隨著近年國際漏洞通報風氣興起,已有不少漏洞平臺,提供了獎金計畫的制度,為企業安排漏洞回報獎勵計畫,例如HackerOne、BugCrown等,這也成為企業可以利用的一種資源與管道。

在這些全球的漏洞平臺之外,臺灣也有類似的資源可以被企業應用,例如,由社團法人台灣駭客協會(HIT),建立的漏洞通報平臺HITCON ZeroDay,他們在今年3月也推動了獎勵計畫,就是一例。

他們不僅是,國內少數發起獎勵計畫的平臺,且是公益性質,期望借助平臺的角色,幫助企業搭起與資安專家之間的橋樑。該平臺目前註冊的使用者數量超過1,500人,企業帳號達300多個,報企業數量則有2,300家。

 

透過聚集研究人員的平臺,取得更多獎勵計畫曝光機會

對於普遍臺灣企業而言,漏洞獎勵計畫還是一個很新的概念。HITCON常務理事翁浩正表示,獎勵計畫的主要目的,是要讓資安專家感到被重視,讓更多駭客幫助企業找到漏洞,持續為企業回報,甚至拿出各種自己曾經發現但未公開的漏洞來幫助企業,避免漏洞流至黑色產業。

另一方面,這其實也可彰顯出企業對於資安的重視,以正面且公開透明的態度來面對資安,並增添大眾對於企業的信賴。

與單純的漏洞通報相比,實施獎勵計畫更具主動性,讓企業能以積極的方式,來達到漏洞及早發現的目的,並期望促成正向的循環。

不過,與一般漏洞平臺的獎勵計畫相比,HITCON ZeroDay的角色定位有些不同。從平臺經營型態來看,普遍漏洞平臺是商業性質,而HITCON ZeroDay是公益性質,初衷是為了推廣給民間政府正確的觀念,漏洞揭露應該是要透明,讓民眾瞭解企業對於漏洞通報是如何反應,盡快修補,期望促成正向的資安環境。

因此,HITCON ZeroDay只扮演通報、媒合的角色,並不經手金流與裁判。在平臺上,臺灣企業可免費註冊企業帳號,快速掌握通報者提供的漏洞,並發布自己的獎勵計畫。

對於企業而言,在自行推出漏洞回報獎勵計畫時,將可以利用這樣的資源,在被動接收漏洞通報之外,將企業自行舉辦的獎勵計畫,發布在此平臺上,算是多一個發布的媒介。

而它的優勢在於,平臺本身已經聚集了一些國內的漏洞研究人員,可以增加專案的曝光度,而不只是發布在自己的官方網站上。而且,如此主動積極的作法,透過這類平臺的傳遞,其實也是能為企業對於資安的重視及成熟度,帶來加分的效果。

但不像商業化的平臺,企業可以付費而享有一套完整的流程,例如資安檢測、顧問服務、獎勵計畫評估,以及漏洞審查等。

透過主動的獎勵計畫,增加企業與通報者的互信

對於企業來說,要運用此平臺的獎勵計畫,主要有兩種形式。

一種是企業自行發布公開規則與範圍的獎勵計畫,刊登在此平臺上;另一種則是企業沒有獎勵計畫,但可以因為通報者在平臺上回報的單一漏洞,為了表達感謝而提供獎勵。

以第二種形式來看,這對於尚未執行獎勵計畫的企業而言,似乎也間接提供了一種方式,讓企業在被動接受漏洞通報時,也能回應自己的獎勵,幫助企業能夠與資安研究人員產生良性的互動,達到鼓勵的目的。甚至,企業也可透過計畫,尋找合適資安人才。

對臺灣企業而言,漏洞回報獎勵計畫,國內已經慢慢正在接受這樣的概念,今年漏洞通報平臺HITCON ZeroDay推動獎勵計畫,獎勵方式分為獎金、感謝函與風雲榜。翁浩正認為,現在一些企業至少願意發給感謝函,其實就是一種態度上的轉變。

獎勵制度可分為3種,獎金之外,還包括感謝函與風雲榜

至於獎勵制度方面,企業可運用此平臺的3種獎勵方式,例如:獎金、感謝函與風雲榜,來感謝對於通報者的幫助,這些都是讓企業與通報者建立互信的作法。

儘管國內業者對於獎勵計畫的接受程度,還有待提升。目前接受獎勵計畫概念的企業,往往最擔心的是,無法預估支付的金額,總獎金的方式會比較容易接受。

不過翁浩正表示,隨著獎勵計畫的推動,現在有越來越多企業,至少會發給感謝函。這多少也顯示了,企業對於漏洞態度有朝向開放的轉變跡象。

同時,他也要企業不要小看感謝函與風雲榜的作用,這對於資安人員的自身成就,也是一種價值證明的記錄。

關於風雲榜的機制,翁浩正也強調,這種形式是讓企業在自己的官方網站上,感謝通報者給他們的資安建議,例如HITCON ZeroDay網站自己被找到漏洞,他們就設立了專屬的頁面,感謝這些通報者的付出。而國際上,像是Google、微軟等企業也都這麼做,目的都是為了增加企業與通報者的互信,期望促成一個正向循環。

基本上,企業透過HITCON ZeroDay平臺上的功能,可以詢問通報者是否要獎金,如果通報者希望匿名就可選擇不要,而當通報者收到獎勵後,也能透過平臺來確認,在網頁上就能顯示該漏洞是有提供獎金的,另外,企業也能利用平臺上的私聊功能,與通報者溝通漏洞與獎勵方面的問題。這主要也是因為此平臺不經手金流有關,僅提供相應機制來幫助企業執行獎勵流程。

值得一提的是,HITCON ZeroDay平臺現在也正在開發新功能,例如,讓企業可以來平臺上提出邀請制的獎勵計畫,目前已經是Beta版。此外,現在平臺上的每個漏洞通報,都將依據漏洞類別自動提供建議資訊,幫助企業快速掌握注意的內容。

企業看待漏洞觀念必須開放,執行Bug Bounty前要先盡力排除漏洞

對於漏洞回報獎勵計畫,企業可能擔心公開讓大家來找漏洞,是否會產生資安事件,或是被找到漏洞對公司商譽的影響。翁浩正強調,企業該認知的是,沒有企業不會被駭,只有會不會承認。

翁浩正認為,觀念上的轉變很重要。例如,負面想法是被找到漏洞很不好,正面想法則是企業一定會被找到漏洞,但企業出錢感謝找到漏洞的人,讓自己變得更好。

而且,企業的通報管道要順暢,內部的反應團隊也很重要,通報到企業內部的資安窗口時,要有能力評估漏洞的正確性,或是與通報者溝通。

不過,他也提醒,並不是每間企業一定要投入漏洞回報獎勵計畫。畢竟,執行漏洞獎勵計畫,就是讓自己的系統開放給民間資安專家、駭客進行漏洞挖掘,並且用漏洞獎金感謝通報者。

但如果一個尚未成熟的系統,貿然加入漏洞獎勵計畫,這很可能導致被找到巨量漏洞,企業必須支付鉅額的漏洞獎勵費用。

因此,在漏洞回報獎勵計畫之前,企業應確認在能力範圍內,盡力排除漏洞,在資安規畫都已經到位的情況下,再來借助更廣泛的外力找出未知的問題,減少思維上的盲點。不論如何,企業對於漏洞獎勵計畫的概念要足夠,而平臺的角色,只是促進企業與研究人員溝通與激勵的一種管道。

 相關報導  化被動為主動,企業開始懸賞抓漏


Advertisement

更多 iThome相關內容