翻譯及整理:叡揚資訊 資安直屬事業處
資料來源:Monitor Threats to Your Apps with Digital.ai App Aware、How financial services firms reduce the risk of data breaches with application security
金融服務業(包括銀行、保險與投資公司)顯然已是網路犯罪的目標。因為這些產業是金流會經過的地方。隨著金融服務的數位服務範圍越來越廣泛,所面臨的威脅也迅速增加。這種擴展是由數位化轉型、客戶對便利性的需求,以及全球新冠疫情所帶動的。每天都有越來越多的客戶使用行動應用程式 App 和網頁應用程式來存取他們的帳戶,這顯著地擴大了資訊風險的攻擊面。
同時,敏捷式開發縮短了開發時程,DevOps 將部署耗費的時間,從原本的幾週減少至幾天或甚至短短幾個小時內,這讓金融相關產業能夠加快部署全新或更新後的應用程式。如果有將開放原始碼納入,App 安全性的複雜度則更是變本加厲。結果呢?來自 Contrast Security 的 2021 年金融服務應用安全狀況報告(2021 State of Application Security)顯示如下:
67% 的企業,在開發階段每個應用程式中有 20 個或更多嚴重的漏洞。
48% 的企業,在正式發佈後每個應用程式都至少有 10 個嚴重漏洞。
98% 的企業,在過去一年中至少遭受 3 次成功的應用程式攻擊。
開發人員被要求必須不斷地提供新特性與功能的壓力,因此他們將所有的精力聚焦在光鮮亮麗的新項目,而非安全性。結果隨後在開發週期中,安全性在開發週期裡往往會變成忽略的項目。
Digital.ai 產品副總裁 Mike Woodard 針對這種情形發表評論:「先來假設一個情境:您的團隊正在開發一個新的公開應用程式。開發人員一直在使用組織中的掃描工具,再三確認即將上架的產品不會產生任何問題(這很痛苦,但非常必要)。等到正式環境已可正常運行,網路安全工具也到位了(同時也已經發生更多開銷與延遲),您可以開始提供服務給使用者使用了!所有測試顯示一切都按預期進行,行銷也持續發揮作用,全球市場的大門正準備為您開啟。您也即將獲得渴望的豐厚利潤… 很遺憾地,這恐怕只是您的一廂情願。」
「因為潛在的使用者數量與初步的市場興趣,已經引起了一些來自社會陰暗面的注意。這些不懷好意的惡意人士也希望從您的努力開發的軟體中大撈一筆。他們仔細研究您最新推出的版本並不斷尋找軟體弱點。由於您的 App 是可運作的,因此有了媒介可以理解後端伺服器的運作方式(惡意人士可能還對您的系統讚賞不已)。在應用程式被破解後,他們仔細分析控制流程,並觀察輸入惡意程式碼會發生哪些結果。」
未來會碰到的問題根源是您永遠搞不清楚他們在做什麼。您沒有意識到惡意人士可能已經非常熟悉您的應用程式運作方式了。而且他們可以耐心地進行攻擊優化,因為他們所引起的小錯誤都淹沒在其他使用者正常使用應用程式的噪音中。因此,惡意人士小心翼翼地慢慢調整、調整、再調整,直到他們攻擊利用的手法已經十分完善:支付資訊、個人識別資訊與智慧財產,可能全部都被竊取了。
「如果您沒有經歷過如此夢魘,誠摯建議增加保護機制加以預防。可以加入程式混淆(obfuscation)以提升逆向工程分析程度;也可以增加防篡改機制,用自動偵測與回應非標準環境與修改;您更可以採用報告與監控功能,這樣就可以監控他們的任何動作,並且洞燭機先,盡快修復弱點。
我們當然希望這些措施都不必要,但科技的快速發展我們無法力往狂瀾。幾十年前的社會也不曾需要汽車警報器或雙因子驗證,但時代正在改變,我們都需要跟緊腳步,否則就得承擔後果。
『現實是最忠誠的朋友!』我們對世界的憧憬無法幫助我們做出正確的決定。因此,好好地審視一下您的應用程式,並決定是否能接受目前的風險程度。若答案不是,那就著手調整吧,為自己打造一個更美好的未來!
世界上沒有一家金融服務公司會願意因為負面消息成為頭條新聞,尤其當這些風險是可避免的。
隨著 App 開發的進展, 應用程式安全性也有必要提升。然而,在 App Stores 與無數網站提供的成千上萬 App 中,絕大多數都無法充分防止逆向工程與篡改。這種安全性缺失可能讓公司面臨失去智慧財產、客戶與收入的風險。惡意人士會利用未受保護的 App 來分析應用程式及與後台系統的通訊方式。如何存取後端系統的「工作媒介」必須包含在應用程式中。而如果「工作媒介」遭暴露,惡意人士就會濫用並進行各種形式的攻擊,例如複製應用程式、憑證盜竊攻擊、非法挖礦、腳本注入與鍵盤記錄等。
保護這些工作媒介不被逆向工程攻擊,則必須從程式混淆開始,並採取對策來偵測 App 何時或是否在不安全的環境中運行。一旦程式有受到保護,安全人員就可以查看何時何地發生了破解應用程式的狀況,採取必要的補救措施。而 App Aware 能提供威脅監控與回應步驟。
App Aware 是一個有效監控威脅的解決方案,能在 Digital.ai App Security 中提供程式混淆與防篡改功能。不但可以回報 App 何時處於不安全環境中,也可以監控您的程式保護機制何時被篡改。結合使用這些威脅監控功能,便能有更多時間對攻擊做出回應。App Aware 提供的資訊能讓您可立即做出適當的回應。您編寫保護機制中的回應,可用來建立客製化 App 功能、強制升級身份驗證或完全關閉 App,視威脅的嚴重程度而定。
Digital.ai App Aware 藉由包括偵測與監控威脅的能力延伸了 App 保護的概念,也能將正在發生的攻擊通報給您的組織。整合威脅偵測與監控功能,強化 App 提供最有效的防護組合功能,這些防護功能共同建構避免企業名聲掃地、財務損失、智慧財產遭竊與被政府重罰的關鍵。Digital.ai App Aware 從 App 公開發布的那一刻就開始提供即時攻擊資訊的存取。此功能於攻擊發生當下,便能掌握 App 是否受到攻擊所需的資料。它也提供了進階警告,以便讓人員在攻擊前執行實施補救行動。
App Aware 與您的安全資訊與事件管理器整合,可獨立執行或在您的 Sec Ops 中心執行。透過驗證與即時掌握 App 在「正式發布上線」時面臨到的威脅類型,以及依據攻擊洞察力與趨勢來最佳化調整保護措施的能力,您可以對應用程式的安全具備信心。此外,您可藉由採取客製化操作、強制升級身份驗證或關閉受到攻擊的 App 等方式來自動回應攻擊。
App Aware 從 App 公開發佈的那刻起,就會提供運作報告,讓人員完全掌握執行時所面對的威脅環境。還提供 App 在遭破解裝置(例如經過越獄或root的裝置)上執行的資訊,並在 App 可能正在不安全的環境(例如偵錯工具或動態偵測工具包與開發者模式)中執行時進行回報。
App Aware 將資通安全管理中心的視野延伸到防火牆之外與生產環境中執行的 App,無論這些 App 的使用者是您的員工或客戶。根據攻擊洞察力與趨勢來最佳化並調整防護能力,同時透過採取客製化操作、強制升級身份驗證或關閉受到攻擊的 App 等方法對攻擊做出自動回應。App Aware 還可輕鬆地與您現有的 SIEM、BI、SOAR 或其他防詐欺平台整合。
若您正在建構一個即將發佈的 App,卻沒有進行監控,那麼您將完全無法掌握發生了什麼事。咦?App 已經被攻擊了嗎!?非常很可能!在 2022 年 10 月的 28 個週期內,我們監控的所有 App 中,有 55% 不是在偵錯工具中執行,就是使用修改後的程式碼執行。知識就是力量,若您有辦法監控正在發生的事情,那麼您就可採取必要的後續步驟,以確保您的 App 有被正確地使用。