資安漏洞獎勵計畫BugBounty.jp創始人高野聖玄來臺參訪

圖片來源: 

洪政偉攝

資安公司Sprout社長兼漏洞獎勵計畫平臺BugBounty.jp創始人高野聖玄(Seigen Takano)於4月21日來臺拜訪多家企業、政府機關、學校和相關組織等,提供漏洞獎勵計畫的概念,來協助臺灣相關單位利用漏洞獎勵計畫,降低內部系統存在的資安風險。目前,臺灣相關單位可利用BugBounty.jp的網路平臺,申請舉辦企業內部系統的漏洞獎勵計畫。

日本首創的漏洞獎勵平臺BugBounty.jp,主要是鼓勵白帽駭客協助企業發現系統漏洞,可以獲取實質回饋,所以參考了美國漏洞獎勵計畫HackerOne的制度,來建立日本在地化的漏洞獎勵計畫平臺。高野聖玄認為,雖然國外的漏洞獎勵計畫制度已經發展成熟,但是,大部分都是英文報告,日本員工不容易理解漏洞的內容,希望可以建立專門提供日文服務的漏洞獎勵計畫。

高野聖玄接著指出,有些日本企業不希望向外界揭露太多內部系統的資料,會選擇本國的白帽駭客來參加。Bug Bounty.jp目前登錄的成員約三分之二是日本籍白帽駭客,企業收到漏洞報告後,能夠和參與的白帽駭客互相交流,共同瞭解公司內部的資安問題。

然而,雖然世界上許多知名公司和政府目前都有舉行漏洞獎勵行動,廣邀駭客利用外部攻擊內部系統方式,來協助保障公司內部系統安全,例如Google、微軟、Facebook、聯合航空和美國國防部等,但是,還是有許多企業擔心白帽駭客的身分,可能有引狼入室的風險。高野聖玄強調,他們時常在駭客或資安社群圈尋找具有資格的駭客,會去調查該駭客的攻擊能力、聲譽、信用,以及過去是否擁有不良紀錄等,才會邀請該駭客擔任漏洞獎勵計畫的成員,Sprout目前已經擁有538位駭客。

漏洞獎勵計畫是輔助滲透測試的不足

高野聖玄一方面為企業安排漏洞獎勵計畫,另一方面也協助企業執行滲透測試服務(penetration testing),詳細檢測公司內部系統,來發現企業可能遭受外部攻擊的資安弱點和商業邏輯漏洞。滲透測試與漏洞獎勵計畫相比,前者花費的時間與費用會較多,費用大概在日幣300萬元到日幣600萬元之間(約新臺幣82萬元到164萬元),執行時間長達一個月。

高野聖玄說明,Sprout視公司規模來決定派出測試人員的數量,一般他們會派10位測試人員來擔任攻擊者,並允許測試人員可以在任何時間發動攻擊。而且,資安公司需要與公司在測試之前討論公司整體系統的規畫,以及所有檢測的項目,才開始執行滲透測試。

然而,高野聖玄也提到,有些漏洞可能無法利用滲透測試發現,部分企業會再舉辦漏洞獎勵計畫方式,來補足滲透測試的不足之處。Bug Bounty.jp目前提供2種漏洞獎勵計畫方案,一種會開放所有白帽駭客來參與;另一種方案是限制參與人數,高野聖玄指出,因為有些企業的資料較敏感,一般會限制20位到30位白帽駭客參加,但是,這兩種方案都是開放3天的攻擊時間。

不僅如此,高野聖玄同時發現,有些企業會利用漏洞獎勵計畫來培養資安人才,藉由攻擊後收到的漏洞報告,來研究企業內部系統會遭遇的資安威脅,並且提升整體公司的資安能力。而且,企業IT人員如果無法確實分析漏洞,Sprout可以幫助企業來分析,也可以更進一步協助企業修正整體的系統建置。

企業可自行決定漏洞獎勵計畫的獎金

高野聖玄談到,Bug Bounty.jp定義漏洞的獎金是參考美國HackerOne的制度,日本平均舉辦一次漏洞獎勵計畫,費用大概是在日幣150萬到200萬之間(約新臺幣41萬元到54萬元之間),但是,實際上舉辦漏洞獎勵計畫的獎金,包括總獎金、單一漏洞獎金,以及定義何種漏洞是否能計算獎金等制度,都是由企業自行決定。大多數漏洞獎勵計畫不會花光企業所提供的全額獎金,這也是企業願意舉辦漏洞獎勵計畫的因素之一。但是,高野聖玄也強調,如果獎金設得高的話,參與計畫的白帽駭客數量也較高。

高野聖玄說明,Sprout會在個別漏洞獎金裡面,抽取20%的手續費,例如,白帽駭客發現的漏洞價值10萬元,白帽駭客實質拿到獎金為8萬元,Sprout則拿到2萬元。除此之外,企業自行無法驗證白帽駭客發現的漏洞是否為真,需要請Sprout的專業人員驗證,企業需要加付漏洞獎金30%的驗證費,但是,高野聖玄也強調,如果企業認為白帽駭客回報漏洞不正確,Sprout就不會向企業收取驗證費。

目前,Bug Bounty.jp已經協助日本企業舉辦20場的漏洞獎勵計畫,包含日本音樂龍頭集團愛貝克思集團(Avex Group)、百度日本(Baidu Japan)、社群網站Pixiv等,總共找出298個漏洞。高野聖玄認為,雖然日本政府有漏洞通報平臺IPA(Information-technology Promotion Agency)但是,政府處理資安問題的反應較慢。他舉辦Bug Bounty.jp目的,是能夠積極地回應企業遇到資安威脅,並且協助企業修補資安漏洞。

高野聖玄表示,臺灣和日本經常面臨類似資安風險,希望藉由分享他們在日本舉辦漏洞獎勵計畫的成果,向臺灣提倡漏洞獎勵制度,來確實地解決企業內部系統的資安問題,並且尋找有興趣的臺灣公司,成為雙方互相合作的平臺。


Advertisement

更多 iThome相關內容