工商時報【工研院資通所所長闕志克】

近年駭客攻擊手法升級、惡意程式越來越多，更有工具可自動產生惡意程式。在IoT時代，靠過去傳統資安防護已緩不濟急，應當從最基本的「應用程式白名單」建立資安防護網。觀察全球資安產業，發展「應用程式白名單」仍非資安企業產品的主流，因此，臺灣資安產業跳躍國際市場仍有機會迎來新錢潮。

應用程式白名單（Application Whitelisting），是隻允許正面表列的程式執行，適用在固定功能的電腦設備，建議裝置的場域如自駕車、車載電腦、行車記錄器等車載系統，以及ATM、伺服器、無人機、電力系統等高安全需求的場域。應用程式白名單雖然不見得可以解決所有資安問題，但至少可以確保不會有惡意程式，成為最基礎的資安防護網。

駭客攻擊主要是利用程式弱點攻擊，例如程式漏洞，或是從正常的程式植入惡意程式後再伺機執行，要如何防止駭客攻擊弱點有兩種方式，分別為黑名單及白名單。過去普遍以黑名單進行資安保護為主，在黑名單中的程式皆不可執行。但由於近來惡意程式自動產生器的發明，讓惡意程式的數量已多於非惡意程式，因此資安以黑名單防護的時代已經緩不濟急，應用程式白名單更成為近年美國、澳洲等國政府要求各單位部署應用的資安技術，以防範未知的攻擊。

預防勝於治療

軟體自動更新是最大挑戰

目前包括美國國家標準暨技術研究院NIST、美國國家安全局NSA，以及澳洲相關政府單位已表達應用程式白名單的重要性，面對資安問題應該預防勝於治療，提升主動防護的能量。

應用程式白名單各家資安業者過去皆有研發，該技術並非近年纔出現，而是已行之有年，但過去應用程式白名單不是資安技術發展的主流，主因為使用時彈性不足，例如個人筆電若要頻繁下載使用某些軟體，就得在白名單內主動持續更新相關程式，使用上相對麻煩，在固定功能的終端電腦設備使用較為適合。

而應用程式白名單的概念看似簡單，可是困難之處在於必須解決「自動產生與維護白名單」的問題。假設在智慧工廠設備內的應用程式白名單中的某程式為原版，但當某程式更新至第二版本並需要執行時，應用程式白名單仍停留在原版，則應用程式白名單會判斷更新後的某程式為壞人，並不允許執行，可能為裝置應用程式白名單的智慧工廠產線等設備帶來影響，甚至影響產能與營收獲利。

所以若程式軟體更新，應用程式白名單也須跟著更新，自動產生與維護白名單，成為資安產業發展該技術的關鍵。工研院的應用程式白名單技術已可進行自動維護更新白名單，也有防止應用程式白名單被汙染的軟體更新機制等。

政府給力推動

臺灣產業可望嶄露頭角

政府近來重視臺灣資安產業發展，總統蔡英文更喊出資安即國安的政策目標，並將資安產業納入5+2產業創新計畫所推動的「國防（資安）產業之一環」。

同時，資安法也在今年5月於立法院三讀通過，顯示臺灣政府發展資安產業的決心。

以臺灣資安產業發展現況來看，2016年資安產業的產值為351億元，廠商家數與從業人員分別為294家、8,500人，其中硬體比重大於軟體，以網路與閘道安全產品、終端資料防護產品為主。臺灣資安產業多屬於中小型企業為主，要與國際大廠競爭相對困難，但國際大廠目前在應用程式白名單著墨不深，臺灣資安產業若想與大廠競爭，應用程式白名單將有發展空間。

此外，臺灣以硬體製造業為主，更有許多臺灣產業已參與全球科技裝置的設計製造，臺灣產業若能在製造的同時，即搭載應用程式白名單，除能提升產品的附加價值，更能同步帶動臺灣資安產業的躍進。（本文由工研院資通所所長闕志克口述，工研院整理）