叡揚資安團隊從軟體源碼檢測起家,10年來持續觀察軟體資安議題,發現資安威脅其實不斷增加演進,資訊服務事業群總經理陳志雄表示:「觀察國際軟體資安大廠、台灣資安規範及企業資安關切方向,2016有三大方向應密切關注,分別是:稽核委外應用系統資安弱點、行動APP保護-避免遭反向工程與置換勒索、雲端資料安全。」
行政院資安辦強調駭客近期的攻擊目標由政府部會轉向委外資訊服務廠商,藉由委外廠商資安弱點為跳板,入侵各部門。此外,金管會也持續關切軟體安全的把關。
建議以SSDLC為藍圖,將資安工具、技術諮詢及教育訓練逐步建立安全的開發流程,委外廠商開發也將會為整體流程的一部分,而交付軟體的把關就是稽核的重要一步!
隨著APPs支付應用快速發展,國際、台灣已有支付與電商業者遭遇多次APP被駭客惡意置換,造成企業形象重傷。
建議由APP源碼弱點檢視、APP實體加密及偽裝等強化(hardening)方式著手,尋找解決方案時也可參考國內外其他企業導入實例,選擇適合的防護策略。
隨著資料存放於雲端的接受度提高,客戶開始尋求雲端資料保護方案,尤以去識別化(遮造masking、變造tokenization)為主。採用雲端服務的企業,因服務資源掌握在雲端資源供應商(Google、Amazon等)手中,企業可運用供應商的去識別化方案,或自建去識別化系統,整合雲端資料均為彈性作法。
