近日舉行的LINE臺灣技術日活動期間(LINE Taiwan TechPulse 2019)期間,LINE GrayLab資安研究室的負責人李丞鎮(Beist),公布了他們在企業內部與產品發布的資安防護作法,同時也透露他們最新的諸多進展。

圖片來源: 

攝影洪政偉

現在企業已經越來越重視資安防護,然而,要如何做好企業內部,以及產品與服務的資安防護,臺灣少有大型企業分享實際經驗,與資安團隊建置。在近期舉行的「LINE臺灣開發日」期間,針對企業在資安防護的作法,LINE GrayLab資安研究室的負責人李丞鎮(Lee Seung Jin,網路代號Beist),他特別公布LINE的具體因應作法。

事實上,這幾年來,在日本東京舉辦的「LINE與Intertrust資安高峰會」,他們持續介紹是如何做好資安防護,在12月3日李丞鎮來臺期間,他特別接受媒體採訪,談到更多的資安團隊運作與最新近況,包括建立內部資安教育平臺,以及運用機器學習,於資安防護等面向,讓大家更深入了解到LINE資安團隊的任務與建置。

李丞鎮的背景是什麼?去年LINE併購了他創立的GrayHash資安公司,因此現在成為LINE的一員,領導GrayLab資安團隊,負責程式碼審核、滲透測試與資安顧問等工作。而他過去曾經在美國黑帽大會(Black Hat)等知名資安大會擔任講師,分享最新的技術研究,也是亞洲首位進入DEFCON CTF決賽的搶旗攻防競賽選手。(攝影:洪政偉)

打造企業內建專用的資安教育平臺,可適用於一般員工與工程師

這幾年來,LINE已經從單純的即時通訊,擴大到整合行動支付、購物、新聞、IoT裝置與通訊的平臺,甚至發展到虛擬貨幣交易所與網路銀行,服務範圍相當廣。他們如何做好企業資安這件事?

李丞鎮表示,隨著LINE的公司規模持續擴大,推出的服務也越來越多,資安團隊需要顧及的對象相當廣,包括LINE在全球8千多名的員工,還有自家軟硬體與基礎設施,以及第三方產品與服務,甚至委外承包商等。而在這些面向當中,其實有許多的難題要去面對,像是企業使用的VPN服務,也可能存在弱點,對於供應鏈攻擊手法的防範也相當重要。

若要做好資安,首先LINE從企業產品開發生命週期著手,李丞鎮指出,在他們的資安團隊的運作流程中,主要涵蓋整個服務發布流程,包含訓練、需求、設計、執行、驗證與發布等六大階段,每個階段都有相應的資安工作,雖然主要管理流程,與一般普遍認知的沒有很大差異,但他強調,LINE的資安團隊會從一開始,就與產品團隊共同合作,而且訓練階段也是非常重要的一環。

因此,李丞鎮特別分享了LINE在員工資安訓練的規畫。例如,他們打造了內部的資訊安全教育平臺,稱之為SEP(Security Education Platform),當中包含針對工程師與非工程師的訓練內容,前者著重在自我的安全防護,以及APT攻擊的認知,後者則強調安全程式碼的撰寫。

事實上,對於多數大型公司而言,為了員工的教育訓練,人資部門通常用線上學習系統,提供領域知識,也會放上一些電腦安全課程與測驗。而LINE資安團隊的作法,是自行建立以資安為主的教育平臺。

從李丞鎮所展示的資安教育平臺介面,我們進一步瞭解LINE在訓練內容規畫。舉例來說,對於一般企業員工,SEP平臺提供了8種資安必修課程,包含帳密安全、電腦安全、應用程式安全、資料外洩保護、避免後門、硬碟加密、自動更新與安全密碼等基礎課程;對於網站開發者,這套平臺也有8種網站開發課程,包括XSS、CSRF、Path Traversal、SQL Injection、命令列注入、演算法、資料加密與傳輸加密等。

特別的是,這個SEP平臺也包含駭客遊戲的競賽挑戰,培養人員對於攻防技術的興趣。而在每個競賽題目中,資安人員可檢視挑戰者的記錄,並察看團隊排名。

對於CEP平臺的建立過程,李丞鎮表示,平臺內容都是由資安團隊自行規畫,大約花了3個月時間建立,未來他預計增加更多課程項目,並將在明年開放外部人員參與,希望能從中得到一些回饋。

 

對於內部員工資安訓練的規畫,LINE資安團隊近期打造了專門的資安教育平臺,提供針對一般員工與開發者設計課程,並且也有資安攻防技術的競賽挑戰。(攝影:羅正漢)

從服務規畫的一開始,就要考量資安

為了產品開發生命週期更安全,在每一個環節,都要確實地執行資安工作,將是重點。

他舉例,對於每次規畫新服務上線LINE資安團隊的工作,就是要讓所有相關的團隊,都要加入一起討論,而風險管理是重點。他們會分配各自的角色與責任,討論攻擊面向與風險管理,並要做到「隱私始於設計(Privacy By Design)。」

在導入與執行階段,資安團隊進行源碼安全檢測(Security Code Check),像是在白箱測試時,以靜態分析找出不安全的程式碼,以及檢視工具與程式庫的安全性,或是檢查是否使用了舊的版本。同時,他們也會限制開發者的環境,針對Alpha、Beta與正式發布版本,採取彼此隔離的措施,且不會在開發模式使用真實的資料。不過,他也提到在此面臨不少挑戰,包括相依性的問題,以及經常使用仍有弱點的函式。

在驗證階段方面,LINE實施了人工程式碼稽核,以及模糊測試來檢測系統漏洞,包含找出注入攻擊的漏洞、無效身分驗證的漏洞,XML外部實體注入(XXE)攻擊的漏洞、不安全的反序列化(Deserialization)漏洞等。他更是強調,所有服務要發布之前,都必須經過資安團隊的審核,必須要等到所有問題都要經過修正,才能釋出。在這個階段中,他指出溝通是相當大的關鍵,他們的資安團隊與開發團隊花了相當多的時間,在這一部分進行討論。

在服務發布之後,李丞鎮指出,資安團隊將要持續監控,畢竟產品之後增加了新功能、改變了程式碼,他們可能不會即時注意到已有異動,因此要有全天候的模糊測試,並且,他們還會測試所有的API,並與之前的結果比較,以分析是否有問題。

另一方面,資安團隊要有安全事件的應變計畫,他提到,LINE具有專門處理的團隊,因應資料外洩、濫用與任何資安事件,而且,資安團隊也將時常與開發團隊保持聯繫。

另外,由於LINE近年提倡DevOps,因此我們也詢問他們對於DevSecOps的看法,他表示,LINE還沒有這麼做,他認為中小企業更容易做,不過未來有機會朝此方向邁進。

試圖將機器學習普遍用於多種防護情境,節省時間將是最大效益

近年機器學習正夯,LINE的資安團隊同樣利用這項技術,強化防禦的各種面向。例如,過去他們導入機器學習技術,以自動化機制,攔阻發送垃圾訊息的帳號,之後也應用於偵測帳號劫持攻擊,並建立濫用行為資料庫以機器學習過濾。

這次,李丞鎮特別說明了他對於機器學習技術的看法。他表示,機器學習用在攻擊面,要比用在防禦面容易,例如,若用在防禦上,只要有1%的錯誤率,可能就沒有效用,不過,他認為,機器學習技術會是相當好的輔助工具,因為可以節省很多的時間,畢竟資安團隊的人力還是有限。

因此,雖然LINE將機器學習用於資安防護面的例子還不算多,處於早期階段,不過未來他們的資安團隊,會盡可能將機器學習技術用於各式場景,並不斷調整以做到精準。

另一個他們團隊花很多心力的部分,是在內部開發工具(In-House Tooling)的安全。李丞鎮指出,他們的任務包括黑箱網站安全的漏洞掃描,以及API模糊測試、異常行為監控,對於第三方雲端服務監控也有必要,需檢視是否有敏感資料上傳,以及檢查版權。

無論如何,資安是每家公司都要面對的挑戰,在有限的資源下,又要面對眾多的服務與快速開發,而彼此之間現在也都更相互連結,又帶來更多風險。李丞鎮指出,他們資安團隊就是要找出這些問題,並以有效率的方式修復,同時,能與其他團隊共同協力來完成,他更是強調,在LINE的資安團隊之中,好的溝通技巧已是相當重要的技能。

LINE資安團隊怎麼分工?

在李丞鎮說明LINE資安團隊的任務之餘,我們也詢問團隊的分工,以及隱私工程方面的作為。李丞鎮表示,現在他們的資安團隊共有80人,而且,LINE在今年5月成立了資安中心,將公司內部的資安人員集合在一個單位。在隱私工程的作法上,LINE臺灣資深資安工程師劉威成補充表示,他們內部有專門的隱私團隊,當中具有法律背景的律師,以及專門隱私工程的專家,也有同時懂法律、資訊與GDPR的成員,以及研究個人隱私權的人。每當產品上線之前,產品都會經過用戶隱私方面的檢查,並有透明化的隱私權聲明。

以LINE的資安團隊而言,劉威成表示,目前旗下公開過的分工項目,包括了隱私工程、應用程式檢查方面,並有資料科學家負責機器學習以分析異常,而傳統資安監控中心(SOC)與緊急應變小組(IR Team),以及CSIRT與PSIRT也都包含在內,較特別的是,還有針對遊戲方面的保護。

持續耕耘社群活動與漏洞獎勵計畫

關於LINE在資安方面的重視,其實從他們近年發起的社群活動與漏洞獎勵計畫,也能看出他們的積極態度。例如,為了讓資安知識能快速交流傳遞,LINE GrayLab在多國舉辦了Becks資安社群聚會。為了增進臺灣民眾對於這項活動的認識,李丞鎮表示,這項活動分享的知識,可讓學生、開發者、資安工程師與非工程師參與,而今年臺灣也已舉行了5場。

另外,漏洞獎勵計畫(Bug Bounty Program)也是他們持續進行的工作項目,透過外界資安專家的力量協助找出資安漏洞,過去LINE也曾在2017年來臺分享他們的執行經驗。這次,李丞鎮更是指出,該計畫從2015年運作至今,他們收到提報並驗證過的漏洞已有超過200個,帶來更多幫助。特別的是,他還透露已有更多獎勵計畫正在籌備中,像是名為Threat Bounty的計畫,具體細節則待後續公布。

LINE在2018年底就宣布,將提供基於FIDO身分驗證的機制,在今年11月20日舉行的2019 LINE DevDay上,我們注意到當中的議程上提到了更多FIDO應用的發展狀況,像是日本已經開始導入,對此,我們也進一步詢問李丞鎮,這項機制是否也將在明年引入臺灣,他表示,希望在明年就能在臺推動,不過詳細情況則有待後續公布。(圖片來源:LINE)


Advertisement

更多 iThome相關內容