F5 許力仁：保護駭客的第一目標－應用程式

（本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導）

「應用程式一直被駭客視為第一目標，一旦被攻破即可取得資料，但為何很少人談論保護應用程式呢？」F5 Networks 台灣區資深技術顧問許力仁拋出一個重要疑問。應用程式問題千瘡百孔，凡是人寫出來的必然有漏洞，多數人是半閉著眼睛的心態讓系統上線的，然後祈禱不要出事，這樣的作法早些年或許可行，近年來資安專家的呼籲與安全規範的明確化等，應用程式安全已不容忽視。

事實上應用程式開發者不是不知道資安問題，但應用程式面對激烈商業競爭，必須盡可能介面親和、功能豐富，開發只會更複雜化，複雜的結果只會產生更多安全隱憂，即便開發者明瞭保持程式精簡才易獲得安全，也難以真正付諸實行。

另外根據調查，最常見的應用程式攻擊來自 Web，約三成以上，偏偏應用程式 Web 化是個趨勢，三成攻擊中又有七成是 SQL Injection（資料隱碼攻擊），許多網站的使用者帳密因此攻擊而外洩。

應用程式問題已讓人擔憂，但未來的資安趨勢走向更難樂觀。許力仁資深技術顧問解釋，過去的應用程式多佈署在企業機房內並只透過區網存取，資安防護好施行，而今愈來愈多應用程式搬遷到雲端，但企業又不能全然掌控雲端機房的資安；其次是 BYOD 盛行，愈來愈多人用自己的手機、平板等行動裝置存取企業資料，而手機發起的攻擊行為比個人電腦更難辨識；其三是 SSL 加密普及化，過去只在網站帳密登入時使用加密，而今幾乎全站全程使用，網站伺服器運算負荷大增；最後是威脅攻擊複雜化，使人防不勝防。

針對這些 F5 幾經檢視與審思，認為應用程式防護須考慮以下環節：1. 網路 2. 加解密 3. 網域名稱伺服器 (DNS) 4. 應用程式身份認證 5. 應用程式服務 6. 用戶端 (Browser, App)。

另一數據也再次呼應應用程式安全問題的嚴重性，2017 年全年美國資安事件調查中，資安事件中嚴重到通報到州政府且有明確賠償事件的佔了三成，三成中有一半與應用程式本身有關，其次則有三分之一是使用者帳密問題。許力仁也舉實例，2016 年舊金山地鐵資訊系統中了勒索軟體導致無法賣票、驗票，修復過程中只能免費讓人搭乘。

其他資安威脅也包含網路上應用程介面 (API) 的呼叫量大幅成長，然呼叫過程中的資安防護卻跟不上；或者多數人的認知 DDoS 攻擊只會發生在網路底層，然而今日已開始有網路高層（應用程式）的 DDoS 攻擊，且更為脆弱，底層的 DDoS 攻擊防禦可以每秒承受百萬次，但高層次的 DDoS 攻擊僅在 1 分鐘內 90 次的服務請求便讓網站掛點。

還有機器人（自動化程式）攻擊也日益猖獗，它們有些在偷用他人電腦的運算資源來挖礦，有些在試圖破解他人的帳密，有些在支援 DDoS 攻擊，有些則在勒索（將使用者資料加密，須支付贖金才能還原），或自動產生帳號、支援網路搶票等。

最後一種攻擊是駭客去地下網站購買已外洩的帳密，透過自動化分析研究其中的帳密規則，如此過往的暴力猜測帳密攻擊可以更精準、更省時。以上都是近期新型態的應用程式攻擊型態，呼籲大眾與企業當多加警惕防範。