歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
杜絕應用服務安全漏洞 首重提升軟體開發品質
2017 / 01 / 13
林裕揚
在PWC公佈的2015資安研究報告顯示中,企業因各種安全漏洞叢生,導致被駭客攻擊比例持續攀升。若仔細分析箇中原因,首先為既有應用服務存在極大漏洞,其次則欠缺判別員工利用行動裝置登入的能力,以致於讓公司陷入於高營運風險之中。因此,資安人在「2017 資安趨勢論壇」,也特別針對改善應用程式開發安全,以及確保遠端存取安全等面向,邀請專家到場闡述改善之道,讓台灣企業在複雜駭客攻擊手法下,能夠有效保護公司網路的安全。
App開發時程縮短 appGuard可打造軟體金鐘罩全
為獲取最大商業利益,駭客組織向來非常積極掌握全球資訊趨勢變化,如在行動裝置成為消費者不可或缺的工具後,也隨即將攻擊目標鎖定在行動平台上。根據資安公司公布的調查報告顯示,除市面上有眾多外觀與合法軟體相似的山寨APP之外,2016 年6月Android 勒索病毒威脅數量也較 2015年4月成長15倍,企業若無法保護自身APP的安全,最終將淪為駭客獲取非法利益的管道。
儘管過去iOS平台也曾傳出多起資安事件,但相較於Google Play平台依然是小巫見大巫,因為Google對App上架的審核機制較為寬鬆,加上Android系統選擇Java作為其app開發的主要語言,因此在App開發完成後,並不會直接將原始碼編譯機械碼儲存。因此,只要駭客組織透過反編譯技術,便可取得該App的原始碼,進而找出程式的漏洞或弱點,或者在該App植入木馬程式之後,重新以山寨形式於Google Play平台上架,誘騙消費者下載與安裝。
果核數位appGuard營業處營運長林玄紹說,App設計師都欠缺足夠資安訓練,所以只注重於app功能面開發,導致程式存在眾多未知漏洞,成為駭客得以攻擊的管道。儘管目前軟體檢測非常流行,但在App生命週期較短與配合行銷活動的壓力下,即便知道有安全漏洞存在,通常也沒有足夠時間進行修復。而果核數位推出的appGuard,則能夠不需要修改程式碼的前提下,達到完整保護App安全的目的,避免被駭客取得軟體原始碼。
appGuard擁有防止逆向工程、防止APP遭篡改、阻擋偵錯、遊戲作弊及惡意植入、儲存資料加密等四大功能,且執行保護速度很快,大約可以在30分鐘內完成封裝工作,完全不會影響到App上架的時程。此外,果核數位在保護APP之前,也會預先提供風險評估報告的服務,方便開發人員修補及了解可能發生問題的來源,有助於強化軟體的安全性。
微軟EMS整合多項功能 快速辨識使用者登入身份
隨著行動裝置成為商務人士不可或缺的重要工具,市面出現許多專為行動裝置設計的雲端服務,也帶動企業將傳統應用服務轉移到雲端平台之上,期望能夠打造協同作業的環境,以便能夠迎合數位轉型趨勢。但是此種建構行動工作平台的做法,卻也存在許多資安風險,如Google便曾傳出有高達500萬筆電子郵件帳戶密碼遭竊取,Yahoo也爆發早在2014年被遭到駭客入侵,有高達5億個電子郵件帳號的資料外洩,至於Dropbox亦傳出有6800萬帳號被駭,顯見要建構行動工作環境並不容易。
為協助企業用戶能夠自由且安心的邁向數位轉型之路,微軟推出EMS(ENTERPRISE MOBILITY + SECURITY)的身份辨識解決方案,能確保員工安全無虞的在行動裝置上執行應用程式。在微軟EMS訴求能提供控制雲端身分識別與應用服務存取控制功能,可提供跨裝置、資料中心和雲端集中管理單一登入服務,不僅能確保應用服務存取過程的安全,亦可簡化系統管理者的負擔。
台灣微軟技術經理佐藤大輔解釋,微軟能夠提供以安全的單一登入、多因素驗證和風險型條件存取,打造以一個通用身分來存取數千個應用程式的機制,達到保護商業組織安全的目的。鑑於駭客攻擊威脅無所不在,微軟EMS還能進一步提供使用行為分析功能,針對公司內部部署和雲端偵測可疑的使用者或實體行為,搭配微軟威脅情報收集平台和安全性研究資料,立即偵測異常和防範威脅,杜絕先進威脅的入侵。
運用EDA開發經驗 新思科技推Software signoff平台
前述軟體漏洞的問題,不僅使資訊人員傷透腦筋,也讓軟體業者嗅到潛在商機,如身為全球半導體設計與製造軟體的新思科技,便透過不斷併購資訊軟體公司的方式,將以往在EDA領域累積的豐富經驗,轉會為可提供資訊軟體品質檢測服務-Software signoff。半導體製程成本相當昂貴,一旦因軟體安全漏洞所造成的品質缺陷,勢必會造成難以想像的重大損失,所以EDA業者對品質與安全向來非常重視,也讓 Software signoff成為業界遵奉的新軟體開發標準。
台灣新思科技業務協理楊育仁,Software signoff是軟體開發和測試的新概念,目的在促進測試過程的品質信心和軟體安全,這套機制採取全面和嚴格的測試方法,並且大量運用自動化測試工具,將測試環境進行優化,能確保開發環境能夠符合安全的要求。而新思科技有非常完整的軟體品質測試工具,可以協助企業用戶打造兼具經濟效益與快速開發成本的環境。
新思科技軟體品質測試工具種類非常多,有Software Composition Analysis、Static Code Analysis、Intelligent Fuzz Testing、Interactive Application Security Testing、Automated Test Optimization、Actionable Threat Intelligence,能在不同階段保護軟體的安全。以Software Composition Analysis為例,便可以深入分析軟體是由哪些開源套件組成,存在哪些風險需要修復,藉此讓企業用戶在享受免費開源軟體的好處時,又能避免陷入安全漏洞的風險之中。
現今造成資安事件頻傳的主因,多數肇因於行動裝置、軟體品質問題的問題叢生,以致於駭客組織無需特別技術,即能達成入侵商業組織、竊取資料。因此,企業應該儘速補強前述漏洞,才能運用多重防禦機制保護整體企業網路安全。
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:不到三成企業具備了解API中敏感資料暴露情況的能力