F5 許力仁:保護駭客的第一目標-應用程式

應用程式問題千瘡百孔,凡是人寫出來的必然有漏洞,多數人是半閉著眼睛的心態讓系統上線的,然後祈禱不要出事,這樣的作法早些年或許可行,近年來資安專家的呼籲與安全規範的明確化等,應用程式安全已不容忽視。

(本文為2018網路資訊「無邊界網路安全研討會」台北場之會後報導)

「應用程式一直被駭客視為第一目標,一旦被攻破即可取得資料,但為何很少人談論保護應用程式呢?」F5 Networks 台灣區資深技術顧問許力仁拋出一個重要疑問。應用程式問題千瘡百孔,凡是人寫出來的必然有漏洞,多數人是半閉著眼睛的心態讓系統上線的,然後祈禱不要出事,這樣的作法早些年或許可行,近年來資安專家的呼籲與安全規範的明確化等,應用程式安全已不容忽視。

F5 Networks 台灣區資深技術顧問許力仁

事實上應用程式開發者不是不知道資安問題,但應用程式面對激烈商業競爭,必須盡可能介面親和、功能豐富,開發只會更複雜化,複雜的結果只會產生更多安全隱憂,即便開發者明瞭保持程式精簡才易獲得安全,也難以真正付諸實行。

另外根據調查,最常見的應用程式攻擊來自Web,約三成以上,偏偏應用程式Web化是個趨勢,三成攻擊中又有七成是SQL Injection(資料隱碼攻擊),許多網站的使用者帳密因此攻擊而外洩。

應用程式問題已讓人擔憂,但未來的資安趨勢走向更難樂觀。許力仁資深技術顧問解釋,過去的應用程式多佈署在企業機房內並只透過區網存取,資安防護好施行,而今愈來愈多應用程式搬遷到雲端,但企業又不能全然掌控雲端機房的資安;其次是BYOD盛行,愈來愈多人用自己的手機、平板等行動裝置存取企業資料,而手機發起的攻擊行為比個人電腦更難辨識;其三是SSL加密普及化,過去只在網站帳密登入時使用加密,而今幾乎全站全程使用,網站伺服器運算負荷大增;最後是威脅攻擊複雜化,使人防不勝防。

針對這些F5幾經檢視與審思,認為應用程式防護須考慮以下環節:1. 網路 2. 加解密 3. 網域名稱伺服器(DNS) 4. 應用程式身份認證 5. 應用程式服務 6. 用戶端(Browser, App)。

另一數據也再次呼應應用程式安全問題的嚴重性,2017年全年美國資安事件調查中,資安事件中嚴重到通報到州政府且有明確賠償事件的佔了三成,三成中有一半與應用程式本身有關,其次則有三分之一是使用者帳密問題。許力仁也舉實例,2016年舊金山地鐵資訊系統中了勒索軟體導致無法賣票、驗票,修復過程中只能免費讓人搭乘。

其他資安威脅也包含網路上應用程介面(API)的呼叫量大幅成長,然呼叫過程中的資安防護卻跟不上;或者多數人的認知DDoS攻擊只會發生在網路底層,然而今日已開始有網路高層(應用程式)的DDoS攻擊,且更為脆弱,底層的DDoS攻擊防禦可以每秒承受百萬次,但高層次的DDoS攻擊僅在1分鐘內90次的服務請求便讓網站掛點。

還有機器人(自動化程式)攻擊也日益猖獗,它們有些在偷用他人電腦的運算資源來挖礦,有些在試圖破解他人的帳密,有些在支援DDoS攻擊,有些則在勒索(將使用者資料加密,須支付贖金才能還原),或自動產生帳號、支援網路搶票等。

最後一種攻擊是駭客去地下網站購買已外洩的帳密,透過自動化分析研究其中的帳密規則,如此過往的暴力猜測帳密攻擊可以更精準、更省時。以上都是近期新型態的應用程式攻擊型態,呼籲大眾與企業當多加警惕防範。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416