【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布<br><br>

2016/11/11

原為遊戲橘子集團旗下資訊技術與安全部門的果核數位,可說是國內極少數由企業內部培養白帽駭客後獨立營運的IT廠商,除了擁有二類電信執照,可提供IDC服務,更基於在遊戲產業與黑帽駭客交手超過十年的實戰經驗,跨足資安健檢服務,包含滲透測試、原始碼檢測、社交工程郵件測試等服務項目。

早在十多年前,多數企業對資安概念就只有防毒軟體的年代,遊戲橘子就已成立資安處,擁有自家的資安團隊。那時就身為成員之一的果核數位總經理丁瑋明回想,「當時遊戲橘子根本是黑帽駭客練功、賺取獎金的標的。此後資安處花費很多時間在教育內部員工,從企業文化扎根到持續性教育訓練,如今同仁們對於資安的敏感度皆已內化,可說是我們最自豪之處。」

企業即使想努力強健資安體質,但只要員工的資安意識不足,即便是擁有最先進的技術設備,也無法抵擋外部威脅入侵。畢竟只要員工稍有疏失,點選一封惡意郵件內容,即可能被滲透成功。遊戲業者在長期飽受外部資安威脅挑戰下,已累積各式不同滲透攻擊手法的實戰經驗,因此果核數位才會進一步提供資安服務。縱使未必涵蓋所有產業特有的攻擊手法,仍絕對有能力協助客戶大幅降低風險。

近兩年在台灣興起的行動應用App檢測,亦是果核數位技術團隊擅長的項目。丁瑋明說明,畢竟具備資安概念的開發人員相當少見,因此過往在遊戲架構設計的初始階段,資安處即開始參與開發團隊,協助從各個層面檢視潛在的風險。去年開始針對Android系統平台推出appGuard服務,主要即是從參與App開發的經驗中發現,以現在的玩家技術,只要取得Apk檔,即可簡單地執行反組譯,讓程式碼一覽無遺。 果核數位最初研發App保護措施,純粹是遊戲業自身應用所需,近年來發現銀行等產業對App安全性的意識也逐漸提升,才設計為appGuard服務,讓企業不需提供程式碼,即可建立防反組譯、防竄改、防動態記憶體修改、資料加密等機制。


appGuard服務提供的方式,主要是由客戶自行登入入口網站,上傳Apk後由系統自動配置套用保護措施,完成後下載立即可用。至於功能性較複雜的Apk,則必須採以客製化方式實作,由研發團隊先行了解App功能性後,制定出保護措施。當然,再強大的保護措施都有可能遭遇被暴力破解的風險,萬一採用appGuard保護的App日後遭受破解,果核數位亦會協助調整防護措施,直到駭客無法破解。

▲果核數位總經理丁瑋明提醒,多數App開發廠商僅著重於符合功能性需求,未涉及處理安全性問題,企業或組織可透過合約來要求建立基本保護機制,以免App資安漏洞百出。

連結內容: http://www.netadmin.com.tw/article_content.aspx?sn=1611070002

其他動態