Luta Security執行長Katie Moussouris

「當談到資安時,我們需要的不僅只是運氣」,人稱漏洞懸賞女王的Katie Moussouris,在資安界是赫赫有名的人物,在微軟擔任首席安全策略長時,在她推動之下,微軟才有了第一個漏洞懸賞計畫(Bug Bounty Program),但是Katie Moussouris的駭客功力,不是只能在0與1組成的數位世界中奏效。

這位熟悉電腦漏洞的駭客已經另起爐灶,從尋找程式碼間疑似出現漏洞的蛛絲馬跡,將目光移擺到政府、企業上,同樣俐落而不失優雅地發動攻擊,就如同過往她在電腦前,飛快地敲打程式指令般精準。

但是這一次,她的攻擊對象不再是系統,而是政府、企業資安規章上的盲點,「這並非什麼光鮮亮麗的工作,一天得花12小時,跟一群人爭論著法規中句號、逗號位置的差異。」

Katie Moussouris笑著說,許多立法者、規則制定者對於駭客都存在非法、作惡多端等負面刻板印象。這時Katie Moussouris便會回應:「我大可搶銀行、竊取信用卡資料,領取更豐厚的收入,但是瞧瞧我,也只開一臺普通的汽車,駭客並非都很邪惡。」

而Katie Moussouris的野望,便是要扭轉政府、企業現有的資安制度,「讓我這樣的駭客,可以更自在地在現有制度下工作。」

大企業的漏洞回報機制也未必完善

而過去任職賽門鐵克、微軟的經驗,也讓Katie Moussouris了解到,即便規模如此大的企業,想要建立內部漏洞回報機制也會碰上重重關卡。她舉例,當時賽門鐵克雖為全球最大的資安公司,「作為駭客的我,卻無法揭露任何系統漏洞」,令她不解的是,其動機並非想要尋求金錢等回報,純粹只是希望能提升軟體的安全性。也因此她開啟了賽門鐵克漏洞研究計畫,「讓回報內部漏洞變得更容易。」

但是同樣的內部阻力,到了微軟仍然一樣存在,這也讓她感到相當沮喪,因為不管如何設計精良的軟體、系統,只要駭客花費足夠精力、時間都能成功攻破,「即使我們不停發現相同的漏洞,情況仍然不會變好。」

而企業也永遠為資安議題所掙扎,除了要確保軟體可以在一定預算內正確運作,在部署新軟體、服務時,也要確保服務的安全性,「但我們並沒有足夠無止盡的工程師,可以進行測試、修補漏洞。」她表示。

不過事情開始有了轉機,當時微軟高層詢問她:「如果微軟也要推動漏洞懸賞計畫,我們該怎麼做?」獲得高層支持的Katie Moussouris,總共花費了3年,才終於讓微軟推出了第一個漏洞懸賞計畫。

在推動過程中,Katie Moussouris也觀察到企業之所以抗拒漏洞揭露的理由,例如,光是微軟一年就會收到超過20萬封來自駭客無償的漏洞回報信件,「可以想像微軟對於它們的恐懼,萬一開放漏洞揭露,可能會造成無法挽回的局面。」

這也讓她思考,駭客願意無償向微軟回報漏洞的理由,「原因在於,他們的名字會出現在微軟資安布告欄上」,因此,微軟在瀏覽器IE11預覽版釋出時,就一同搭配漏洞懸賞計畫,成功找到漏洞的駭客,不僅有金錢報酬,同時其名也可見於布告欄上。

而微軟的策略成功奏效,在IE11預覽版推出的1個月內,駭客就成功找到18個重大漏洞,僅需要不到3萬美元的成本,「在黑市中,單一重大漏洞的價格可能就超過10萬美元。」她表示。

微軟在瀏覽器IE11預覽版釋出時,就一同搭配漏洞懸賞計畫,獎勵成功找到漏洞的駭客。相比沒有搭配懸賞計畫的IE10,駭客在一個月內就找出IE11內18個重大漏洞,同時,被揭露的漏洞數目也隨時間遞減。圖片來源/Luta Security

駭客首度可以合法駭進五角大廈

而Katie Moussouris的漏洞獎勵機制,在2016年也成功推進五角大廈,讓國防部破天荒地推出第一個漏洞懸賞計畫Hack the Pentagon,吸引了4,000名駭客參加,在短短3周內就回報了138個有效漏洞,「甚至第1個漏洞在13分鐘內就被發現了。」

這也是30年頭一遭,駭客可以合法地揭露美國國防部的系統漏洞。Katie Moussouris表示,這也因為美國國防部意識到不可能全靠自己抓漏洞,更不可能聘用全世界的駭客,「必須為駭客打通這一條道路。」

企業引入漏洞通報必須具備的關鍵五力

Katie Moussouris觀察,許多企業也開始進行漏洞懸賞計畫,像是汽車業者特斯拉、克萊斯勒,匯款公司西聯匯款,或是航空業者聯合航空也著手進行。

但即使有了微軟、五角大廈的成功案例,但Katie Moussouris表示,許多企業仍對於漏洞揭露感到畏懼,「連94%的富比士2,000大企業也沒有公開漏洞揭露管道。」

她認為,這些企業之所以投資大筆成本於資安設備、防毒軟體,甚至滲透測試,卻不願讓來自全世界的駭客無償地回報漏洞,「原因是來自於企業對未知、不可控制因素的恐懼。」

也因此,她也開創了第一個漏洞協作成熟度模型(Vulnerabilities Coordination Maturity Model),幫助企業、政府衡量目前組織內部運行狀況,「引導它們改善漏洞揭露流程。」除了該組織的工程技術能力外,還必須具備溝通、分析等基本能力,方能開始引入漏洞揭露流程、漏洞懸賞計畫,將它們正式納入組織內部中運作。

在Katie Moussouris建立的模型中,她總結影響企業能否導入漏洞通報機制的因素,其中包括五大關鍵:組織架構、技術能力、溝通開放性、資料分析力,以及漏洞回報獎勵。而每個變數,依序還可進一步細分為初級、進階以及高級,「雖然某些組織的資源不如微軟、美國國防部來的豐富,但我希望它們也要開始行動。」

第一關鍵是組織架構,企業、政府中的人力、作業程序能否應付潛在漏洞的存在,她建議,企業主管必須對漏洞回報做出回應,將資安視為組織內的核心價值。

更進一步,企業高層還得編列固定預算,聘用專業人才處理漏洞回報,「這看似很簡單,但是連富比士評比全球2,000大企業中的94%,甚至都還沒有做到這點。」

第二關鍵則是企業修補資安漏洞、加強軟體安全開發的技術能力。Katie Moussouris認為,組織必須要建立獲得漏洞回報的資訊管道,以及用於記錄漏洞的內部資料庫。再者,有更多心力投資更多的企業,還要將每個資安決策歸檔、分析。最後則是利用漏洞趨勢作為分析依據,藉此減少漏洞出現。Katie Moussouris舉例,過去在微軟工作經驗中,開發團隊就禁止使用某些不安全程式函數,「如果軟體內有這類不安全函數,程式碼就無法經過編譯器處理。」

第三要件是確保企業與內部、外部的溝通管道都順暢,「增強駭客與組織間的溝通」,在此面向,企業基本要建立可以接收漏洞通報的資訊渠道,同時也能將該訊息發送至受影響的相關對象。進階做法中,組織必須與資安研究員、合作夥伴、媒體以及用戶建立頻繁、有效率的雙向溝通,「最後一步是打造結構化的漏洞訊息分享計畫。」

Katie Moussouris舉例,微軟過去所成立的MAPP計畫 (Microsoft Active Protection Program),「目的就是要達到專家等級的溝通。」她表示,在發布系統更新之前,微軟即會提前通報防禦業者,例如防毒軟體公司、資安公司,讓它們亦可提早更新數位簽章,讓使用者獲得更好的保護。

而第四關鍵,則是利用漏洞樣本進行資料分析,藉此透析未來漏洞趨勢,並且改善組織內部漏洞揭露的流程。在基本分析程序中,Katie Moussouris認為,企業必須追蹤漏洞數目、漏洞嚴重程度,藉以衡量程式碼品質是否有進步。再進一步,則是利用根本原因分析法(Root Cause Analysis)解析漏洞,利用分析結果,改善軟體開發生命周期。

最後一個關鍵要素中,企業必須提供動機,讓駭客、資安研究員願意進行漏洞回報。

Katie Moussouris表示,面對駭客所回報的資安漏洞,企業除了必須承諾不採取任何法律行動外,也要對其行為表示謝意。不僅如此,企業還可以給予實質金錢回饋,或是展開漏洞懸賞計畫,「鼓勵駭客揪出系統中最嚴重的漏洞。」更近一步,企業還必須熟悉漏洞在黑市的價碼,訂定出合理獎勵報酬,讓駭客更有意願將漏洞回報給企業。

企業面對漏洞該有的預防措施

而面對資安漏洞,企業應該抱持更坦然的態度。Katie Moussouris表示,無論政府或是企業組織,必然會有人發現其中的系統漏洞,甚至也會有被成功攻破的一天,「問題不是它會否發生,而是何時發生。」因此,Katie Moussouris也提出了幾大預防措施,讓企業提早進行預防準備。

首先,企業可利用漏洞協作成熟度模型,開始評估內部組織的工程能力、溝通等因素,衡量自己目前所處的地位。再者,與外部相關人士尋求諮詢,「組織無法避免漏洞回報的出現,必須建立起專屬的因應戰略。」

此外,企業必須評估自己必須達成的目標,向外找尋符合需求的資安服務廠商。Katie Moussouris舉例,規模較小的企業若僅有了解內部漏洞在何處的需求,「可以尋找提供漏洞分類(Triage)的廠商。」當企業不希望漏洞資訊被公開時,就必須拉高標準,交由更專業的廠商、平臺處理。

最後,在組織內部加強資安機制建立,「但是永遠都會有漏網之魚。」Katie Moussouris表示,漏洞懸賞及漏洞揭露機制的目的在於,彌補企業能力所不及之處,並非要取代傳統的資安測試,「如果企業願意釋出善意,駭客可以提供許多幫助。」

2017年將有更大規模的漏洞懸賞計畫

Katie Moussouris也成功向歐盟議會申請一筆190萬歐元的預算,2017年開始,將啟動開源軟體專案漏洞懸賞計畫,讓駭客一同來抓系統漏洞,歐陸內使用開源軟體的政府組織及企業也都將受惠。

她認為,這個計畫不僅讓歐盟可以獲得更多駭客的注目,也可以為漏洞懸賞帶來正面宣傳:「漏洞懸賞不僅合法,同時也能獲得實質的現金回報。」她預計,2017年將會有更大規模的漏洞懸賞計畫,「網路世界並沒有區分國家疆界,對於我們防禦者,必須不分邊界地一同合作,抵禦攻擊。」

 

 CTO檔案 

Katie Moussouris

Luta Security執行長

學歷:西蒙斯學院

經歷:先後在大型企業擔任資安要職,如賽門鐵克技術架構總監、微軟首席安全策略長、漏洞平臺HackerOne策略長,後來創辦資安公司Luta Security,為企業、立法者與政府單位提供資安研究建議

 公司檔案 

Luta Security

● 成立時間:2016年

● 總部:美國

● 主要業務:為企業、立法者與政府單位提供資安研究建議

● 網址:www.lutasecurity.com

● 2016年重要事紀:Luta Security成立,協助美國國防部展開第一個漏洞懸賞計畫


Advertisement

更多 iThome相關內容