觀點

[專訪] 宏碁運用IBM Security AppScan 協助企業搶攻行動服務商機

2016 / 09 / 07
編輯部
[專訪] 宏碁運用IBM Security AppScan 協助企業搶攻行動服務商機

在車聯網風潮持續攀升的狀況下,許多汽車業者都發表可與汽車連接的APP,也成為駭客亟欲破解的標的,2016年初則爆發日產汽車針對Leaf電動車設計的Leaf app,遭駭客破解並公布於網路的事件。該駭客指出Leaf app安全防護程度相當低,只要15分鐘就可輕鬆破解,這代表多數業者欠缺建置安全APP的能力。所幸IBM AppScan可在APP上架前先進行檢查,同時提供企業強化APP安全的方式,避免發生APP配駭客組織破解的狀況發生。

在智慧型手機出貨量連年突破10億支,成為多數民眾生活不可或缺的工具之後,各種創新應用服務幾乎都是圍繞著行動裝置發展,以便能夠在第一時間滿足消費者需求。然而根據2016年IBM X-Force威脅情報季報指出,駭客組織近來早已將攻擊目標鎖定在行動平台,運用過去在個人電腦上安裝木馬程式的詐騙手法,套用在消費者黏著度更高的行動裝置上。

從過去幾年駭客攻擊手法可以發現,惡意行動應用程式從純文字簡訊攻擊逐漸進步到間諜軟體、遠端存取木馬程式,而2015年底出現重疊惡意軟體,該能誘騙使用者從被入侵的行動裝置上,洩漏網路支付登入資料、網路銀行認證與信用卡付款資料等。尤其根據資安專家預估,現今Google Play平台上已有超過200萬個惡意或山寨APP,儼然駭客組織散播惡意程式的最佳平台,若企業無法保護辛苦開發的商業APP安全,恐怕會讓公司商譽在一夕之間蕩然無存。

宏碁電子化服務事業系統整合服務事業單位技術支援二部資深經理王聰達說,近2-3年APP安全已成為企業用戶最關注的問題,關鍵在於多數消費者欠缺資安意識,駭客組織無須利用太高深的攻擊手法,便能夠輕鬆將惡意程式植入行動裝置之中,取得各種重要資料與信用卡資訊。

而Android App容易被駭客組織攻破的原因,在於Android系統選擇Java作為App開發的語言,而Java本身為半直譯式語言,在軟體開發完成後,並不會直接將原始碼編譯成機械碼。如此一來,駭客組織只需要針對熱門APP進行反組譯的工作,便可取得完整的原始碼,隨後只要將惡意程式植入其中,再重新包裝成與正版APP相似的軟體P,即可達到誘騙消費者下載使用,達成散播惡意程式的目的。

透過原碼檢測機制 保護行動服務安全
在消費者當道的趨勢下,不僅電子產品壽命從過去2年縮短到目前的3-6個月,各種專為行動裝置設計的App軟體,也有需要定時推出改版的壓力。過去為程式開發人員為避免商業軟體存在漏洞,總會進行3-4次反覆測試與修改,然而目前在時間壓力下,大約僅有一次修補漏洞的機會,加上多數設計師缺乏足夠資安意識,才會形成APP安全性欠佳的狀況,甚至衍生出駭客組織可直接攻破APP主機、Web主機的事件。

王聰達指出,在駭客攻擊手法不斷精進的趨勢下,資訊人員應該要從兩方面保護行動服務架構的安全,首先是利用反組譯工具保護APP的安全,避免成為駭客組織藉此散播惡意程式。其次,則是利用原碼檢測方式找出APP與網站主機的漏洞,並且在最短時間內進行修補,進而有效杜絕任何駭客入侵的機會。而宏碁在資訊安全領域有相當豐富經驗,能夠協助企業用戶利用IBM Security AppScan工具為既有行動服務架構進行健診與修補,進而為消費市場提供安全無虞的行動網路服務。

IBM Security AppScan功能完整 宏碁技術服務能力強
在資安領域擁有獨步全球技術的IBM,其推出的IBM Security AppScan共有Stand、Source、Enterprise版本,適用對象與公司規模均有些許差異,企業能能夠依照實際需求選擇。其中,IBM Security AppScan Standard能透過自動化應用程式安全性漏洞測試,幫助公司降低Web應用程式被攻擊與資料外洩的風險,非常適合用測試應用程式安全之途,也能在應用服務啟用時,持續進行長期風險評估。

王聰達表示,IBM Security AppScan Stand最大特色在於可掃描及測試多種應用程式安全性與漏洞,並且能提供優先補救建議及修正建議,搭配分析見解與合規性,能幫助管理合規性及提供重要問題的狀態提示。若企業用戶不知道如何修改,宏碁顧問群則能夠提供報表解讀與技術支援,並協助完成漏洞修補的工作。

而IBM Security AppsCan Source則支援行動式應用程式測試,包括 JavaScript、Java 和 Objective-C等開發平台,能夠透過原始碼分析提高軟體安全性,並且利用整合現有工具和處理程序,例如應用程式開發、建置整合與安全性監控等等。除此之外,亦可透過集中管理與強制執行安全原則,達成提高行動安全架構安全性的目的,並且能促進安全性狀態與問題傳達的報告、控管和法規遵循功能。

至於IBM Security AppScan Enterprise 能幫助企業了解Web應用主機是否存在漏洞,藉此避免發生安全性風險,而且軟體更能同步測試數百個應用程式,並視需要重新測試,並且提出有助引導開發者修正漏洞的問題補救相關諮詢。

王聰達指出,IBM Security AppsCan Source能提供俗稱的白箱測試,可從公司內部角度檢視App與網路主機是否存在漏洞,方便程式開發人員進行修補。而IBM Security AppScan Enterprise則是從模擬駭客思維的黑箱測試,主要是從外部網路測試App與網路主機是否安全,藉此讓資安人員掌握自家企業應用服務的穩定性高低。利用白箱與黑箱測試之間的相互搭配,加上宏碁提供的專業技術服務,則能夠將資安風險降至最低,讓企業專注於發展行動應用服務,搶攻百年難得一見的商機。