https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

杜絕應用服務安全漏洞 首重提升軟體開發品質

2017 / 01 / 13
林裕揚
杜絕應用服務安全漏洞 首重提升軟體開發品質
在PWC公佈的2015資安研究報告顯示中,企業因各種安全漏洞叢生,導致被駭客攻擊比例持續攀升。若仔細分析箇中原因,首先為既有應用服務存在極大漏洞,其次則欠缺判別員工利用行動裝置登入的能力,以致於讓公司陷入於高營運風險之中。因此,資安人在「2017 資安趨勢論壇」,也特別針對改善應用程式開發安全,以及確保遠端存取安全等面向,邀請專家到場闡述改善之道,讓台灣企業在複雜駭客攻擊手法下,能夠有效保護公司網路的安全。

App開發時程縮短 appGuard可打造軟體金鐘罩全
為獲取最大商業利益,駭客組織向來非常積極掌握全球資訊趨勢變化,如在行動裝置成為消費者不可或缺的工具後,也隨即將攻擊目標鎖定在行動平台上。根據資安公司公布的調查報告顯示,除市面上有眾多外觀與合法軟體相似的山寨APP之外,2016 年6月Android 勒索病毒威脅數量也較 2015年4月成長15倍,企業若無法保護自身APP的安全,最終將淪為駭客獲取非法利益的管道。
 
儘管過去iOS平台也曾傳出多起資安事件,但相較於Google Play平台依然是小巫見大巫,因為Google對App上架的審核機制較為寬鬆,加上Android系統選擇Java作為其app開發的主要語言,因此在App開發完成後,並不會直接將原始碼編譯機械碼儲存。因此,只要駭客組織透過反編譯技術,便可取得該App的原始碼,進而找出程式的漏洞或弱點,或者在該App植入木馬程式之後,重新以山寨形式於Google Play平台上架,誘騙消費者下載與安裝。

果核數位appGuard營業處營運長林玄紹說,App設計師都欠缺足夠資安訓練,所以只注重於app功能面開發,導致程式存在眾多未知漏洞,成為駭客得以攻擊的管道。儘管目前軟體檢測非常流行,但在App生命週期較短與配合行銷活動的壓力下,即便知道有安全漏洞存在,通常也沒有足夠時間進行修復。而果核數位推出的appGuard,則能夠不需要修改程式碼的前提下,達到完整保護App安全的目的,避免被駭客取得軟體原始碼。

appGuard擁有防止逆向工程、防止APP遭篡改、阻擋偵錯、遊戲作弊及惡意植入、儲存資料加密等四大功能,且執行保護速度很快,大約可以在30分鐘內完成封裝工作,完全不會影響到App上架的時程。此外,果核數位在保護APP之前,也會預先提供風險評估報告的服務,方便開發人員修補及了解可能發生問題的來源,有助於強化軟體的安全性。

微軟EMS整合多項功能 快速辨識使用者登入身份
隨著行動裝置成為商務人士不可或缺的重要工具,市面出現許多專為行動裝置設計的雲端服務,也帶動企業將傳統應用服務轉移到雲端平台之上,期望能夠打造協同作業的環境,以便能夠迎合數位轉型趨勢。但是此種建構行動工作平台的做法,卻也存在許多資安風險,如Google便曾傳出有高達500萬筆電子郵件帳戶密碼遭竊取,Yahoo也爆發早在2014年被遭到駭客入侵,有高達5億個電子郵件帳號的資料外洩,至於Dropbox亦傳出有6800萬帳號被駭,顯見要建構行動工作環境並不容易。

為協助企業用戶能夠自由且安心的邁向數位轉型之路,微軟推出EMS(ENTERPRISE MOBILITY + SECURITY)的身份辨識解決方案,能確保員工安全無虞的在行動裝置上執行應用程式。在微軟EMS訴求能提供控制雲端身分識別與應用服務存取控制功能,可提供跨裝置、資料中心和雲端集中管理單一登入服務,不僅能確保應用服務存取過程的安全,亦可簡化系統管理者的負擔。

台灣微軟技術經理佐藤大輔解釋,微軟能夠提供以安全的單一登入、多因素驗證和風險型條件存取,打造以一個通用身分來存取數千個應用程式的機制,達到保護商業組織安全的目的。鑑於駭客攻擊威脅無所不在,微軟EMS還能進一步提供使用行為分析功能,針對公司內部部署和雲端偵測可疑的使用者或實體行為,搭配微軟威脅情報收集平台和安全性研究資料,立即偵測異常和防範威脅,杜絕先進威脅的入侵。

運用EDA開發經驗 新思科技推Software signoff平台
前述軟體漏洞的問題,不僅使資訊人員傷透腦筋,也讓軟體業者嗅到潛在商機,如身為全球半導體設計與製造軟體的新思科技,便透過不斷併購資訊軟體公司的方式,將以往在EDA領域累積的豐富經驗,轉會為可提供資訊軟體品質檢測服務-Software signoff。半導體製程成本相當昂貴,一旦因軟體安全漏洞所造成的品質缺陷,勢必會造成難以想像的重大損失,所以EDA業者對品質與安全向來非常重視,也讓 Software signoff成為業界遵奉的新軟體開發標準。

台灣新思科技業務協理楊育仁,Software signoff是軟體開發和測試的新概念,目的在促進測試過程的品質信心和軟體安全,這套機制採取全面和嚴格的測試方法,並且大量運用自動化測試工具,將測試環境進行優化,能確保開發環境能夠符合安全的要求。而新思科技有非常完整的軟體品質測試工具,可以協助企業用戶打造兼具經濟效益與快速開發成本的環境。

新思科技軟體品質測試工具種類非常多,有Software Composition Analysis、Static Code Analysis、Intelligent Fuzz Testing、Interactive Application Security Testing、Automated Test Optimization、Actionable Threat Intelligence,能在不同階段保護軟體的安全。以Software Composition Analysis為例,便可以深入分析軟體是由哪些開源套件組成,存在哪些風險需要修復,藉此讓企業用戶在享受免費開源軟體的好處時,又能避免陷入安全漏洞的風險之中。

現今造成資安事件頻傳的主因,多數肇因於行動裝置、軟體品質問題的問題叢生,以致於駭客組織無需特別技術,即能達成入侵商業組織、竊取資料。因此,企業應該儘速補強前述漏洞,才能運用多重防禦機制保護整體企業網路安全。