GSS資安電子報0147期【叡揚資訊攜手Arxan 全方面保護應用程式安全】
本文同步刊載於No.844 iThome
強化資安防護機制 保護商業機密安全
或許受到複雜政治因素影響,臺灣向來是全球遭受駭客攻擊最頻繁的國家之一,但多數企業似乎沒有感受到資安威脅的嚴重性,不願意投資太多預算於資安防護上。直到近兩年,多家臺灣金融單位連續遭到駭客組織攻擊、入侵,乃至被 DDoS 攻擊勒索比特幣等事件後,才讓企業主深刻體認到強化資安防護的重要性,也開始正視 FinTech、IoT 等世代來臨,以及行動裝置成為商務人士必備工具之後,衍生出的應用程式安全問題。
叡揚資訊資深副總經理陳志雄表示:「在行動應用服務當道的時代,我們發現軟體安全正遭遇難以被妥善保護、統一管理的窘境,特別是在臺灣發生金融單位被駭客攻擊的事件後,更突顯金融業者面臨的困境。為此,叡揚資訊特別引進深受美國國防部、Nasdaq 上市公司採用的 Arxan 軟體保護工具,期盼協助企業有效保護軟體安全,杜絕已知的資安威脅。」
(左起)叡揚資訊資深副總經理陳志雄、叡揚資訊資安業務處處長范家禎、Arxan美國西部、
亞太區區域及拉丁美洲銷售副總裁George Hood、Arxan亞太區區域副總裁Daniel Schneersohn
Arxan 三大面向著手 保護應用軟體安全
隨著全球基礎網路日益健全,以及商業環境的快速改變,商務人士在外工作比例愈來愈高,在失去 IPS、防火牆等資安設備保護下,駭客組織開始把攻擊目標鎖定在軟體,藉此躲過嚴密的資安設備偵查,進而在企業不知情狀況竊取商業機密。為此,Arxan 提供完整的應用程式保護方案,其中 GuardIT® 主攻 x86 平臺的個人電腦、伺服器與嵌入式系統,至於 EnsureIT® 則是專為行動裝置與嵌入式系統(Android、iOS、Windows Phone、Tizen)設計,可分別提供防禦、偵測與反應等三種保護措施。
Arxan 美國西部、亞太區區域及拉丁美洲銷售副總裁 George Hood 說,當應用服務轉移到行動裝置之後,會衍生出很多非預期的問題,如駭客組織可透過反組譯方式取得軟體原始碼,並藉此植入惡意程式後,成為竊取商業機密的跳板。然而多數軟體設計之初,都著重在功能設計上,本身並沒有足夠保護機制,往往成為駭客眼中的肥羊,所幸現今 Arxan 軟體保護工具已能彌補該項缺憾。
Arxan 最大優勢能在無需改寫程式碼下,可快速達到保護程式碼的目標,如執行階段的混淆程式/字串加密、防盜聽,以及動態、隨機地執行 Guards 保護,為軟體提供最嚴密的保護措施。換句話說,程式設計師則能依照軟體定位 與功能,自行選擇所需保護功能,讓應用服務在保有既有效能之餘,亦能獲得對抗駭客攻擊的防護能力。
叡揚資訊資安業務處處長范家禎指出:「多數程式設計師本沒有受過專業資安訓練,導致軟體開發過程中存在許多資安漏洞,只是以往受到企業資安防護設備保護,並沒有釀成太大災情,但是當軟體朝向行動化發展後,已成為駭客組織鎖定的攻擊對象。叡揚資訊目標是協助企業強化整體資安防護機制,所以在多種的既有資安服務之外,我們進一步引進 Arxan 軟體保護工具,讓企業用戶只需專注在軟體功能開發上,資安工作就交給叡揚資訊、Arxan 聯手負責。」
多重軟體保護機制 有效阻斷駭客攻擊
Arxan 亞太區區域副總裁 Daniel Schneersohn 指出:「近來市面上出現不少號稱可保護軟體安全的產品,但因多數軟體開發之初,是針對遊戲或金融產業等設計,所以整體功能泰半不夠完善。而 Arxan 則是為軍方單位設計的軟體保護工具,且已通過美國國防部的肯定及「聯邦資訊處理標準」FIPS 安全認證,無論穩定性、保護功能等都遠超過他牌產品,所以引進臺灣市場之後深受金融產業肯定,未來我們將會持續深耕臺灣市場。」
陳志雄認為,在駭客攻擊手法朝多元化發展下,企業用戶更需要多層次防禦機制,Arxan 具備多層式縱深防禦架構,並且可從防護、偵測、反應三種主要機制,抵抗駭客組織發動的應用程式攻擊能有效將資安威脅降到最低。Arxan 是少數能夠為軟體提供不同程度保護功能的工具,讓資訊人員可依照實際狀況設定,達到兼顧安全與便利性的目標。
長期以來,叡揚資訊一直關注全球資安趨勢發展與變化,陸續為企業提供所需的資安防禦工具,並率先在臺灣建立源碼檢測制度及流程,達到保護應用程式安全的目的。在 FinTech、行動服務時代下,叡揚引進的 Arxan 軟體保護工具,能夠彌補時下資安防禦設備不足之處,進而讓企業在安全無虞的環境下,專注於發展創新業務上。
