在臺灣使用率超過8成人口的Line通訊軟體,是如何強化資安課題呢?在2019年的「Line與Intertrust資安高峰會」舉辦前夕,Line公司資安室室長林萬基(Mangi Leem)率領六位資安團隊成員,在東京接受臺灣媒體採訪,首度對外揭露Line如何應對資安挑戰與未來課題。

Line在2011年以即時通訊軟體問世,然而不到十年,至今已發展成整合通訊、購物、行動支付、新聞、IoT裝置的生活化平臺,甚至還進軍虛擬貨幣交易所與網路銀行。同時擔任Line資安室信任與安全團隊及資安策略團隊主管的市原尚久(Naohisa Ichihara)指出,Line資安團隊面臨的三大挑戰之一,就是Line公司的快速成長與擴張,隨著服務不斷推陳出新,不僅服務國際化,合作夥伴增加,更伴隨著成立海外營運據點,企業組織也跟著國際化。

市原尚久表示,另外兩大面向的挑戰,分別是在企業內部方面,面臨專案增加、組織國際化、軟體開發方法多樣化,以及資料分析與利用等挑戰;外部的挑戰則包括網路攻擊手法越來越高竿、攻擊規模越來越大,同時網路詐騙手法與時俱進,而且隱私權問題與不同國家的法規的挑戰也越來越高。

Line的服務規模在近3年幾乎成長了3倍,市原尚久表示,Line資安團隊的人數也跟著擴張至近80人的規模,因為伴隨著Line的服務版圖擴張至IoT物聯網與區塊鏈等服務,資安團隊就必須有能力因應新興技術帶來的資安挑戰。

由Line派出來接受採訪的資安團隊陣仗,就可略知其資安團隊所要負責的業務挑戰。這六位參與訪談的Line資安中心成員,包括負責資安監控中心(Security Operation Center,SOC )與緊急應變小組(Computer Security Incident Response Team,CSIRT)的主管、負責隱私權架構與個資法規的隱私安全主管、負責應用程式安全的顧問、擅長機器學習與深度學習的資料風險分析師、一位年僅25歲且贏得WCTF 2018冠軍的資安工程師—在Line任職三個月就找出Line Pay與日本知名飲料公司合作自動販賣機支付的無線通訊協定漏洞;以及Line在去年(2018)年底完成併購的韓國GrayHash創辦人李丞鎮(Seung Jin Lee,網路代號beist),他是亞洲第一位進入全球駭客攻防殿堂DEFCON CTF決賽的白帽駭客,並有挖掘上百個資安漏洞的記錄。

市原尚久指出,在2013年Line資安團隊面臨較大的資安挑戰主要在於法規遵循,然而到了2019年,Line資安團隊評估其所要面對的10項資安挑戰中,就有8項屬於重大等級的挑戰,包括法規遵循、安全開發周期、漏洞獎勵計畫、個資風險評估、垃圾訊息、帳號盜用、駭客攻擊與智慧化。

面對上述這些挑戰,市原尚久指出,Line除了在軟體功能方面改善登入、隱私控管,推出年齡認證、檢舉功能與E2EE點對點加密功能(Letter Sealing),也推動安全開發生命周期(Secure Development Lifecycle,SDL)的作法:在軟體開發最初的功能設計階段即導入安全設計(Secure by Design)與隱私設計(Privacy by Design),納入資安與隱私的考量;接著在服務部署階段,執行程式碼安全檢查;在進入QA品管階段後,由資安團隊進行風險評估,批准後新服務才可以上線。

一位Line資安團隊成員表示,若資安團隊基於安全考量不核准,Line的服務就無法上線。然而,這難道不會有上層主管以服務上線的壓力強行要求資安團隊放行嗎?該員表示,在公司高層主管的重視之下,資安優先已成為企業文化,同時,資安團隊也沒有守門人的態度,而是主動與開發團隊合作,在服務開發初期就參與規畫,彼此合作以降低服務上線所面臨的資安衝擊。

在服務上線後,安全開發周期的工作尚未結束,還有漏洞獎勵計畫(Bug Bounty Program),市原尚久表示,Line公司自2016年開始嘗試推出漏洞獎勵計畫,希望在服務上線之後,透過獎勵促使各界資安專家協助找出資安漏洞。市原尚久指出,經過三年的學習摸索之後,Line的漏洞獎勵計畫終於有比較穩定的發展。

然而,Line的開發團隊與維運團隊已陸續採納敏捷(Agile)開發與DevOps等方法學,與上述的安全開發生命周期的作法是否有衝突?Line資安工程經理Elenkov Nikolay(也是《Android Security Internals》一書作者)表示,Line有一些服務的發布速度確實很快,對程式安全風險評估的確帶來很大挑戰,因為一般而言程式安全風險評估作業需時一周甚至是兩周以上,因此SDL也必須發展新模式以積極應對。目前Line已採取自動化靜態程式碼測試,同時以每周或間隔兩周的頻率定期自動測試程式碼。在網路部分也採取自動化監控,盡可能做到自動化程式安全測試,以因應軟體發布速度加快的趨勢。

除了安全開發生命周期,Line近年來另一個重大的轉變是導入機器學習技術,打擊令人頭痛的垃圾訊息與帳號盜用。市原尚久表示,Line自2016年底以機器學習技術對抗垃圾訊息(Spam)攻擊,初期由於無法即時修正機器學習模型,因而散播垃圾訊息的攻擊者隔一段時間就會找到規避的方法,後來Line開發出能夠自動更新機器學習模型的方法,每周都可以由系統自行修正模型,才得以有效抑制垃圾訊息問題。

Line也將機器學習技術運用在對抗帳號盜用問題,市原尚久指出,帳號盜用問題在2018年簡直就是一場夢靨。他首度公開近年來帳號盜用的狀況,可以發現帳號盜用事件數量在2017年達到高峰,緊接著在Line於2018年採取積極的因應措施後,帳號盜用事件立即大幅減少,但是問題仍然存在,而且在2018年6月又有增加的趨勢,然而,到了2018年9月,帳號盜用事件數量就一下子降到零,至今仍保持在無帳號盜用的記錄。市原尚久表示,這一方面是資料風險分析師Kim Seonmin透過機器學習找到有效防阻的模型,另一方面也是因為藉由安全設計,從頭改善功能與使用介面流程。

此外,Line也向用戶宣導安全使用方法,提高用戶的安全意識。例如在2017年簡訊認證碼盜用問題嚴重的時候,就透過軟體介面來宣導安全知識,用戶打開Line之後,一定得看完安全宣導影片,才能繼續使用。不過,由於不同國家的文化差別,用戶的安全習慣與主要的安全問題也有很大的差異,因而Line在不同國家推動的用戶資安意識主題也有所不同,2019年日本的用戶資安意識主題則是保護自己的帳戶。

Line資安團隊主管,由左至右分別是GrayLab負責人李丞鎮、資安室室長林萬基、資安室信任與安全團隊及資安策略團隊主管市原尚久。

至於,對企業內部如何宣導資安意識以落實資安文化呢?Line GrayLab資安研究室負責人李丞鎮表示,Line最基本的資安文化,就是視公司的內部網路為網際網路。一般人可能會認為公司內部網路是私有網路,相較於網際網路而言比較安全。「但我們讓同仁理解,公司內部網路其實就像網際網路,我們不會把機密的資料放在網際網路上,因為我們無法信任網際網路,在公司內部網路也是同樣的道理,必須謹慎小心。」

Elenkov Nikolay指出,在推動安全開發生命周期時,除了盡可能讓資安早一點進入軟體開發流程,同時也想盡辦法讓軟體開發同仁更輕鬆詢問資安議題。許多人之所以抗拒談資安,或刻意忽視資安問題,往往是因為擔心造成開發時程延誤,因此Line的資安團隊成立Slack通訊群組,方便軟體開發同仁快速詢問資安問題,以開發人員熟悉的通訊工具去除溝通的障礙。

Line同時也為了提升開發人員的資安意識,針對新進開發人員舉辦駭客攻擊課程。Elenkov Nikolay指出,開發人員有時候很專注於當下開發的服務,就會忽略資安問題;也有時候開發人員採取很有創意的設計方式,然而卻沒注意資安問題。透過駭客攻擊課程,讓開發人員實際理解駭客攻擊是如何容易發生,就能夠更強化開發人員對程式碼安全的意識。

在駭客課程中,Line資安團隊會準備一些有意思的程式漏洞,以及透過漏洞獎勵計畫提報的Line服務的資安漏洞,逐一為開發人員解釋來龍去脈。「通常我們會準備20至30個Line服務的資安漏洞,讓開發人員實際感受到自己寫的程式不夠安全。」李丞鎮說:「我們嘗試把軟體開發人員帶進資安的世界,讓他們理解一旦程式碼不夠安全,就會讓使用者陷入危險的情境,讓開發人員知道安全是第一要務。」

關於開辦駭客課程,身為白帽駭客的李丞鎮一開始還有些擔心副作用,他說:「我有點擔心程式開發人員上完這些駭客課程後,說不定就會開始攻擊自己的公司。結果是我多慮了,開發人員上完課後,逐漸開始注意自己寫出的程式碼是否安全。」

面對未來的挑戰,市原尚久指出Line資安團隊未來的三大課題:網路戰爭、資料隱私與數位身分。首先是面對未來網路戰爭的局面,威脅主要來自組織性攻擊與網路犯罪,必須面對的課題包含零日漏洞(Zero-day)、詐欺(Fraud)、濫用(Abuse)、洗錢(Money laundering)及暗網(Dark-web)與地下駭客組織。

針對組織性的攻擊,Line資安團隊已經著手進行零信任模式(Zero Trust)的布署,亦即每個使用者、每個裝置與每個資料流,每次存取都必須認證與授權,而非傳統認證一次之後即擁有存取權;另一方面,Line資安團隊也將透過SOC資安營運中心、CSIRT緊急應變小組與資安情資等措施,提升資安韌性(Resilience)。對於防制越來越狡猾的網路犯罪手法,則側重於借助資料科學與機器學習等分析技術。

第二個課題是資料隱私,過去看電視、打電話只是影像與聲音等訊號,沒有任何數位資料,然而現在這些行為的背後,不論是內容或使用行為皆是數據與資料。新興科技應用皆與資料脫離不了關係,許多公司的商業模式也因而轉為建立在用戶的資料上,成為不折不扣的資料公司。然而,市原尚久表示,隨著2011年歐洲倡議被遺忘權(Rights to be Forgotten)、2013年美國發生史諾登洩密案、2016年蘋果公司拒絕FBI要求用戶的iPhone解鎖密碼、2018年Facebook大規模資料外洩事件,以及歐盟新個資保護法規GDPR的實施、歐洲對科技巨擘GAFA(Google、Amazon、Facebook、Apple)徵收數位稅的聲浪,與Facebook在2019年開始調整隱私準則,上述事件代表著資料的運用與隱私保護仍是未來重要的課題。

Line資安團隊必得面對的第三個課題是數位身分(Digital Identity),隨著日本在2018年底修法「犯罪收益移轉防止法」,Line也開始推動eKYC(electronic Konw Your Customer),市原尚久指出,上個月Line Pay在日本推出eKYC,讓使用者手持證件,透過手機鏡頭進行使用者臉部與證件照片臉部辨識,以驗證其身分;另一方面,臉部辨識在中國被用於監視人民,而舊金山市則率先成為美國第一個立法禁止警察與執法單位使用臉部辨識。數位身分的應用正在起步,相關的問題也浮出檯面。


Advertisement

更多 iThome相關內容