特別企劃
叡揚資訊攜手 Arxan 全方面保護應用程式安全
下一篇 - 問題解決知識化技術 以 8D report 為例
前往目錄

叡揚資訊攜手 Arxan 全方面保護應用程式安全

撰文 | 資料來源 iThome NO.844
在FinTech、行動服務時代下,叡揚引進的 Arxan 軟體保護工具,能夠彌補時下資安防禦設備不足之處,進而讓企業安全無虞,更能專注業務上

或許受到複雜政治因素影響,臺灣向來是 全球遭受駭客攻擊最頻繁的國家之一,但多數企業似乎沒有感受到資安威脅的嚴重性,不願意投資太多預算於資安防護上。直到近兩年,多家臺灣金融單位連續遭到駭客組織 攻擊、入侵,乃至被 DDoS 攻擊勒索比特幣等 事件後,才讓企業主深刻體認到強化資安防護 的重要性,也開始正視 FinTech、IoT 等世代 來臨,以及行動裝置成為商務人士必備工具之後,衍生出的應用程式安全問題。

叡揚資訊資深副總經理陳志雄表示:「在行動應用服務當道的時代,我們發現軟體安全正遭遇難以被妥善保護、統一管理的窘境,特別是在臺灣發生金融單位被駭客攻擊的事件後,更突顯金融業者面臨的困境。為此,叡揚資訊特別引進深受美國國防部、Nasdaq 上市公司採用的 Arxan 軟體保護工具,期盼協助企業有效 保護軟體安全,杜絕已知的資安威脅。」

Arxan 三大面向著手 保護應用軟體安全

隨著全球基礎網路日益健全,以及商業環境的快速改變,商務人士在外工作比例愈來愈 高,在失去 IPS、防火牆等資安設備保護下, 駭客組織開始把攻擊目標鎖定在軟體,藉此躲過嚴密的資安設備偵查,進而在企業不知情狀況竊取商業機密。為此,Arxan 提供完整的應用程式保護方案,其中 GuardIT® 主攻 x86 平臺的個人電腦、伺服器與嵌入式系統, 至於 EnsureIT® 則是專為行動裝置與嵌入式系統(Android、iOS、Windows Phone、Tizen)設計,可分別提供防禦、偵測與反應等三種保護措施。

Arxan 美國西部、亞太區區域及拉丁美洲銷售副總裁 George Hood 說,當應用服務轉移到行動裝置之後,會衍生出很多非預期的問題,如駭客組織可透過反組譯方式取得軟體原始碼,並藉此植入惡意程式後,成為竊取商業機密的跳板。然而多數軟體設計之初,都著重在功能設計上,本身並沒有足夠保護機制,往往成為駭客眼中的肥羊,所幸現今 Arxan 軟體保護工具已能彌補該項缺憾。

Arxan 最大優勢能在無需改寫程式碼下,可快速達到保護程式碼的目標,如執行階段的混淆程式/字串加密、防盜聽,以及動態、隨機地執行 Guards 保護,為軟體提供最嚴密的保護措施。換句話說,程式設計師則能依照軟體定位與功能,自行選擇所需保護功能,讓應用服務在保有既有效能之餘,亦能獲得對抗駭客攻擊的防護能力。

叡揚資訊資安業務處處長范家禎指出:「近年隨行動化發展,行動裝置無法完全受到企業資安防護設備保護,成為駭客組織鎖定的攻擊對象,導致資安事件頻繁,企業過往缺乏資安評估的軟體開發流程已不適用。叡揚資訊目標是協助企業強化整體資安防護機制,所以在多種的既有資安服務之外,我們進一步引進 Arxan 軟體保護工具,讓企業用戶只需專注在軟體功 能開發上,資安工作就交給叡揚資訊、Arxan 聯手負責。」

多重軟體保護機制 有效阻斷駭客攻擊

有別於其他品牌僅提供保護功能之外,Arxan 軟體保護工具更擁有其他產品欠缺的偵測能力,具備檢查軟體執行環境的功能,如監聽模式偵測,以及對於軟體越獄、Root 高權限執行模式監控等等,可進一步防止駭客組織破壞軟體保護機制。其次,Arxan 在軟體執行過程中,更會進一步提供 Checksum 校驗檢查碼、資源驗證、混淆或 hook 程式偵測等功能,有助於找出軟體弱點並予以修復,降低被駭客取得原始碼的機率。

至於Arxan 第三大功能,則為開發者提供可自行設定的防護措施,讓軟體能在偵測到駭客攻擊行為時,逕行啟動相對應的保護機制。簡單來說,企業可預設軟體在偵測到程式碼被竄改當下,立即啟動自我修復機制能力,避免成為駭客入侵的管道。

Arxan 亞太區區域副總裁 Daniel Schneersohn 指出:「近來市面上出現不少號稱可保護軟體安全的產品,但因多數軟體開發之初,是針對遊戲或金融產業等設計,所以整體功能泰半不夠完善。而 Arxan 則是為軍方單位設計的軟體保護工具,且已通過美國國防部的肯定及「聯邦 資訊處理標準」FIPS 安全認證,無論穩定性、保護功能等都遠超過他牌產品,所以引進臺灣市場之後深受金融產業肯定,未來我們將會持續深耕臺灣市場。」

陳志雄認為,在駭客攻擊手法朝多元化發展 下,企業用戶更需要多層次防禦機制,Arxan 具備多層式縱深防禦架構,並且可從防護、偵測、反應三種主要機制,抵抗駭客組織發動的應用程式攻擊能有效將資安威脅降到最低。 Arxan 是少數能夠為軟體提供不同程度保護功能的工具,讓資訊人員可依照實際狀況設定,達到兼顧安全與便利性的目標。

長期以來,叡揚資訊一直關注全球資安趨勢發展與變化,陸續為企業提供所需的資安防禦工具,並率先在臺灣建立源碼檢測制度及流程, 達到保護應用程式安全的目的。在 FinTech、行動服務時代下,叡揚引進的 Arxan 軟體保護工具,能夠彌補時下資安防禦設備不足之處,進而讓企業在安全無虞的環境下,專注於發展創新業務上。