【臺灣資安大會直擊】亞馬遜4大資安防禦層作法首度在臺公開，亞馬遜日本資安官親自揭露

企業的資安漏洞在黑市裡被兜售，防不勝防，或許企業無法阻止資安漏洞被賣到黑市，但也許可藉漏洞獎勵計畫（Bug Bounty Program）形成一股與黑市競爭的力道，在臺灣資安大會的最後一天（3/21），亞馬遜日本資安官陳浩維在臺首度揭露亞馬遜資安防禦機制，更點出參與漏洞獎勵計畫的白帽駭客，在防護機制上，有著舉足輕重的地位。此外，除了擔綱亞馬遜日本的資安負責人，陳浩維還是亞馬遜全球漏洞獎勵計劃的負責人，因此他也在演說中分享，亞馬遜如何把白帽駭客當成自己的夥伴，一同聯手強化資安防護的戰力。

亞馬遜零售事業的資安防禦機制，陳浩維表示，可由上而下，畫分為4層。首先是審查層，為了有效地審查程式碼與架構的安全性，亞馬遜從教育訓練著手，不只軟體開發者須接受資安相關訓練，全體員工每年也都必須參加資安訓練課程，以確保每位員工都具備嚴謹，且最新的資安思維和認識。有了著實的訓練後，每個開發者所設計的程式碼，都需通過同儕審查機制，才可進行部署。

而為有效管理不同類型的應用程式，亞馬遜還按應用的資安風險程度，將它們畫分進不同的類別，以進行不同的審查流程，包含了模擬攻擊，及審查架構設計等程序。陳浩維舉例，管理客戶資料的相關應用，就歸屬於最高級風險的類別，需要經歷最嚴謹的批准程序，才可通過審查。

但陳浩維指出，即使經過分類，需要審查的軟體數量仍十分龐大，為解決人力不足的問題，軟體開發部門於是在各地招募駐地的外部開發人員，經過訓練後，賦予他們資安大使的認證資格，協助參與程式設計的功能審查。審查層的最後一道關卡，則是針對已發覺有漏洞，但尚未修復的應用，進行部署控制，確保應用在未完成漏洞修復工作前，不可上架或更新版本。

審查層所設下的多道關卡，其實是為篩選出需進入第二階層防禦機制，進行實際安全測試的應用，陳浩維解釋。第二層的測驗由亞馬遜資訊部負責，除了透過靜態程式碼分析，確保程式碼的品質，亦藉由估算攻擊者可蒐集的資訊量，測試者會對僅知名稱的應用，進行黑箱滲透測試，另外，對完整了解其環境的應用，進行白箱滲透測試。且此階層不只涵蓋手動的測試方式，也採取自動化的方式，掃描應用存有的弱點。

下一階層則為紅隊測試，內部資訊人員以攻擊者的角度出發，針對滲透測試無法完整盤點資安風險的關鍵產品，以及安全係數較高的應用，模擬駭客各種可能入侵的手段，通過探查作業，找出產品和應用的弱點，以實際了解它們可能遭受攻擊的漏洞，來對照出防禦能力上的缺陷，進而快速防堵並採取因應措施。    

最後一階層的資安防禦機制，亞馬遜則透過與外部的白帽駭客合作，借助他們的攻擊思維，找出應用與產品被遺漏的弱點，強化防禦能量，並有效減少投入的資安成本。陳浩維還進一步說明，白帽駭客協助防禦，更是為了要確保客戶對亞馬遜服務的信任，且因白帽駭客來自於全世界各地，所在地為不同的時區，而能24小時不中斷地進行大範圍的測試，以幫助亞馬遜發覺其忽略的漏洞。集結白帽駭客戰力的亞馬遜全球漏洞獎勵計劃（Vulnerability Reporting Program），目前分為邀請制和公開參與制兩種模式，陳浩維透漏，亞馬遜也正考慮未來開放內部員工一同參與。

亞馬遜也用以客為尊的服務思維，來與白帽駭客合作，陳浩維解釋，不只是提供獎勵，從去年開始，亞馬遜更頒發感謝證書給邀請制中的白帽駭客，這也是亞馬遜創立20多年來，頭一回頒發證書給駭客。為表最高的尊重之意，證書還附上手寫卡片及管理高層的親筆簽名，以示亞馬遜對參與者的重視，而這些巧思就是由該計畫幕後的主力推手陳浩維所提出。透過這些舉動，亞馬遜期望建立與白帽駭客間的信任，成為一同對抗惡意攻擊的夥伴。

陳浩維強調，不管是透過內部紅隊模擬惡意攻擊者的行為，或是邀請外部白帽駭客參與滲透測試，都是望能提高攻擊者的成本，並在真實攻擊發生前，做好防禦，且創造不只對企業，也對網路社會有益的生態圈，讓大眾能安心使用網路服務。