從國防實驗室到行動應用：應用保護的發展歷程

2001 年是應用程式安全領域的轉捩點，儘管當時很少人意識到這一點。

今年四月，一架美國海軍EP-3偵察機在與中國攔截機空中相撞後，緊急迫降在海南島。機組人員只有26分鐘的時間來銷毀敏感設備和文件。他們採取了各種臨時措施——往磁碟機倒咖啡，用斧頭砍硬碟。但這還不夠。

同年，OWASP 成立，旨在提高軟體安全性——這標誌著一個社群的誕生，該社群最終定義了我們今天所關注的 MASVS 等標準。

同年，普渡大學博士生 Hoi Chang 與導師 Mikhail Atallah 以及同事 Tim Korb 和 John Rice 合作，編寫了一個用於混淆 Windows 應用程式的程式。這項工作後來發展成為 Arxan。

一年內發生的三件事：一次震撼人心的演示，展現了攻擊者一旦入侵未受保護的系統會發生什麼；一個致力於大規模解決軟體安全的社區正在形成；以及一家旨在讓應用程式更難被逆向工程的公司成立。

這種匯合併非偶然。應用程式保護正成為一個跨越多個領域的關注點——國家安全、商業軟體以及新興的安全開發領域。這些因素需要數年時間才能交織在一起，但2001年正是它們共同出現的年份。

國防時代

兩年前，美國國防部發布了首個強制性指令，要求在軍事採購項目中採用防篡改技術。當時的威脅來自擁有實驗室、逆向工程人才和設備的國家，這些設備能夠從單次運行中截取完整的指令序列。產業內發生的事件讓那些擁有相應權限的人員清楚地認識到，這些措施在現實世界中會造成怎樣的後果。

有些國防工程從一開始就採用了安全防護措施。而另一些專案則力爭豁免——防篡改措施增加了成本，延長了專案進度，並使驗證和確認過程變得複雜，因為所有程式碼都必須能夠追溯到需求。而混淆技術的設計本身就增加了這種追溯的難度。

如今也存在著同樣的矛盾——那些會使發展複雜化的安保措施總是遭到抵制，直到損失使代價變得無法否認。

但隨著時間的推移，政策執行力道逐漸加強。已經啟動的項目可以獲得豁免，而新項目則越來越難獲得豁免。所有這些看似微小的豁免最終匯聚成雪崩。

Arxan正是在這樣的環境下創立的。公司早期的智慧財產權是從普渡大學授權的，最初的重點是國防防篡改應用。

商業移民

2010年，出於監管方面的原因，Arxan的防禦部門被出售給了Microsemi，而商業業務則繼續獨立運作。同樣的防護技術也找到了新的應用領域。

一家軟體公司發現其產品遭到逆向工程，並以極低的價格轉售。競爭對手只需購買一份拷貝，破解授權，就能以遠低於原供應商的價格出售。這種威脅切實存在，損失也顯而易見。

製造設備也面臨類似的風險。外國競爭對手可以購買一台機器，拆解硬件，然後逆向工程破解控制軟體，從而迅速製造出仿冒品。有價值的智慧財產權不僅體現在實體設計上，也體現在程式碼中。

這些早期的商業買家都是由威脅所驅動的。他們親身經歷了問題，並尋求解決方案。

金融服務

一家英國大型銀行極具前瞻性，他們及早發現其應用程式使用上存在異常情況，並在任何監管要求之前就開始建立自身的安全防護體系。我們與他們合作，實現了他們所需的功能，並且至今仍在為他們提供安全保障。

其他銀行也紛紛效法。有些銀行在量化了他們想要消除的詐欺損失後才採取了行動。一家機構曾維持著一筆數額可觀的年度反詐騙預算；但在部署應用程式保護措施後，他們不再需要這筆預算了。

這種模式在整個產業中反覆出現：規模最大的機構率先意識到威脅，然後知識擴散到規模較小的銀行、區域性機構、信用社和保險公司。員工在不同機構間流動，並將專業知識帶到了不同的機構。邏輯很簡單：正如一位安全主管所說，這句關於銀行搶匪的老話不假——錢都在那裡。

博彩和收入保護

遊戲工作室在製定安全防護策略時有著一套獨特的考量。遊戲的大部分收入都集中在發售後的最初幾週，呈現出先是急劇增長，隨後是漫長的下滑期。工作室直接告訴我們：他們需要能夠抵禦這種關鍵時期攻擊的安全防護。他們知道攻擊者最終會找到突破口，但到那時，收入曲線已經趨於平緩。

這是最早提出限時安全概念的產業之一：保護措施無需永久有效，只需在獲利窗口期內足夠即可。這個理念不僅適用於遊戲產業，也適用於其他領域：產品發布、併購期間以及受監管的推廣活動都遵循同樣的原則。

威脅是具體的，時間表是已知的，投資回報是立竿見影的。

醫療器械

醫療器材製造商面臨美國食品藥物管理局（FDA）日益嚴格的網路安全要求。防止篡改和逆向工程已成為監管框架的重要組成部分。

但合規並非唯一驅動因素。這些公司也擁有寶貴的智慧財產權——專有演算法、診斷邏輯、治療方案——競爭對手若能取得這些智慧財產權，必將從中獲益。其動機不難理解：監管合規是強制要求，而智慧財產權保護則使其更加迫切。

市場現狀

2020年，Arxan與CollabNet VersionOne、XebiaLabs、Experitest和Numerify合併，組成了 Digital.aiArxan 這個名字在應用安全領域仍然廣為人知，而且這項技術也在不斷發展。

如今，買家進入市場的時機和背景各不相同。有些買家已經親身經歷了威脅——詐欺損失、盜版、競爭情報方面的擔憂。有些買家是為了回應董事會層面的質詢或供應商的安全要求。還有一些買家才剛開始考慮他們的應用程式是否需要保護。

市場已經成熟，這意味著比以往任何時候都有更多的組織受到保護。

我們學到了什麼

威脅的本質並沒有改變。任何能夠存取你應用程式的對手——無論是國家級實驗室還是擁有免費工具的積極分子——都會分析它。改變的是關注此事的人。

二十五年前，應用保護還只是國防領域的問題。如今，它已涵蓋金融服務、遊戲、製造、醫療保健等眾多行業。相關工具也日臻完善－部署更簡單、分析更精準、配置需求更少。但核心問題依然存在：寶貴的邏輯和數據存在於運行於您無法控制的環境中的軟體中。

我們與處於成熟度曲線各階段的買家都合作過。有的買家因為之前受過傷而提早入場，有的買家因為所在產業發展成熟而後來才加入，還有的買家剛開始提出這個問題。

我們發現，切入點遠不如了解自身風險的決心重要。我們在這個領域耕耘多年，無論從哪個角度開始，都能為這種對話提供幫助。