亞馬遜日本資安官暨亞馬遜全球漏洞獎勵計劃負責人陳浩維

企業的資安漏洞在黑市裡被兜售,防不勝防,或許企業無法阻止資安漏洞被賣到黑市,但也許可藉漏洞獎勵計畫(Bug Bounty Program)形成一股與黑市競爭的力道,在臺灣資安大會的最後一天(3/21),亞馬遜日本資安官陳浩維在臺首度揭露亞馬遜資安防禦機制,更點出參與漏洞獎勵計畫的白帽駭客,在防護機制上,有著舉足輕重的地位。此外,除了擔綱亞馬遜日本的資安負責人,陳浩維還是亞馬遜全球漏洞獎勵計劃的負責人,因此他也在演說中分享,亞馬遜如何把白帽駭客當成自己的夥伴,一同聯手強化資安防護的戰力。

亞馬遜零售事業的資安防禦機制,陳浩維表示,可由上而下,畫分為4層。首先是審查層,為了有效地審查程式碼與架構的安全性,亞馬遜從教育訓練著手,不只軟體開發者須接受資安相關訓練,全體員工每年也都必須參加資安訓練課程,以確保每位員工都具備嚴謹,且最新的資安思維和認識。有了著實的訓練後,每個開發者所設計的程式碼,都需通過同儕審查機制,才可進行部署。

而為有效管理不同類型的應用程式,亞馬遜還按應用的資安風險程度,將它們畫分進不同的類別,以進行不同的審查流程,包含了模擬攻擊,及審查架構設計等程序。陳浩維舉例,管理客戶資料的相關應用,就歸屬於最高級風險的類別,需要經歷最嚴謹的批准程序,才可通過審查。

但陳浩維指出,即使經過分類,需要審查的軟體數量仍十分龐大,為解決人力不足的問題,軟體開發部門於是在各地招募駐地的外部開發人員,經過訓練後,賦予他們資安大使的認證資格,協助參與程式設計的功能審查。審查層的最後一道關卡,則是針對已發覺有漏洞,但尚未修復的應用,進行部署控制,確保應用在未完成漏洞修復工作前,不可上架或更新版本。

審查層所設下的多道關卡,其實是為篩選出需進入第二階層防禦機制,進行實際安全測試的應用,陳浩維解釋。第二層的測驗由亞馬遜資訊部負責,除了透過靜態程式碼分析,確保程式碼的品質,亦藉由估算攻擊者可蒐集的資訊量,測試者會對僅知名稱的應用,進行黑箱滲透測試,另外,對完整了解其環境的應用,進行白箱滲透測試。且此階層不只涵蓋手動的測試方式,也採取自動化的方式,掃描應用存有的弱點。

下一階層則為紅隊測試,內部資訊人員以攻擊者的角度出發,針對滲透測試無法完整盤點資安風險的關鍵產品,以及安全係數較高的應用,模擬駭客各種可能入侵的手段,通過探查作業,找出產品和應用的弱點,以實際了解它們可能遭受攻擊的漏洞,來對照出防禦能力上的缺陷,進而快速防堵並採取因應措施。    

最後一階層的資安防禦機制,亞馬遜則透過與外部的白帽駭客合作,借助他們的攻擊思維,找出應用與產品被遺漏的弱點,強化防禦能量,並有效減少投入的資安成本。陳浩維還進一步說明,白帽駭客協助防禦,更是為了要確保客戶對亞馬遜服務的信任,且因白帽駭客來自於全世界各地,所在地為不同的時區,而能24小時不中斷地進行大範圍的測試,以幫助亞馬遜發覺其忽略的漏洞。集結白帽駭客戰力的亞馬遜全球漏洞獎勵計劃(Vulnerability Reporting Program),目前分為邀請制和公開參與制兩種模式,陳浩維透漏,亞馬遜也正考慮未來開放內部員工一同參與。

亞馬遜也用以客為尊的服務思維,來與白帽駭客合作,陳浩維解釋,不只是提供獎勵,從去年開始,亞馬遜更頒發感謝證書給邀請制中的白帽駭客,這也是亞馬遜創立20多年來,頭一回頒發證書給駭客。為表最高的尊重之意,證書還附上手寫卡片及管理高層的親筆簽名,以示亞馬遜對參與者的重視,而這些巧思就是由該計畫幕後的主力推手陳浩維所提出。透過這些舉動,亞馬遜期望建立與白帽駭客間的信任,成為一同對抗惡意攻擊的夥伴。

陳浩維強調,不管是透過內部紅隊模擬惡意攻擊者的行為,或是邀請外部白帽駭客參與滲透測試,都是望能提高攻擊者的成本,並在真實攻擊發生前,做好防禦,且創造不只對企業,也對網路社會有益的生態圈,讓大眾能安心使用網路服務。


Advertisement

更多 iThome相關內容