以漏洞獎勵計畫,邀請全球各地的資安研究人員幫找安全性弱點,也有臺灣企業已經這麼,NAS大廠群暉就是一例。他們發出超過3萬美元的獎勵,參與的研究人員來自超過10個國家。

在企業資安檢測上,為了讓產品及服務更有保障,越來越多企業運用漏洞回報獎勵計畫(Bug Bounty Program)的方式,希望藉助全球研究人員之力,找出企業未知的弱點,減少漏洞發生而造成難以復原的問題,例如,微軟、Google、Facebook、LINE等全球業者都成立類似的計畫,同時,市場上也出現了專門的漏洞懸賞平臺,幫助企業更主動面對漏洞問題。

對於這樣的新興概念,或許大多數臺灣企業還是很陌生,不過,其實也已經有企業這麼做,NAS設備大廠群暉就是一例。他們期許透過這樣的計畫,邀請世界各地的資安研究人員,來提升他們的產品安全。

群暉的作法,是成立一個「安全性弱點獎金計畫」,主要分成產品、網站服務兩個專案,產品面包含旗下DSM、SRM、各式套件與行動裝置應用程式,以及Synology網站服務。因此,全球研究人員都可以將他們發現的產品及網站安全性問題,就可以透過專屬信箱(bounty@synology.com)回報。

一旦安全性問題經過群暉確認之後,在符合規範與資格之下,該公司將提供獎金給發現潛在漏洞的研究人員。目前,在此公開的獎勵計畫之下,他們已經收到超過10個國家的研究人員提報,發出了3萬美元的獎勵。

對於群暉而言,他們借助全球研究人員之力,找出了未知的漏洞問題,可以及早修補,這提高了用戶在產品使用上的安全,對於自身的品牌信賴度也獲得加分的效果。

曾被勒索軟體當成攻擊目標,因此更加重視資安

對於Bug Bounty這樣新概念,國內幾乎沒有企業開始這麼做,當初群暉為何決定要投入呢?

在群暉軟體研發部擔任資深安全分析師的李宜謙表示,這要從2014年發生的資安事件開始說起。當時,群暉的網路儲存硬碟NAS,成為勒索軟體SynoLocker綁架目標,在國內外引發災情,使得不少用戶遭遇檔案加密、勒索贖金。這也讓該公司更加重視安全的發展,因為重要性已經不言而喻。

在接下來兩年,他們也積極參與資安相關的活動。例如,2015年,他們在HITCON社群場設立了攤位,並且舉行了小活動,讓與會者只要在他們的測試平臺上,可以找出任意存取使用者資料等各式安全漏洞,就會得到他們的NAS設備作為獎勵。

在2016年,他們也到日本接受美國CERT/CC上課,學習資安事件應變處理的方法,包括像是漏洞通報、漏洞驗證、漏洞分類、漏洞修補及漏洞修補發布。李宜謙特別提到,當時上課的老師強調了一個觀念,令他印象深刻,在收到漏洞通報時,不要用法律控告你的通報者,應建立正向良好的互動,而Bug Bounty也是一種方式。

之後他們將這些經驗回報給公司的主管及CEO,順利在公司內獲得支持。同年,他們開始成立產品資安事件應變小組(Product Security Incident Response Team,PSIRT),負責產品安全,以及資安事件應變處理,同時執行了安全性弱點獎金計畫(Security Bug Bounty Program)。

圖片來源/群暉

在執行漏洞回報獎勵計畫上,群暉PSIRT團隊對於資安事件的處理,已經建立一套標準的作業流程,從通報、驗證、分類、修補及發布,都有具體的執行步驟。而在收到獎勵計畫的通報時,他們也是依此流程來執行。

從邀請制的獎勵計畫出發,去年開始轉成公開形式,開放各界參與

對於多數臺灣企業而言,面對漏洞回報獎勵計畫的具體執行方式,可能不容易想像,李宜謙提供了他們的經驗。

群暉PSIRT成立之初僅兩個成員,Bug Bounty是他們的主要工作內容之一。規畫上,他們先是以以私下的方式進行,也就是採邀請制的模式,找適合的資安研究員,入侵他們開發的產品系統。

他們當時邀請了HITCON與交大Bamboo Fox的安全研究人員,希望他們趁閒暇之餘,協助確認其安全性,而具體實施方式上,包含一連串紙本作業要規畫,以及簽署NDA保密協定,同時,也要與對方明確的規則,以便對提出改進建議的駭客給予獎勵。

最初,他們也是抱持著評估的想法,畢竟沒有這樣的經驗。隨著邀請制的漏洞發現懸賞計畫持續施行,具體成效也浮現。李宜謙表示,例如,當時就有研究人員回報一個重大等級的漏洞,CVSS 3.0評分高達9.8,是足以促發下一次大規模SynoLocker的重大漏洞。

在歷經邀請制階段後,在2017年5月,他們將計畫轉成公開的形式,開放各界參與。鎖定的目標,也從原本的產品面向,擴及到自家的網站服務。

基本上,對於收到漏洞回報獎勵任務後的處理方式,他們也設立了專屬電子郵件信箱,並提供PGP金鑰等,讓通報者將郵件加密。後續流程也如一般漏洞通報流程,經過他們的驗證、分類、修補與揭露。

對於群暉而言,這樣的獎勵計畫為公司的資安帶來一定程度的幫助。例如,李宜謙表示,像是上述邀請制發現的重大漏洞,他認為,在足夠的時間下,他們自己也能找出這些弱點,但在獎勵計畫下,至少縮短了3年。

更重要的是,李宜謙認為,PSIRT的成員分成兩個角色,其中紅隊是以滲透測試為主,藍隊是以防守為主。在引進獎勵計畫時,他認為是幫助他們完整的環節,是紅隊難以建構的事實,因為他們沒有人力專門安排一組人去去執行攻擊。畢竟,發現問題很重要,但對應的修補跟政策管理也有關係,而在執行此獎勵計畫之後,他們可以調整人力配置,更專注在藍隊的業務上。當然,面對各種不同狀況、層面的漏洞修補,也是很大的一個挑戰。

不僅如此,從這些漏洞回報的問題,也可以讓他們發現實務上的作法,了解外面如何做滲透測試或攻擊一個產品,甚至可以部署一些前瞻性的系統架構。

然而,群暉現今面臨的挑戰,是人力不足的問題,李宜謙認為,現在資安人才真的不好找,他們也已經從學校開始切入。另外,他也認為現在談的Security by Design,就是不錯的作法,在開發初期就要把安全考量進去。現階段,他們也在爭取資源,盡可能在產品出貨之前,就能做到更好的安全。

未來更是期望參與全球性的漏洞平臺

關於企業自己執行獎勵計畫,還有一些問題需要面對。首先,如何說服老闆接受?這與公司是否重視資安有關。還有像是在獎金預算方面,如何訂出上限,以及與公司財務的溝通等。 特別的是,在公開獎勵計畫後,他們也曾經遭遇獎金匯款問題。因為通報者是伊朗的研究人員,當他們將獎金匯款至該國時,受到銀行方面的禁止。原來是受制於美國對伊朗的貿易制裁,臺灣的銀行不得與伊朗有金流有關。

至於獎勵計畫的執行方式,李宜謙表示,除了公司內部自己執行,他們目前也在爭取經費,加入像是HackerOne這類型漏洞通報與懸賞平臺,將他們要獎勵的任務,發布在更多研究人員合作的平臺,期望為公司安全帶來更多幫助。

 相關報導  化被動為主動,企業開始懸賞抓漏


Advertisement

更多 iThome相關內容