APP 就像駭客眼中的無鎖大門？將「零信任」導入行動應用程式

過去十年來，企業紛紛重新定義資安策略，圍繞著一個核心原則「不輕信，持續驗證」。零信任（Zero Trust）模型已成為保護使用者、網路與系統的黃金標準，市場規模預計將從 2024 年的 365 億美元成長到 2029 年的 787 億美元。

不過，有個關鍵盲點「儘管零信任日益普及，多數企業卻忽略了當今最常被攻擊的威脅之一，消費者的行動應用程式（Mobile App）。」

行動應用如今已成為企業營運的核心，不僅支援行動交易與顧客互動，也扮演著敏感資料存取的重要管道。但與傳統端點不同的是，行動裝置可能運作於不受控、甚至是不被信任的環境中（JB/Root手機、模擬器...），這也使得它們成為高階攻擊的首要目標。

在 2024 年，全球就記錄超過 3,300 萬起行動裝置的網路攻擊，凸顯出此威脅的規模與迫切性。而這些不僅是技術問題，更是直接影響客戶信任、法規遵循與營收表現的商業風險。這不只是技術層面的挑戰，而是一項企業責任。行動應用程式直接關係到客戶信任、法規合規以及營收表現。如果未在應用程式層面，尤其是執行階段導入零信任原則，企業將暴露於高度風險中。

本文提供一套策略藍圖，協助企業填補行動安全缺口，將零信任擴展至應用程式執行階段，內容涵蓋：

• 為何行動裝置是現今零信任架構中最薄弱的一環？
• 一套適用於高層簡報的論述，協助企業正當化投入執行階段防護的必要性
• 將零信任延伸至行動應用的策略框架
• 企業如何運用 NIST 800-207、OWASP MASVS、CISA 零信任成熟度模型與 MITRE ATT & CK 行動矩陣等標準，實踐行動應用的零信任
• 可立即採取的行動步驟，讓行動安全與企業策略目標相互契合

如果行動裝置是您與顧客互動的主要渠道，那麼它也必須是您零信任策略的核心所在。行動刻不容緩，在這個最關鍵的通路淪為最脆弱的一環之前，立即行動。

根據《2023 零信任安全現況報告》，儘管經濟環境持續壓力，仍有 80% 的企業在過去一年提升了零信任預算，凸顯出零信任計畫日益增長的策略重要性。

董事會視角：為行動安全爭取正當性

如今，行動裝置不僅是銷售或服務的管道，而是企業營運的核心。超過七成的數位互動皆透過行動應用程式進行，直接影響品牌體驗、客戶信任及營收來源。儘管行動應用扮演關鍵角色，多數企業仍以過時的觀念看待安全，只著重於部署前的檢查，卻忽略了應用程式執行階段的風險，讓系統暴露於攻擊之中。

根據卡巴斯基（Kaspersky）2023 年的統計，全球針對行動裝置的網路攻擊超過 3,330 萬次，且包含複雜的執行階段操控及安裝後威脅。即使應用程式在應用商店審核時看似安全，卻可能透過隱形更新變成惡意工具，利用動態載入程式碼、權限提升及逆向工程等手法，成功躲避靜態防禦機制。

對董事會而言，這不再是理論上的問題，而是切實的風險。根據 Experian 2024年《全球身份與詐欺報告》，由先進社交工程、人工智慧濫用及行動裝置攻擊所引發的詐欺事件正全球攀升，直接影響企業營收、合規狀況及客戶忠誠度。

當行動成為詐欺或資料外洩的入侵點時，受到攻擊的已不只是資訊安全，而是整個品牌形象。一次透過被操控的行動會話所引發的資安事件，可能導致：

• 數百萬美元的詐欺損失（IBM報告指出平均資安事件損失達 445 萬美元）
• 客戶信任及留存率下滑
• 因 GDPR、CCPA 等法規違規遭受罰款

將行動執行階段保護視為策略性信任資產，而非僅是合規項目，能讓資安長更快速地取得高層支持。 簡而言之，如果您的行動應用程式在執行階段沒有受到保護，就是沒有保護好您的企業。將零信任原則融入行動應用程式執行階段，已成為企業的策略性當務之急。

將零信任擴展到行動應用程式

零信任的核心原則很簡單「永不預設信任，始終持續驗證」。但在許多企業中，行動應用程式卻仍處於驗證嚴重不足的高風險狀態。

儘管網路與使用者通常會經過嚴格的身份驗證與監控，行動應用程式卻往往在「預設信任」的情況下運作，卻忽略了可能會遇到像是手機被 root、App 被破解、惡意更新，甚至透過不安全的 API 存取資料等風險。

這樣的安全落差，等於在數位互動的邊界上，留下了一個高風險的曝險點。

風險從「下載當下」轉移到「執行階段」

傳統防護機制多聚焦在應用程式「下載當下」的安全狀態，但現今的攻擊者採取的是長期滲透策略，他們等到應用安裝完成後再下手，這時靜態分析早已派不上用場。

現代化威脅手法包括：

• 靜默升級攻擊：應用程式在初期看似正常，卻透過後續更新逐步釋出惡意行為。
• 執行階段操控：在應用執行期間即時修改行為，以繞過安全機制或竊取資料。
• 逆向工程：將合法應用重新封裝為含有惡意程式碼的版本，偽裝成原版使用。

這類「執行階段操控」與「安裝後攻擊」正急速上升，行動裝置木馬偵測率已年增超過 50%，攻擊者也廣泛運用動態程式碼載入，來繞過靜態防禦機制。可以把行動應用程式想像成一座機場航廈，光是在入口查驗護照還不夠，還需要持續的監控、管制區域控管與行為追蹤，才能在整段使用旅程中確保安全無虞。

以執行階段為核心的零信任框架

將零信任導入行動應用程式層，必須從執行階段著手，若要真正將零信任落實至行動應用程式層級，企業必須導入可持續運作的控制機制，涵蓋下列三大面向：

• 持續監控：偵測應用是否遭竄改、執行於模擬器、裝置是否被 root 或越獄，以及是否發生程式碼操控行為。

• 持續驗證：確認每一次執行的應用程式皆為合法、未遭竄改的版本。

• 持續防護：保護 API 存取權限、在記憶體中加密敏感資訊，並防止資料外洩，即使裝置已遭入侵也同樣有效。

「若未導入這些控管機制，行動應用將成為資安防線中的最薄弱環節，極易遭受詐騙、惡意程式與未授權資料存取等威脅。」

透過將零信任理念深植於行動應用的執行階段，企業便能彌補這個長期忽視的安全缺口，將行動應用從「不受信任的風險入口」轉化為「可驗證、可防禦的資產」。

重新思考行動環境下的零信任框架 

企業領導者越來越依賴成熟的資安框架，來規劃與落實零信任策略。雖然這些架構原本並非專設計給行動應用，但其核心原則其實非常適用於行動環境，特別是在執行階段，這正是實際攻擊最容易發生的時機點。將行動應用安全對齊這些標準框架，不僅能提升資安一致性、強化合規性，更有助於建立穩健的基礎安全防線。

NIST SP 800-207：為行動應用導入持續驗證機制 

NIST 所發布的《零信任架構》文件，提出了一套以即時情境資訊為基礎的存取決策原則。雖然該架構本身並非專為行動環境設計，但其不依賴特定架構的設計理念，非常適合延伸應用到行動應用層面，尤其是在執行階段。

其核心應用包括：

• 持續評估：即時監控裝置信任狀態與使用情境

• 風險導向決策：根據使用者行為與執行階段訊號進行風險評估

• 策略強制執行：不僅在網路層，亦需在應用程式層執行安全策略控

CISA 零信任成熟度模型：落實五大支柱於行動應用層

雖然美國網路安全暨基礎設施安全局（CISA）提出的零信任成熟度模型並未特別針對行動應用進行說明，但其五大核心支柱：身分識別、裝置、網路、應用與工作負載，以及資料，實際上都可以合理對應到行動裝置面臨的威脅場景：

• 裝置層：在授權存取之前，先評估裝置狀態，例如是否為已 root 或模擬器環境。

• 應用與工作負載：偵測執行階段異常行為（如遭篡改）、強制執行完整性驗證，並確保應用程式能自行驗證信任。

• 資料層：保護儲存在行動裝置上的資料與傳輸中的資料，並偵測異常存取行為。

• 跨域能力：將行動應用執行階段的遙測資料整合至集中式偵測與回應機制中。

OWASP MASVS：涵蓋開發階段與執行階段的安全防護

OWASP 所制定的《行動應用程式安全驗證標準（MASVS）》提供了針對開發階段（Design-Time）與執行階段（Runtime）的完整安全指南。企業若依循 MASVS，代表其行動應用已具備以下安全能力：

• 以安全為設計核心原則打造應用程式

• 內建防護機制，抵禦如重新包裝、記憶體注入及未授權除錯等執行階段威脅

OWASP MASVS × 零信任架構：對應關聯一覽

為協助資安團隊將 MASVS 標準落實至實際的零信任運作流程中，MASVS 各項分類可直接對應至零信任核心功能如下：

• V1：架構設計與威脅建模：定義信任區域（Trust Zones）

• V2：資料儲存安全：最小化儲存並加密敏感資料

• V3：加密機制：保護應用內的機密資訊與金鑰

• V4：身分驗證：強化以工作階段（Session）為基礎的信任模型

• V5：網路通訊安全：透過 TLS 與憑證綁定（Pinning）來保護 API 流量

• V6：平台互動控制：降低應用與裝置平台的風險暴露

• V7：程式碼品質控管：減少來自軟體供應鏈的安全風險

• V8：韌性強化：實現執行階段的安全防護（如防篡改、防除錯）

這些控管措施將零信任原則直接植入行動應用的執行階段，彌補傳統邊界防禦的不足。有意導入以威脅情報驅動的行動防禦策略的組織，也可參考 MITRE ATT & CK Mobile Matrix，該矩陣紀錄了真實世界的攻擊行為，能與如 OWASP MASVS 這類規範性框架互為補充。

MITRE ATT & CK 能協助：

• 根據攻擊者的實際行為，制定更精準的執行階段偵測策略

• 使應用程式監控功能與特定敵對戰術（Adversarial Tactics）保持一致

在行動端落實零信任框架 

這些框架共同強調的核心理念很清楚：持續評估、動態執行與架構韌性。然而，現今許多行動應用仍停留在靜態防護，對執行階段的威脅缺乏察覺。

要將零信任落實到行動端，關鍵在於：

• 將行動應用的執行階段視為活躍的攻擊面

• 在應用程式內部做出信任判斷，而非僅止於外圍

• 持續驗證應用程式的完整性與行為

• 將應用層面的偵測資訊回饋至企業的資安營運中心（SOC）與事件響應流程

這些框架不只是參考資料，而是構築保護行動應用的策略基礎，使應用能主動防禦，符合零信任以驗證為優先、拒絕假設的精神。

實務案例：在行動執行階段落實零信任 

金融、醫療和數位服務等多個產業的組織，已採用行動應用執行階段防護平台，將零信任理念延伸至行動應用程式中。這些領先企業不再僅依賴邊界防禦或部署前掃描，而是將安全決策移至應用層面。

透過執行階段防護策略，他們能夠：

• 縮減行動應用的攻擊面，並即時偵測篡改行為，降低資安事件風險

• 透過強化身份驗證、存取控管及資料保護，簡化符合 PSD2、GDPR、HIPAA 等持續演進法規的要求

• 將應用層安全早期整合至產品開發流程，加速安全產品交付，減少修正迴圈與發布延遲
• 在以行動為先的市場中建立用戶信任與忠誠度，因為安全的應用體驗直接影響用戶留存率與品牌價值

這些組織正從被動防禦轉向主動執行，將行動風險控管與法規遵循、詐欺降低和用戶體驗連續性等商業目標結合。他們也意識到，保護行動應用的執行階段環境需要深度且專業的技術能力，這遠超出傳統工具或內部團隊所能單獨提供的範疇。

為了有效實踐，他們選擇與能夠將零信任原則落實於行動應用本身的專業夥伴合作。因此，他們不只是採用資安框架，更是在用戶裝置上、於執行階段將這些框架具體落地。這樣的策略已開始帶來明顯成效：企業回報在法規遵循上的準備度更高，安全應用的上市時程也大幅加快，展現出其在行動應用零信任投資上的可衡量投資報酬（ROI）。

2024 年資料外洩事件的平均損失成本已上升至 488 萬美元，金融機構受創尤深，每起事件平均損失高達 590 萬美元。隨著每年數百萬台行動裝置遭到入侵，且行動應用程式已成為數位互動的核心，主動防護的投資報酬率（ROI）早已不再只是理論推估，而是企業必須立即採取的行動。

Promon 如何提供協助？

Promon SHIELD™ 具備防篡改、防逆向工程、防注入攻擊、防偵錯分析、防仿冒應用等多層次安全防護，能有效抵禦針對性的駭客攻擊，讓企業無需更改原始程式碼，即可透過快速整合，提升行動應用程式的安全性。

透過 Promon SHIELD™，您的 App 可抵禦惡意軟體攻擊、應用劫持、Root/Jailbreak 風險、憑證竊取與記憶體攻擊，確保應用程式即使在不受信任的環境中運行，也能維持高安全性，讓企業與使用者享有無縫且安全的數位體驗。

• 自主應用驗證：無需第三方 API，適用 iOS 和 Android，企業可 100% 掌控應用安全。
• 多層次防護：防範惡意軟體、應用程式篡改、逆向工程與 API 濫用，確保數據與應用完整性。
• 快速部署與國際認證：無須更改原始碼即可整合至 CI/CD，並符合 EMVCo SBMP 等國際安全標準。