全检测 通过提交封装好的SDK包或集成至APP的方式进行检测自动化静态识别SDK的代码缺陷、不当配置、组件漏洞等风险。
鸿蒙应用安全检测 针对鸿蒙2.0应用,结合华为生态安全研究成果及通用性安全问题,可针对hap应用中的组件配置,数据交互、权限定义,风险漏洞等方面进行全面的安全检测。
- iOS应用安全检测 基于二进制代码反汇编技术,将IPA文件进行深度解析,发现iOS应用中的代码安全、开发规范、通信数据传输及存储等方面是否存在安全问题。
- 微信公众号/小程序安全检测 可针对微信小程序/公众号的服务端安全问题进行全面检测,发现其是否存在通信传输不安全、数据泄露、服务器风险配置、通用WEB风险等问题。
应用场景
- 应用上线前安全检测 在应用发布前希望能够了解App的风险漏洞情况,提前修复严重漏洞,以实现版本迭代过程中的安全把控,保证上线应用的安全,降低应用受到安全攻击从而泄露数据或恶意操作的概率。
应用安全准入检测 应用商店厂商或相关单位建立类似应用市场的软件发布平台,针对入驻该平台的应用进行安全核查,核查通过后入驻平台,保障该平台上应用的安全发布与上线。
应用安全过检
- 企业:基于甲方要求或上级监管单位要求,需要出具应用安全检测认证报告,在送检前,自行对应用做安全检测,有助于应用快速过检。
- 检测机构:根据国家的标准-规范,对企业送检的产品进行检测并发放合格证书。
应用安全普查/审查
基于业务需要,需要检测大量的移动应用,并需要对移动应用出具具有指导意义的结果报告,帮助被测单位整改。
产品价值
- 快速排查应用安全隐患 全面发现风险漏洞,协助企业机构评估应用安全状况。
高效性能 支撑海量应用安全检测,大数据漏洞统计,掌握漏洞趋势。
详细定位漏洞
提供专业修复建议,助力开发者复查并整改,提高应用安全性
基于应用测试点形成安全规范
促进企业安全管理建设,提高安全部门工作效率
H5安全加固
梆梆安全H5安全加固系统可以有效防止针对H5 Web应用、H5混合应用、小程序、公众号进行的反编译、动态调试、代码篡改、JavaScript盗用等攻击行为,降低因H5自身安全缺陷带来的各种风险。
应用场景
H5 Web应用保护
对基于H5技术实现的网页类应用进行JS代码保护。
H5混合应用保护
对基于ReactNative等框架开发的H5混合应用进行加固保护。
小程序保护
对微信、阿里、华为、百度等平台的小程序进行加固保护。
产品功能
JS虚拟化保护技术
对H5代码内的Javascript代码进行虚拟化保护(JSVMP),让攻击者无法利用已有指令进行攻击。
关键字及控制流混淆 对JavaScript代码内的控制流程进行混淆,对字符串、函数名等敏感关键字进行加密隐藏,防止调试分析。
防盗用保护 将JavaScript文件同网站域名、应用进行绑定,防止JS文件被非法剥离、盗用。
防动态调试
对H5代码的运行环境进行监测,及时阻止针对H5代码的 调试行为。
产品优势
- 技术领先 支持JS代码虚拟化保护,支持JS密钥白盒化保护,支持控制流、字符串加密、防调试等多种安全保护技术。
灵活可配 支持根据客户业务需要,量身提供H5加固策略。
- 跨平台保护 支持对纯H5应用、混合H5应用、小程序等不同H5代码进行有效保护,覆盖Android、iOS、H5等不同平台。
- 服务便捷 操作简单、集成便捷、自动加密。
产品价值
- 防止针对H5应用的逆向分析
- 防止针对H5应用的业务逻辑探测、服务端漏洞挖掘
- 防止针对H5应用的调试攻击
- 满足监管机构合规性检测要求
移动应用安全监测平台
梆梆安全移动应用安全监测平台 (以下简称“泰知”)是一款基于大数据和机器学习的移动应用安全监控和运行监测平台,能够让管理者全面掌握移动应用发布后的安全态势和运行状况。泰知通过对移动应用运行过程的持续监控,利用大数据及机器学习技术,从设备、系统、应用、行为四个维度,实时监测移动应用各种运行时攻击行为,从动态攻击的技术源头进行感知分析,提供多维度的安全态势统计,并以可视化图表的方式展现整体安全形势,帮助用户快速建立事前、事中、事后的移动应用安全监测防御体系。
应用场景
- 监管合规
- 轻量级业务风控
- 第三方SDK权限管控
- 协调构建全网态势感知能力
- 运营分析与应用兼容性优化
- 移动应用安全监控
- 威胁情报服务
- 客户信息泄露
- 虚假作弊营销
- 工作考勤作弊
- 游戏反外挂
产品功能
产品价值
监测防御整体概况 图形化展现监测防御形势目支持大屏展示,包括安全事件、启动、崩满趋势,威胁类型分布、地域分布等。
精准的重中大数据防御
基于实时威胁情报分析,事前定义的安全防护策略,对攻击、威胁、设备、IP、Wi-Fi等做细颗粒度的威胁阻断。
SDK权限管控
提供对第三方SDK权限的监测和阻断服务、通过配置策略,可以阻止某些SDK的非授权行为。
智能的安全监测报告
提供多维度的报表展现,根据需求定制报表信息,灵活自动生成应用安全监控和运行监测报告。
实时威胁预警
提供实时监控大屏,实时滚动展示监控到的威胁信息,进行全面安全监控和及时响应溯源分析。
有效的事后攻击溯源
提供多维度攻击溯源查询服务,从时间、位置、设备、攻击方式、攻击工具、用户信息等多维度提供攻击溯源分析。
实时的运行数据统计
统计App安装、启动、活跃设备系统版本、应用版本等多维度运营数据,提供业务运营分析,优化客户体验。
灵活的策略配置
提供可视化页面,客户可以根据业务安全需求灵活地自定义内部应用组管理、安全事件、威胁指数、威胁策略、环境策略、封禁策略、SDK监控策略等。
全面的事前威胁风险感知
基于移动端设备、系统、应用、行为等多维度数据分析,通过大数据及机器学习技术,结合威胁情报库,实时分析应用运行过程安全威胁及风险。
智能的业务风控支撑
基于大数据和机器学习的抗干扰设备指纹、人机识别、设备信誉评分等技术,有效解决典型场景下的业务欺诈风险,建立健全业务风控平台。
崩溃数据采集分析 采集应用运行过程中的崩溃信息,统计崩溃发生次数、影响设备数、崩溃类型、崩溃堆栈信息、设备信息等维度信息进行分析,便于应用的修复和优化。
产品优势
- 丰富的移动安全技术积累和储备,从技术源头感知各类威胁和攻击
- 强大的大数据处理技术,支持实时采集、分析、感知、拦截、展现
- 首次建立行业威胁情报库,形成行业协调防御,交叉防御
- 轻量化快速部署,旁路监测,不依赖业务数据,对已有业务无影响
- 检测能力覆盖全面,覆盖15类运行时攻击、8类环境风险、4类异常行为、13类SDK敏感权限监测
产品价值
威胁态势感知
实时掌握移动应用发布后整体安全态势状况,为上层安全策略提供决策支持。
移动端运营分析与崩溃监测
提供应用的运营和崩溃数据,协助企业管理人员及时掌握应用的运营状况,为企业研发人员提供应用优化、问题修复支撑。
建立移动端动态监测防御体系
与静态安全防护联动,对移动终端操作风险进行监测、预警、阻断、溯源,弥补业务反欺诈、风控等业务系统对终端风险监测的短板。
第三方SDK权限管控
帮助客户管理第三方SDK的权限申请,支持对于第三方SDK的权限申请监控、拦截、审计,让第三方SDK行为可管控。
黑灰产活动预警与黑客人员追踪
支持对黑灰产活动、黑灰产设备进行事前预警、挖掘、分析,做到攻击发生的事前预警。
公众号及小程序渠道监测服务
微信公众号及小程序渠道监测服务致力于解决客户对自身微信公众号及小程序资产不清及风险不明的痛点,帮助客户普查企业自身及下属机构的微信公众号及小程序资产情况、认证情况、更新情况等,帮助客户识别长期未更新的僵尸公众号及小程序,发现非官方的风险微信公众号及小程序,避免由此对企业形象造成不良影响等风险。
应用场景
公众号及小程序资产普查
对于分支机构较多的企业,如国有及股份银行、农信社、大型央企、国企等总部具有监管职责的企业,需要对企业及分支机构的微信公众号及小程序进行资产普查及监管。
公众号、小程序风险监测及监管合规
对于金融、运营商、政府等行业,面临日益增多的公众号及小程序等渠道的盗版、仿冒及僵尸账号问题,需要及时发现风险并尽快进行处置,满足安全需求及监管合规要求。
产品功能
- 数据概览 整体数据概览可帮助企业从整体上掌握自身及下属单位的公众号及小程序总量、新增、风险情况等。
- 未更新分析 监测服务采集并统计最近一年未更新的公众号及小程序并分析占比,帮助企业识别长期未更新的僵尸公众号及小程序,提升公众号质量
- 资产统计 提供包括所有采集到的公众号及小程序的详细列表,为企业及时发现钓鱼或仿冒的非官方公众号及小程序提供依据和方向。
- 未认证分析 微信未认证公众号可能为风险公众号,监测服务发现并统计微信未认证的公众号。
产品优势
微信公众号及小程序覆盖率高 基于全部微信公众号及小程序数据库检索后进行数据采集,微信公众号及小程序覆盖率高。
支持微信公众号及小程序定向监测
只需指定关键词,即可实现对全微信平台的公众号及小程序进行定向采集、清洗分析、有效监测。
产品价值
资产普查 提供微信公众号及小程序汇总明细,帮助企业肃清自身及下属机构的微信公众号、小程序资产。
风险预警 通过对微信认证识别、更新时间、开发者信息等多维度分析,及时发现钓鱼或者仿冒等非官方公众号及小程序。
内部管控 企业依据资产详单,对内部公众号及小程序进行管控,避免出现长期未更新的僵尸公众号及小程序。
固件安全检测平台
梆梆安全固件安全检测平台是一个自动化检测物联网设备固件安全隐患的服务平台,可以自动化识别和分析物联网设备固件的安全隐患,精确发现风险漏洞,助力厂商高效排查固件安全问题并整改,提高固件的安全性。
应用场景
固件安全准入检测 客户采购多个厂商的物联网设备,需要建立统一的安全准入机制,设备检测通过后再投入使用。
自研设备的安全排查 厂商自研设备安全排查,避免出现漏洞被恶意利用。
扩充安全检测业务 具有安全检测或监管职能,希望扩充自身的检测业务能力。
产品功能
- 支持Linux、Android等系统固件检测 mips、x86、Arm、PowerPc等CPU识别, /.bin/img/.gzip/.rar/tar/.7z/zip等格式解析。
- 固件敏感信息、数据信息安全检测 支持对固件密钥信息、敏感信息、配置文件等内容进行安全检测。
- 固件成分识别和第三方软件漏洞检测 智能识别固件成分信息,准确检测第三方软件漏洞,提供风险等级、危害、定位信息。
- 智能检测模板配置与报告输出 自主配置检测模板,输出专业报告。
产品优势
- 强大的国内外漏洞检测能力 覆盖CVE/CNNVD漏洞库10余万漏洞,支持部分CWE漏洞 平台的代码风险检测。
- 多维度的风险漏洞检测,检测更全面 固件信息、敏感信息、密钥信息、配置文件、第三方软件成 分及其漏洞等。
- 安全合规检测 对标OWASPIOTTOP10、《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,需保障固件上线前的安全测试。
- 详细漏洞定位和专业修复建议 提供漏洞详细定位和修复建议,支持存在漏洞的文件下载,帮助开发者复查和整改。
产品价值
- 全面发现固件安全问题,快速掌握固件整体风险状况
- 提供安全问题的详细定位和修复建议,便于漏洞定位和修复
- 准确识别软件组件成分及其风险漏洞,评估各软件安全状况
- 无人工操作,节约人力及时间成本
Android应用加固
梆梆安全Android应用加固,通过代码校验、代码加密、文件加壳、代码虚拟化等保护手段,针对Android应用APK/AAB文件进行加固处理,能够有效防御应用反编译、二次打包、内存注入、动态调试等攻击行为。
应用场景
- 金融行业
- 互联网行业
- 政企行业
- 物联网行业
- 运营商行业
产品功能
防逆向分析
对DEX、SO文件进行高级混淆、加密、虚拟化保护,防止通过IDA等工具逆向破解分析。
防二次打包
对Android应用提供全文件完整性校验、开发者签名校验保护,防止针对应用的篡改和二次打包。
防内存调试
动态加解密、多进程守护等多重反调试技术,防止内存调试、注入、dump。
防数据泄漏 数据及资源文件透明加密、设备绑定,防止数据篡改、复用、盗用。
产品优势
安全技术强
领先的多元虚拟化保护技术,支持为Java、CC+、C#、JavaScript等语言提供虚拟化保护服务。
多种格式支持
支持基于Android系统的APK、子APK、AAB等多种格式文件独立加固保护。
加密粒度小
最小细粒度加密,实现函数级动态加密、解密技术只解密被执行的函数,未执行的函数不会被解密。
使用零影响
自主研发Android系统预兼容安全保护框架技术完美兼容Android各版本,对应用使用零影响
产品价值
- 保护知识产权
- 保护开发者收益
- 保护企业品牌形象和信誉
- 满足监管机构合规性检测标准
iOS应用加固
梆梆安全自主研发实现了iOS应用的“多态”加固保护技术,拥有国际顶级的混淆方案,通过控制流混淆、字符串加密、符号混淆、完整性保护、防动态调试和防动态注入等技术手段保护源代码安全,特别在防调试,防盗版和防恶意代码上效果显著,保护企业ioS应用安全。
应用场景
- 软件安全保护
- 移动金融保护
- loT安全
产品功能
“多态”加固技术
基于“源码态”的源到源加固技术;基于“中间态”的Bitcode加固技术:基于“二进制态”的IPA加固技术。
- 全语言“源到源”混淆 通过核心算法可对C/C+、Obiect-C/Object-C++、Swift源码级代码进行混淆,利用控制流混淆、字符串加密、符号混淆等多样化手段全方位保护代码,极大的提升代码静态防逆向能力,让被逆向的代码无法被理解。
- 静态安全校验因子 以随机撒点方式向源代码内添加防调试、防hook、完整性校验等安全校验因子,在攻击者对代码进行调试、篡改、hook时触发保护条件,阻止攻击完成。
- 控制流深度混淆 对源代码中的控制流采用随机策略混淆、置乱控制块代码段、平坦化控制流、虚假控制流、隐藏控制跳槽谓词、加密字符串和变量符号等技术,达到模糊程序控制逻辑、隐藏程序控制流的目的。
- 符号混淆 对代码中的类名、方法名、函数名进行深度混淆,阻止攻击者从符号名称等进行程序功能的定位分析。 全局式动态防护因子在加固过程中,添加防动态调试分析守护进程,实时检测、监控调试、hook、代码篡改等攻击行为,对主流调试、hook工具进行有效阻止。
产品优势
- 混淆复杂度高,使程序执行流程难以分析,保护iOS应用抵御各类逆向、调试工具,避免被调试分析。
- “多态”加固技术,确保开发者基于源代码、中间文件、二进制文件都能够进行有效的安全防护。
- “动静双重保护因子”技术,既具备静态撒点的高抗剥离安全能力,又具备动态守护的实时风险监控、拦截。
- 部署灵活,既支持数据同步服务器、客户端加固,又支持基于Jenkins的系统自动化集成。
产品价值
- 保护知识产权
- 保护开发者收益
- 保护企业品牌形象和信誉
- 满足监管机构合规性检测标准
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/bangbang.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)