【數位時代專訪】- 做好「隨時被駭」準備，App資安先驅果核數位：滴水不漏的資安保護過時了

2019/12/09

許多人的電腦裡面，可能或多或少都有安裝防毒軟體來避免中毒；但會在手機裡面安裝防毒軟體的人，恐怕屈指可數。

「一般人在下載App時，他要求你提供什麼權限，很多人根本沒看就按確定了。那可能後門就這樣裝進去了。」橘子集團旗下資安公司果核數位的總經理丁瑋明無奈地說。

智慧型手機成了人們的生活必需品、純網銀也準備在明年陸續上路，大眾的手機資安意識卻始終不見起色。有感於此，果核數位專注於開發App的資安防護機制，希望為飛快進步的手機科技，套上一層金鐘罩。

台灣App資安待加強，部分開發者連資料加密也沒有

手機App的資安風險控管之所以困難，除了大眾意識不足外，還有另外兩個面向：政策規範不夠有力，以及App開發者的資安防護措施落實不完全。

在台灣，政府對於手機App的資安風險規範主要是依據經濟部工業局自2015年起實施的《行動應用 App 基本資安檢測基準》。該法規每年皆有進行沿革，但丁瑋明認為，一直到2個月前剛上路的3.1版本，這個規範才算有到位。

「這次的3.1版本參考了國外標準，如美國的NIST（美國國家標準與技術研究院）以及國際雲端安全聯盟CSA的規定，因而拉升資安檢測的水平，」丁瑋明說，「我們過去遇過許多App，即便通過了早期的驗證版本，只要花上兩個小時還是有辦法被我們破解。」

此外，開發者的資安意識也有待加強。果核數位發現，許多開發者對於Android及iOS兩大系統各自的弱點並不熟悉，資料儲存方面也遇過很多App根本沒有幫資料進行加密。一開始從防堵遊戲外掛起家的丁瑋明也指出，App跟遊戲類似，生命週期都比較短，開發者如何在App更新改版時，同時顧及資安漏洞的填補，也是一大挑戰。

為此，果核數位研發兩項手機資安App的防護機制： appGuard以及Smart Sensing 。丁瑋明稱appGuard為「資安的鋼鐵衣」，他們在App的外部架設一層虛擬的環境，擋住外界的攻擊。開發者無需提供App原始碼也可以加裝appGuard，也進而排除原始碼外洩的疑慮。

有感於市面上的App目前還沒有即時監控攻擊狀況的機制，果核數位也推出Smart Sensing的服務來配合appGuard的防護功能，透過大數據監控、隨時偵測App是否正在遭受攻擊。

丁瑋明強調，過去那種想要達到「滴水不漏」的防護概念已經不合時宜。人們應該抱持著自己的App隨時有可能被入侵、破解的想法，才有辦法不斷隨駭客攻擊技術的提升，來調整資安防護的設計。畢竟以目前的狀況來說，台灣的App資安仍在初期的發展階段。

資安管控機制不全，網銀仍需更多準備

資安發展要如何追上新服務與技術的研發，始終是許多新創所面臨的問題。丁瑋明以網銀為例，分享他所觀察到的業界狀況。

「很多銀行證券的App都是委外來進行開發的。而且當你打開它們的App，常常會發現它們都長得一樣，」丁瑋明說。果核曾經拜訪這些委外開發商，告訴他們App的資安防護必須升級，但關於資安防護的權責歸屬究竟在哪一方身上，也並沒有一套確定的說詞。因此，丁瑋明不諱言，認為網銀資安仍需更多的準備。

丁瑋明對開放銀行的到來，感到既期待又怕受傷害，尤其是開放銀行將大量運用到Open API。他指出，銀行透過資料的開放固然可以讓許多第三方業者開發新功能，但這些API的程式開發品質如何管控？一旦銀行將資料開放，獲得使用者的同意開放權限給第三方業者後，萬一資料洩漏，權責歸屬問題又該如何處理？這些都是未來開放銀行需要面對的問題。

資安界的下一個難題：IoT時代

作為台灣資安業界專注於手機App資安的先驅，果核數位也看到未來台灣資安的一大挑戰：IoT時代的來臨。

丁瑋明表示，由於人們對App資安意識的不足，因為下載App而被安裝後門的手機不計其數。他預測，過去主要由電腦來發動的DDoS攻擊，以後可能都會由手機來發動了。

「只要發動攻擊時每個人送出幾k的網路流量，要達到1.7T的攻擊都有可能。以前只要看到破T的DDoS攻擊量我們都很不敢置信了。」他說，一般公司根本無法承受這樣的攻擊，隨著IoT時代的來臨，更多的設備都可能被用來發動DDoS的攻擊。

IoT時代的資安也將遇到新的挑戰——IoT設備太多樣化，而且不像手機主要是以Andorid及iOS為主，IoT設備各家企業的底層系統都不太一樣，光是如何進行檢驗就要考慮相容性等複雜問題。IoT也涉及到如車子這種相對封閉、保守的產業，不願意對外公開系統，因此提升資安防護的難度。「這會是一個非常複雜的市場，但肯定也是一個很有前景的市場，」丁瑋明說。

現在，果核數位也逐漸往海外發展，在香港、新加坡開設新據點，並依照各地的市場需求提供不同服務。在金融業發達的香港，他們就繼續推廣App資安相關的業務；而在東南亞，則先從老本行遊戲資安的服務做起。

此外，丁瑋明也計劃開始在海外進行併購，希望透過當地資安公司的協助，能讓果核數位更快地擴大佈局，進一步打入越南、馬來西亞、泰國等其他的東南亞國家。

企業動態

【數位時代專訪】- 做好「隨時被駭」準備，App資安先驅果核數位：滴水不漏的資安保護過時了

其他動態

ESG 3D數位分身 智慧戰情監控平台將於2025智慧城市展展出

DevSecOps 革新：開創全面威脅檢測與快速響應的新時代

果核數位將於 2025 台北國際電玩展 B2B 商務區展出

避免雲端主機淪為跳板收到公有雲鉅額帳單

果核數位再獲 2024 OpenText Outstanding Cybersecurity Growth Award 殊榮

整合優勢資源，共同採購更高效

【2025 AI 人工智慧資安論壇 會後報導】

資安人講堂：2025必須關注的資安10大趨勢

雲原生時代，華為雲 FinOps 解決方案協助提高企業價值

跟著逐步說明，建立雲端策略的行動計畫

華為雲 ServiceStage 整合 Sermant 實現應用程式的優雅上下線

進軍中國遊戲市場的雲端解決方案

AI 人工智慧資安論壇

2025 必須關注的資安10大趨勢

果核數位攜手 OpenText 力推軟體開發安全

雲端安全——執行長必須關注的五大重點

別讓企業App成為品牌不定時炸彈！App安全風險大解析

果核數位藉由第三方 CNAPP，加速實現跨雲與混合式資安管理

雲端技術如何驅動金融科技創新？阿里雲的五大關鍵方案

加速數位轉型：借助 GCP Gemini 和 Colab Enterprise 打造高效開發團隊

優化用量、削減費用：掌握雲端流量管理的關鍵技巧

利用 Database Migration Service 無縫升級 Cloud SQL MySQL 和 PostgreSQL 資料庫

企業上雲，果核數位為企業打造雲端資安防護，實現雙贏安全與效能

騰訊雲媒體傳輸如何實現毫秒級跨洲延遲，助力大型賽事直播

【Okta | Akamai | 果核 | 奧登 _ 企業資安升級 從零信任架構到API防護 】活動報名

果核積極拓展經銷通路，共創 SPKITA 社交工程演練生態系

【DevSecOps實戰：從地端到雲端，全面提升軟體開發安全性】 說明會報名

果核分享實用方案，助力打造通暢無礙的軟體安全開發流程

iThome Cloud Summit - 實現快速安全現代化 - 跨雲和混合式安全管理

2024 年度雲端盛會 Google Cloud Summit 即將登場！

Hacker Talk 論壇報名 - 點破常見的資安迷思，再帶您一次導覽亞洲新型詐騙趨勢!

CYBERSEC 2024 臺灣資安大會 - 果核數位攤位編C233 ，填問券送好禮!

HyperG持續深化appGuard防禦力，捍衛企業機構App安全

【軟體安全開發 X 資安佈署】說明會報名

無人機資安風險與企業資安人力部署的困境

ESG 3D數位分身 智慧戰情監控平台將於 2024 智慧城市展展出

AI 2.0智勝新局 - 2024 IBM Solutions Day

如何確保做好企業資訊安全？這4大DDOS防護方法，推薦學起來！

果核數位將於 2024 台北國際電玩展B2B商務區展出

全面導入AWS以培訓提升員工技能，並使遊戲上市時間加速 70%

果核數位力推 DevOps 開發流程安全思維

果核數位舉辦原碼檢測工作坊，引領企業實踐安全軟體開發之路

2023年最後一場駭客論壇，精彩議程搶先看!!

ISO 27001：2022 轉版重點及技術措施解析

果核攜手Check Point，提出業界最完整的雲端資安攻略

【Source Code Analysis Workshop】活動報名

【強化DevOps開發流程安全】 說明會報名

阿里雲 x 果核數位 每月199雲端乖乖包，保護您的業務順暢運營

DevOpsDays Taipei 2023_DevOps系統委外開發案實務案例分享

【ISO 27001改版 - 企業資安轉版重點解析】 說明會報名

惡意後門與自駕車載資安層出不窮，我們邀請資深資安講師分享個人獨到見解

果核數位匯聚SOC與CNAPP能量，有效打造跨雲安全管理服務

【Alibaba Cloud x Digicentre】未來產業趨勢論壇 迎接下一波網路革命

2023 年 臺灣雲端大會-企業轉型上雲安全實作分享

核智安全從開發端切入，完整保護 App 安全，以 appGuard 融入 DevOps 開發維運流程，展現一條龍服務及在地專業團隊優勢

直播點播加密：安心享受視頻內容，防範未經授權的觀眾亂入我的平臺

新一代安全直播解決方案：快直播抵擋駭客盜用鏈結

AI FOR ALL，四大趨勢觀點引領你探索最新趨勢變化

AWS AppStream 2.0 快速上手

善用抵稅制度強化企業資安防禦力

果核數位攜手 OpenText 完美演繹如何破解程式漏洞危機

調查局與企業資安顧問微妙融合，即將掀起驚滔"駭"浪的資安秘辛，您還不來報名嗎?

CYBERSEC 2023 臺灣資安大會 - 企業安全開發流程升級之路

【資安投資抵稅 快速通關說明會】 報名

【落實資安防護，杜絕漏洞風險】 活動報名

3D數位分身，智慧城市整合監控平台將於2023智慧城市展展出

2023年首發論壇，快來手刀報名，來聽專業的怎麼說!

安全防護：Anti-DDoS 設定教學

十倍速遊戲開發效率SGC研習會

果核數位將於2023台北國際電玩展B2B商務區展出

一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段！

以資安治理角度理解 OWASP Top 10 2021

製造業如何運用雲端技術進行創新轉型

電腦軟體共同供應契約採購【資通安全服務暨資訊服務】-果核數位

以資安治理角度理解OWASP Top 10 2021

公司企業活用CNAPP自動化工具，公有雲安全保護您的資安！

HACKER TALK - 企業資安要做到多安全才是足夠? IoT浪潮下如何面對排山倒海的漏洞? 精彩議程您不能錯過!!

ESG 3D數位分身智慧戰情監控平台將於2025智慧城市展展出

【2025 AI 人工智慧資安論壇會後報導】

【Okta | Akamai | 果核 | 奧登 _ 企業資安升級從零信任架構到API防護】活動報名

【DevSecOps實戰：從地端到雲端，全面提升軟體開發安全性】說明會報名

ESG 3D數位分身智慧戰情監控平台將於 2024 智慧城市展展出

【強化DevOps開發流程安全】說明會報名

阿里雲 x 果核數位每月199雲端乖乖包，保護您的業務順暢運營

【ISO 27001改版 - 企業資安轉版重點解析】說明會報名

【Alibaba Cloud x Digicentre】未來產業趨勢論壇迎接下一波網路革命

2023 年臺灣雲端大會-企業轉型上雲安全實作分享

【資安投資抵稅快速通關說明會】報名

【落實資安防護，杜絕漏洞風險】活動報名

【強化應變建立韌性發展永續金融】金融資安發展論壇 - 加密軟體及金鑰管理應用

科技視覺，釋放數據新價值，創造高效關鍵決策 - 2022 智慧城市與物聯網南港展覽館

地表最強駭客講堂 - 開春首發，不聽會後悔的重量級課程

線上駭客資安論壇將於6/11準時上線

物聯網隱藏資安風險果核數位推AI SOC服務

用AI從Big Data 挖寶掘金！研討會即日起熱烈報名中

資安社群論壇 - 駭客思維滲透測試，帶您進入駭客的世界