【Bug Bounty概念席捲全球，臺灣也有企業實際應用】群暉跟上全球腳步，推出安全性弱點獎金計畫

在企業資安檢測上，為了讓產品及服務更有保障，越來越多企業運用漏洞回報獎勵計畫（Bug Bounty Program）的方式，希望藉助全球研究人員之力，找出企業未知的弱點，減少漏洞發生而造成難以復原的問題，例如，微軟、Google、Facebook、LINE等全球業者都成立類似的計畫，同時，市場上也出現了專門的漏洞懸賞平臺，幫助企業更主動面對漏洞問題。

對於這樣的新興概念，或許大多數臺灣企業還是很陌生，不過，其實也已經有企業這麼做，NAS設備大廠群暉就是一例。他們期許透過這樣的計畫，邀請世界各地的資安研究人員，來提升他們的產品安全。

群暉的作法，是成立一個「安全性弱點獎金計畫」，主要分成產品、網站服務兩個專案，產品面包含旗下DSM、SRM、各式套件與行動裝置應用程式，以及Synology網站服務。因此，全球研究人員都可以將他們發現的產品及網站安全性問題，就可以透過專屬信箱（bounty@synology.com）回報。

一旦安全性問題經過群暉確認之後，在符合規範與資格之下，該公司將提供獎金給發現潛在漏洞的研究人員。目前，在此公開的獎勵計畫之下，他們已經收到超過10個國家的研究人員提報，發出了3萬美元的獎勵。

對於群暉而言，他們借助全球研究人員之力，找出了未知的漏洞問題，可以及早修補，這提高了用戶在產品使用上的安全，對於自身的品牌信賴度也獲得加分的效果。

曾被勒索軟體當成攻擊目標，因此更加重視資安

對於Bug Bounty這樣新概念，國內幾乎沒有企業開始這麼做，當初群暉為何決定要投入呢？

在群暉軟體研發部擔任資深安全分析師的李宜謙表示，這要從2014年發生的資安事件開始說起。當時，群暉的網路儲存硬碟NAS，成為勒索軟體SynoLocker綁架目標，在國內外引發災情，使得不少用戶遭遇檔案加密、勒索贖金。這也讓該公司更加重視安全的發展，因為重要性已經不言而喻。

在接下來兩年，他們也積極參與資安相關的活動。例如，2015年，他們在HITCON社群場設立了攤位，並且舉行了小活動，讓與會者只要在他們的測試平臺上，可以找出任意存取使用者資料等各式安全漏洞，就會得到他們的NAS設備作為獎勵。

在2016年，他們也到日本接受美國CERT/CC上課，學習資安事件應變處理的方法，包括像是漏洞通報、漏洞驗證、漏洞分類、漏洞修補及漏洞修補發布。李宜謙特別提到，當時上課的老師強調了一個觀念，令他印象深刻，在收到漏洞通報時，不要用法律控告你的通報者，應建立正向良好的互動，而Bug Bounty也是一種方式。

之後他們將這些經驗回報給公司的主管及CEO，順利在公司內獲得支持。同年，他們開始成立產品資安事件應變小組（Product Security Incident Response Team，PSIRT），負責產品安全，以及資安事件應變處理，同時執行了安全性弱點獎金計畫（Security Bug Bounty Program）。

圖片來源／群暉

在執行漏洞回報獎勵計畫上，群暉PSIRT團隊對於資安事件的處理，已經建立一套標準的作業流程，從通報、驗證、分類、修補及發布，都有具體的執行步驟。而在收到獎勵計畫的通報時，他們也是依此流程來執行。

從邀請制的獎勵計畫出發，去年開始轉成公開形式，開放各界參與

對於多數臺灣企業而言，面對漏洞回報獎勵計畫的具體執行方式，可能不容易想像，李宜謙提供了他們的經驗。

群暉PSIRT成立之初僅兩個成員，Bug Bounty是他們的主要工作內容之一。規畫上，他們先是以以私下的方式進行，也就是採邀請制的模式，找適合的資安研究員，入侵他們開發的產品系統。

他們當時邀請了HITCON與交大Bamboo Fox的安全研究人員，希望他們趁閒暇之餘，協助確認其安全性，而具體實施方式上，包含一連串紙本作業要規畫，以及簽署NDA保密協定，同時，也要與對方明確的規則，以便對提出改進建議的駭客給予獎勵。

最初，他們也是抱持著評估的想法，畢竟沒有這樣的經驗。隨著邀請制的漏洞發現懸賞計畫持續施行，具體成效也浮現。李宜謙表示，例如，當時就有研究人員回報一個重大等級的漏洞，CVSS 3.0評分高達9.8，是足以促發下一次大規模SynoLocker的重大漏洞。

在歷經邀請制階段後，在2017年5月，他們將計畫轉成公開的形式，開放各界參與。鎖定的目標，也從原本的產品面向，擴及到自家的網站服務。

基本上，對於收到漏洞回報獎勵任務後的處理方式，他們也設立了專屬電子郵件信箱，並提供PGP金鑰等，讓通報者將郵件加密。後續流程也如一般漏洞通報流程，經過他們的驗證、分類、修補與揭露。

對於群暉而言，這樣的獎勵計畫為公司的資安帶來一定程度的幫助。例如，李宜謙表示，像是上述邀請制發現的重大漏洞，他認為，在足夠的時間下，他們自己也能找出這些弱點，但在獎勵計畫下，至少縮短了3年。

更重要的是，李宜謙認為，PSIRT的成員分成兩個角色，其中紅隊是以滲透測試為主，藍隊是以防守為主。在引進獎勵計畫時，他認為是幫助他們完整的環節，是紅隊難以建構的事實，因為他們沒有人力專門安排一組人去去執行攻擊。畢竟，發現問題很重要，但對應的修補跟政策管理也有關係，而在執行此獎勵計畫之後，他們可以調整人力配置，更專注在藍隊的業務上。當然，面對各種不同狀況、層面的漏洞修補，也是很大的一個挑戰。

不僅如此，從這些漏洞回報的問題，也可以讓他們發現實務上的作法，了解外面如何做滲透測試或攻擊一個產品，甚至可以部署一些前瞻性的系統架構。

然而，群暉現今面臨的挑戰，是人力不足的問題，李宜謙認為，現在資安人才真的不好找，他們也已經從學校開始切入。另外，他也認為現在談的Security by Design，就是不錯的作法，在開發初期就要把安全考量進去。現階段，他們也在爭取資源，盡可能在產品出貨之前，就能做到更好的安全。

未來更是期望參與全球性的漏洞平臺

關於企業自己執行獎勵計畫，還有一些問題需要面對。首先，如何說服老闆接受？這與公司是否重視資安有關。還有像是在獎金預算方面，如何訂出上限，以及與公司財務的溝通等。 特別的是，在公開獎勵計畫後，他們也曾經遭遇獎金匯款問題。因為通報者是伊朗的研究人員，當他們將獎金匯款至該國時，受到銀行方面的禁止。原來是受制於美國對伊朗的貿易制裁，臺灣的銀行不得與伊朗有金流有關。

至於獎勵計畫的執行方式，李宜謙表示，除了公司內部自己執行，他們目前也在爭取經費，加入像是HackerOne這類型漏洞通報與懸賞平臺，將他們要獎勵的任務，發布在更多研究人員合作的平臺，期望為公司安全帶來更多幫助。

 相關報導  化被動為主動，企業開始懸賞抓漏