隨著行動環境持續演化,新的漏洞與威脅也隨之誕生,原因在於,應用程式開發者缺乏行動領域的專業,往往將傳統應用程式的開發模式套用在行動領域,只著重功能而忽略了安全性。
企業營運流程與實務需要進行數位轉型已經無法避免,越來越多企業組織開始為員工及顧客開發行動版企業應用程式,而這股趨勢也讓企業與駭客同時感到興趣。隨著行動環境持續演化,新的漏洞與威脅也隨之誕生,原因在於,應用程式開發者缺乏行動領域的專業,往往將傳統應用程式的開發模式套用在行動領域,只著重功能而忽略了安全性。
為何只要碰到行動裝置狀況就會有所改變?首先,這類裝置及其中包含的所有敏感資料,失竊或被偷的機率都比較高。第二,新近崛起的攻擊型態都是利用行動裝置。惡意軟體可以透過被安裝在相鄰設備中來獲得敏感資訊,電子竊聽可攔截以無線網路方式在應用程式與組織間傳送的資料。駭客還能藉由重新包裝應用程式,加入惡意程式碼後重新載入到應用程式商店,這種作法在銀行業的應用程式中相當常見。
下列五種方法,能讓資訊安全長(CISO)用來保護自家企業組織:
·鎖定應用程式授權:行動應用程式之所以能與裝置韌體及硬體進行互動,是因為在安裝或使用時取得了使用者的授權。連結行動裝置的相機或麥克風可能對使用者增加了使用上的便利性,但也增加了安全風險。在企業使用上,資訊安全長應將每種應用程式的授權範圍縮到最小,只授權給工作上有需要的對象。
·別只依賴客戶端查核:使用者身分與應用程式完整性的驗證,不應該由客戶獨自負責。駭客能輕易繞過這些檢查,存取應用程式中儲存的敏感企業資料。應該從伺服器端加以控制來進行應用程式認證。如果資訊真的極度敏感,則應同時進行行為與情境檢查,例如檢查試圖登入者的所在地點。
·利用第三方技術並持續測試:資訊安全長應評估什麼是處理行動應用程式安全的最佳方式。對大部分企業組織來說,在公司內部設立安全機制其實相當難以維持與升級。資訊安全長應考慮尋求外援來建立安全程式碼架構,部分公司可能需要聘雇顧問或雲端服務供應商。但不論是自行處理或尋求外部支援,都應利用第三方應用程式安全測試工具,在部署應用程式之前加以測試。
·強化應用程式:反向工程(Reverse Engineering)已成為一種相當普遍的技術,透過惡意程式碼暴露系統細節資訊並重新包裝應用程式。為防範這類行徑,一開始就要使用第三方工具進行軟體混淆(Obfuscation),讓駭客難以了解應用程式內容。
·定期執行健檢:資訊安全是一個必須長期關注的問題,因此要常常進行平台健檢來找出弱點。舉例來說,可檢查應用程式內建的沙箱(Sandboxing)是否已被破解,藉此得知iOS裝置是否遭到「越獄」(Jail-broken),或Android裝置的最高使用權限(Rooted)是否被開啟。不過還是要注意使用者隱私的問題,因為執行裝置健檢的行為涉及界線的劃分,有可能被認為是跨越界線的一種侵犯隱私行為。
(本文作者Laurence Goasduff為Gartner公關總監)