杜絕應用服務安全漏洞首重提升軟體開發品質

2017 / 01 / 13

林裕揚

在PWC公佈的2015資安研究報告顯示中，企業因各種安全漏洞叢生，導致被駭客攻擊比例持續攀升。若仔細分析箇中原因，首先為既有應用服務存在極大漏洞，其次則欠缺判別員工利用行動裝置登入的能力，以致於讓公司陷入於高營運風險之中。因此，資安人在「2017 資安趨勢論壇」，也特別針對改善應用程式開發安全，以及確保遠端存取安全等面向，邀請專家到場闡述改善之道，讓台灣企業在複雜駭客攻擊手法下，能夠有效保護公司網路的安全。

App開發時程縮短 appGuard可打造軟體金鐘罩全
為獲取最大商業利益，駭客組織向來非常積極掌握全球資訊趨勢變化，如在行動裝置成為消費者不可或缺的工具後，也隨即將攻擊目標鎖定在行動平台上。根據資安公司公布的調查報告顯示，除市面上有眾多外觀與合法軟體相似的山寨APP之外，2016 年6月Android 勒索病毒威脅數量也較 2015年4月成長15倍，企業若無法保護自身APP的安全，最終將淪為駭客獲取非法利益的管道。

儘管過去iOS平台也曾傳出多起資安事件，但相較於Google Play平台依然是小巫見大巫，因為Google對App上架的審核機制較為寬鬆，加上Android系統選擇Java作為其app開發的主要語言，因此在App開發完成後，並不會直接將原始碼編譯機械碼儲存。因此，只要駭客組織透過反編譯技術，便可取得該App的原始碼，進而找出程式的漏洞或弱點，或者在該App植入木馬程式之後，重新以山寨形式於Google Play平台上架，誘騙消費者下載與安裝。

果核數位appGuard營業處營運長林玄紹說，App設計師都欠缺足夠資安訓練，所以只注重於app功能面開發，導致程式存在眾多未知漏洞，成為駭客得以攻擊的管道。儘管目前軟體檢測非常流行，但在App生命週期較短與配合行銷活動的壓力下，即便知道有安全漏洞存在，通常也沒有足夠時間進行修復。而果核數位推出的appGuard，則能夠不需要修改程式碼的前提下，達到完整保護App安全的目的，避免被駭客取得軟體原始碼。

appGuard擁有防止逆向工程、防止APP遭篡改、阻擋偵錯、遊戲作弊及惡意植入、儲存資料加密等四大功能，且執行保護速度很快，大約可以在30分鐘內完成封裝工作，完全不會影響到App上架的時程。此外，果核數位在保護APP之前，也會預先提供風險評估報告的服務，方便開發人員修補及了解可能發生問題的來源，有助於強化軟體的安全性。

微軟EMS整合多項功能快速辨識使用者登入身份
隨著行動裝置成為商務人士不可或缺的重要工具，市面出現許多專為行動裝置設計的雲端服務，也帶動企業將傳統應用服務轉移到雲端平台之上，期望能夠打造協同作業的環境，以便能夠迎合數位轉型趨勢。但是此種建構行動工作平台的做法，卻也存在許多資安風險，如Google便曾傳出有高達500萬筆電子郵件帳戶密碼遭竊取，Yahoo也爆發早在2014年被遭到駭客入侵，有高達5億個電子郵件帳號的資料外洩，至於Dropbox亦傳出有6800萬帳號被駭，顯見要建構行動工作環境並不容易。

為協助企業用戶能夠自由且安心的邁向數位轉型之路，微軟推出EMS(ENTERPRISE MOBILITY + SECURITY)的身份辨識解決方案，能確保員工安全無虞的在行動裝置上執行應用程式。在微軟EMS訴求能提供控制雲端身分識別與應用服務存取控制功能，可提供跨裝置、資料中心和雲端集中管理單一登入服務，不僅能確保應用服務存取過程的安全，亦可簡化系統管理者的負擔。

台灣微軟技術經理佐藤大輔解釋，微軟能夠提供以安全的單一登入、多因素驗證和風險型條件存取，打造以一個通用身分來存取數千個應用程式的機制，達到保護商業組織安全的目的。鑑於駭客攻擊威脅無所不在，微軟EMS還能進一步提供使用行為分析功能，針對公司內部部署和雲端偵測可疑的使用者或實體行為，搭配微軟威脅情報收集平台和安全性研究資料，立即偵測異常和防範威脅，杜絕先進威脅的入侵。

運用EDA開發經驗新思科技推Software signoff平台
前述軟體漏洞的問題，不僅使資訊人員傷透腦筋，也讓軟體業者嗅到潛在商機，如身為全球半導體設計與製造軟體的新思科技，便透過不斷併購資訊軟體公司的方式，將以往在EDA領域累積的豐富經驗，轉會為可提供資訊軟體品質檢測服務-Software signoff。半導體製程成本相當昂貴，一旦因軟體安全漏洞所造成的品質缺陷，勢必會造成難以想像的重大損失，所以EDA業者對品質與安全向來非常重視，也讓 Software signoff成為業界遵奉的新軟體開發標準。

台灣新思科技業務協理楊育仁，Software signoff是軟體開發和測試的新概念，目的在促進測試過程的品質信心和軟體安全，這套機制採取全面和嚴格的測試方法，並且大量運用自動化測試工具，將測試環境進行優化，能確保開發環境能夠符合安全的要求。而新思科技有非常完整的軟體品質測試工具，可以協助企業用戶打造兼具經濟效益與快速開發成本的環境。

新思科技軟體品質測試工具種類非常多，有Software Composition Analysis、Static Code Analysis、Intelligent Fuzz Testing、Interactive Application Security Testing、Automated Test Optimization、Actionable Threat Intelligence，能在不同階段保護軟體的安全。以Software Composition Analysis為例，便可以深入分析軟體是由哪些開源套件組成，存在哪些風險需要修復，藉此讓企業用戶在享受免費開源軟體的好處時，又能避免陷入安全漏洞的風險之中。

現今造成資安事件頻傳的主因，多數肇因於行動裝置、軟體品質問題的問題叢生，以致於駭客組織無需特別技術，即能達成入侵商業組織、竊取資料。因此，企業應該儘速補強前述漏洞，才能運用多重防禦機制保護整體企業網路安全。