源起基金已投企業梆梆安全入選首批“可信人臉識別守護計劃”成員!
近日,“可信人臉識別守護計劃”(簡稱“護臉計劃”)成員首批名單正式公布,源起基金已投企業梆梆安全成功通過審核,成為首批“護臉計劃”成員。
部分首批成員名單
近年來,人臉識別技術落地勢頭迅猛,被廣泛應用于公共安全、場所進出、信息處理等領域。然而,隨著人臉識別的大規模應用,也暴露出隱私泄露、技術濫用、偏見歧視等問題,屢屢成為社會焦點,行業規范工作刻不容緩。
基于此,2021年4月,中國信息通信研究院云計算與大數據研究所倡議發起成立“可信人臉識別守護計劃”,希望通過標準制定、測試評估、行業自律等手段,增進行業和社會共識,促進產業健康發展,為人臉識別技術和應用“正名”。
自“護臉計劃”成立以來,梆梆安全一直積極支持并深度參與“護臉計劃”各項工作的開展。作為網絡安全企業,梆梆安全在人臉識別等新技術安全發展領域做足功課,提出從人臉識別繞過看技術與業務雙輪驅動的風控升級,率先實現了對“人臉識別”繞過等安全風險的監測并將其落地。
移動端“護臉”應充分考慮前端數據安全
梆梆安全基于在移動安全領域的實踐,結合近年來人臉識別信息泄露等安全事件進行分析發現,以人臉識別繞過為代表的技術化攻擊及風控繞過技術成為黑、灰產的通用普適性攻擊技術,進一步影響企業的業務安全。
截止目前,國內大型金融、運營商、政府等移動應用均遭受過人臉識別繞過攻擊,給業務安全帶來嚴重影響。如下圖所示,人臉識別繞過攻擊發生的根源仍然在于移動應用前端數據造假及業務邏輯劫持繞過。
手機APP人臉認證過程
目前手機APP的人臉認證過程通常都是前端SDK做完活體檢測后,截取視頻照片,發往服務端,進行人證信息的比對,在這個過程中有多種技術化方式進行人臉攻擊,包括傳輸層抓包、應用函數劫持、系統函數劫持、底層攝像頭驅動篡改(定制ROM)等。而企業在數字化轉型過程中很容易忽略移動業務形態變化給業務安全帶來的影響,導致企業移動業務風控缺失。
傳統企業的業務風控重點在于防范灰產,業務違規層面:違規打卡、違規簽到以及違規巡檢等。傳統業務驅動下的風控基本模型如下圖所示,風控系統綜合前端采集數據(設備基礎信息、網絡IP地址信息、地理位置信息、音視頻信息)、業務交易數據(手機號、賬號、交易類型、交易金額、收獲地址)和第三方數據(運營商數據、安全廠商情報數據、互聯網廠商數據、公安、人民銀行等官方數據),綜合評估交易的風險狀況,并進行風險決策。
傳統交易風控流程
而技術化攻擊手段對傳統風控最大的挑戰在于,前端數據造假從而導致風控規則及模型失效。如依賴于GPS坐標信息來判斷用戶是否在常規交易地點,但這種信息在前端造假后極容易偽造出常規交易地點而欺騙風控。
雙輪驅動下的業務風控
近年來,針對APP、SDK、H5等前端應用的技術化攻擊方式不斷發展,攻擊方式及技術路線日漸成熟。傳統的業務驅動的風控系統在技術化攻擊的背景下,需要在進行風控系統升級時納入技術風險維度的判斷依據。在技術與業務雙輪驅動下的業務風控邏輯架構如下圖所示:
技術風險分析引擎通過前端的設備、系統環境、運行時攻擊、用戶行為、應用及進程風險等多個維度,綜合分析當前交易設備的風險等級及風險評分,同時業務風險分析引擎通過用戶賬戶、用戶交易等多個維度,綜合分析當前交易的業務風險等級及業務風險評分。業務風控系統的交易處置決策引擎綜合技術、業務的分析結果,決策當前交易的處置方式。在業務與技術的雙輪驅動下,企業的業務安全能力能夠走上一個新的臺階。
數字經濟時代,濫用人臉信息的事件時有發生,當前的人臉識別技術存在明顯的安全漏洞,對社會和公眾財產安全造成重大隱患,亟須進行系統性的安全排查和堵漏。《中華人民共和國個人信息保護法》等法律的不斷落地實施為人臉信息保護提供法律指引,監管治理行動也將驅動行業規范化發展,“護臉計劃”的推進,必將推動行業秩序形成。企業需要在人臉識別技術應用和信息安全之間找到平衡,保障用戶人臉信息安全,為人臉識別技術和應用“正名”。
