包括合勤科技、威聯通和群暉科技等,都透過打造 PSIRT團隊(打造產品安全應變小組)因應層出不窮的網路威脅。合勤科技資安長游政卿(左二)、威聯通技術長龔化中(右二)和群暉科技產品安全應變小組經理李宜謙(右一)等都認為,好的PSIRT可以對企業帶來營收,也可以提升產品品質。

圖片來源: 

黃彥棻攝

「對於上市櫃公司而言,無利可圖的事情不會做,所以合勤科技打造PSIRT(產品資安事件回應小組),表示PSIRT對合勤科技營運有幫助,也成為該公司重要的企業競爭力。」合勤科技資安長游政卿如此說道。

不只是合勤科技,包括知名的NAS業者群暉科技和威聯通公司等,也都在企業內部成立PSIRT團隊,負責各該公司的產品,一旦遭遇的各種資安問題,PSIRT團隊都可以在第一時間提出相對應的資安措施。

合勤科技面對挫敗打造PSIRT,董事長擔任最高主管

游政卿回憶合勤科技當年為什麼要打造PSIRT團隊,他說,這是用血淚得來的教訓。

時間發生在2016年11月28日,德國電信遭遇一次大範圍的網路故障,在這次故障中,該公司的2千萬固定網路用戶中,有大約90萬個路由器發生故障(約4.5%),而這些損壞的路由器就是合勤科技的產品。

經過查證,當年德國電信網路故障的原因是因為Mirai傀儡網路造成的,同時間,其他還有愛爾蘭電信的xDSL設備都被駭客接管。

因為德國電信採購合勤科技的路由器故障,結果導致合勤科技不僅要為此投入大量的資源修復漏洞,也同時支付了一大筆罰款。

這件事情也讓合勤科技董事長朱順一開始思考,「不應該把要發給員工的獎金,變成是支付給客戶的罰款。」因此,合勤科技為了因應這類該公司推出產品,一旦爆發各種資安事件,該公司可以有足夠的能量即時因應,於是便在2017年4月,成立PSIRT團隊。

游政卿指出,PSIRT在合勤科技的地位很高,因為,PSIRT最大長官就是重視資安的董事長朱順一,並且是扮演策略中心角色,就不會因為成本過高或是利潤不足的因素,讓PSIRT成為一個不上不下的單位。

成立PSIRT的目的在於保護客戶和公司信譽,也是企業差異化競爭力所在

「成立PSIRT團隊的目的就是:為了獲得客戶的信任」,他表示,資安不僅要高階主管從上而下的支持和重視,公司的流程也必須都符合資安的原則,讓所有的SOP都符合資安的規定,加上,合勤科技的通路商是全球各大電信業者,而這些通路商當中,也開始提供雲端資安的服務,因此,合勤科技也決定取得ISO 27001的資安認證,讓公司的SOP(標準作業程序)都可以符合資安的規範。

游政卿認為,PSIRT的目的是為了保護客戶和公司信譽,許多客戶對於資安議題的關注來自於各種輿情和媒體報導,因此,合勤科技的PSIRT團隊重要的資訊來源在於行銷部門和市場的客戶回饋,內部研發部門會評估,各種漏洞影響該公司產品型號為何?帶來影響性為何?例如,這些漏洞是否已經有POC(概念驗證)?或者已經在現實社會中,已經可以被駭客驗證、執行了?以及是否有自動化的攻擊工具等等。

他指出,該公司的產品經理都要負責產品的損益,完成修補產品漏洞的作法後,怎麼派送並部署這些修補程式才是重點。因為,合勤科技和全球很多電信業者合作,這些業者在最後一哩路,必須委託工裝工程師到客戶端安裝、設定路由器等產品,但這些負責安裝的工程師往往並不在意產品的安全性,而是在意便利性。

游政卿表示,很多廠商的路由器往往有預設帳號、密碼,為了提高客戶服務的滿意度,最關鍵的流程就是修補程式必須到位,例如,從廠商端釋出,往往難在漏洞修補程式,怎麼順利的在客戶端完成修補修補。

雖然,許多PSIRT團隊的任務是事後完成產品漏洞修補,但游政卿表示,合勤科技的PSIRT團隊透過把後端檢測模組化後,並將設計驗證的測試放到設計初期,透過超前驗證的方式,可以在設計的前期,就把發現到的資安漏洞完成修補。「這種Design By Default(預設安全設計)把資安往前做,往往比事後才做漏洞修補要好。」他說。

所以,「PSIRT對合勤科技帶來的價值在於:可以與人溝通、擁有客戶觀點。」他認為,打造PSIRT團隊不是單純為了資安而已,而是必須可以為公司創造利益、提高客戶滿意度,這才是PSIRT真正的價值。

他說,該公司面對錯誤、成立PSIRT後,積極修補各種產品的資安漏洞,並獲得客戶的高度滿意。面對路由器故障遭到德國電信的罰款,合勤科技在成立PSIRT團隊後,對該公司帶來的實際效益就是:合勤科技在2018年,名列德國電信四大優秀供應商之一。游政卿表示,合勤科技的PSIRT團隊,不僅帶來客戶的信任,也對公司帶來實際的營收獲利,更成為和同業帶來差異化的競爭力所在。

PSIRT不僅要懂資安和產品,更必須擅長人際互動和溝通

「成立PSIRT對組織的挑戰,不在是否具備良好的資安技術能力,而是在於人和人之間、和客戶之間的溝通是否流暢,」游政卿表示,畢竟,PSIRT關注的議題,都應該要是客戶所關注的議題,即便企業內部了解漏洞和修補漏洞的重要性,但怎麼讓客戶端也為PSIRT在意的資安重點買單,往往有很長資訊流的環節必須完善。

因此,他笑說:「合勤科技PSIRT團隊成員是該公司研發團隊中,最優秀的一批工程師,也是人際關係最好的工程師。」對內不僅可以和公司內部的行銷、公關和業務部門溝通,對外也可以和客戶溝通無礙。

但他認為,既然成立PSIRT,要長期維運下去,就一定要讓組織有利可圖,不可能只單純依賴熱情維運PSIRT,因此,合勤科技也必須提供PSIRT良好的升遷管道,讓PSIRT團隊有自我提升的動力,打造優秀人才願意留下來、不會被其他同業挖角的工作環境。

有一些大型企業針對資安事件成立CSIRT(資安事件緊急應變團隊),但他說,成立PSIRT團隊其實才剛在起步階段,不僅要具備資安和產品的技術能力,更必須超越成本中心,只有連動到市場、行銷和客戶,轉變成利潤中心,讓PSIRT團隊的技術有價,更成為該公司的最大企業競爭力的差異所在。

威聯通成立PSIRT團隊,將資安漏洞轉換成產品新功能

在大數據時代,不管是企業和個人都擁有大量的資料,採購並使用各種NAS(網路附加儲存)設備,已經是一種常態。威聯通技術長龔化中表示,面對各種傀儡網路、挖礦和勒索軟體的威脅,威聯通很早就成立自己的PSIRT產品安全團隊,而該公司面對的威脅有兩種,通常是自己開發軟體帶來的資安漏洞以及開源軟體函式庫的漏洞。

他指出,剛開始成立PSIRT時,因為擔心分享漏洞資料會影響商譽,許多像是TWCERT或是First等國際組織,因為具有良好的SOP,透過各種稽核方式,可以避免漏洞資訊太早外洩而對客戶造成損害;但龔化中也說,不管是企業端或是消費端客戶,如果是媒體關注的資安漏洞新聞的話,企業和消費者立即更新漏洞修補程式的意願也比較高。

從過往該公司產品發生的資安事件為例,龔化中表示,短期看,只要爆發資安漏洞,全球客戶都會一同受害,但關鍵問題在於客戶能否即時更新修補程式,一旦不能自動更新,則可能對企業營運帶來重大損害。因此,他說,威聯通則透過設定的方式,讓客戶願意及早並主動更新修補程式。

漏洞有兩種,一種是自行開發在輸入欄位造成SQL Injection和API輸入不慎有關,該公司則透過收集程式碼並提供工程師糾錯的工具外,教育訓練更形重要,開發程式時,不僅要採用最小權限原則,不該開放的埠就不要開之外,也要將程式做簽證,確保產品程式不會被亂改,同時,鼓勵消費者使用NAS產品時,可以打開產品的防火牆功能,並且啟用雙因素認證,以確保帳號輸入的安全性。

龔化中帶領研發團隊很長一段時間,他坦言,該公司的PSIRT團隊是放在軟體架構處,他們面對即時威脅時,也要覺得有趣才行。事實上,PSIRT團隊的意見受到內部重視,因為他們不只協助處理漏洞,更重要的是,還會提供產品怎麼修改、未來會更好用的意見,真正做到將資安問題轉換成新的產品功能。他表示,PSIRT團隊成功將資安漏洞轉換成產品新功能,成為該公司的產品競爭力。

由於威聯通也設立漏洞獎勵計畫(Bug Bounty Program),邀請白帽駭客挖掘產品的漏洞,可以及早修補、強化產品的安全性。所以,龔化中表示,該公司PSIRT團隊的成員,除了懂資安技術外,也必須要和資安社群有聯繫、能夠和白帽駭客溝通及對話才行。

群暉科技是臺灣最早成立PSIRT團隊的企業

群暉科技是臺灣知名的NAS(網路附加儲存)業者,面對所有產品都連上網路,面對各式各樣的網路威脅,該公司也是臺灣最早成立PSIRT團隊的公司。

群暉科技產品安全應變小組經理李宜謙表示,該公司在2014年面臨勒索軟體以及網路挖礦的威脅,導致許多客戶端的產品,不是被勒索軟體加密,就是算力莫名成為為他人作嫁的挖礦機的一員。

李宜謙回憶,當年為了解決客戶面對的資安議題,為了讓產品上市前,就可以改善資安問題,同時也為了產品面對到各種資安威脅時,公司能有專門的團隊負責了解資安漏洞對產品和客戶帶來的威脅,並進行相關的漏洞修補,才決定在2014年成立PSIRT,可以有專門的團隊正視公司產品面臨的各種資安議題。

李宜謙表示,最早的PSIRT團隊只有二個人,因為人力和資源有限,PSIRT最主要的任務在於蒐集各種資安情資,以便得以早日因應,像是過去幾年,有一些造成許多網路伺服器或網路設備高風險的漏洞,例如:Heartbleed、SambaCry以及 KRACKs等都是例證。

除了懂資安,李宜謙認為,好的PSIRT團隊,技術強不強其實是其次,重點要能夠即時掌握各種資安情資,並和社群維持良好互動,透過持續跟進各種新的攻擊思維和防禦手法,從紅隊、藍隊等不同角度找出產品問題;或者可以透過紅隊和藍隊結合的紫隊,從新的角度看待產品漏洞;當然,透過舉辦漏洞獎勵計畫,邀請白帽駭客協助找出該公司產品的漏洞,也是提升該公司產品安全性的方法。

但他也坦言,要找到並留住PSIRT團隊成員是相對困難的,怎麼讓研發工程師可以轉變思維模式,從看程式碼到看情報,轉變過程並不簡單,「如果可以持續擴散PSIRT團隊的影響力,讓更多人願意嘗試加入PSIRT團隊,是目前積極努力的方向。」李宜謙說道。

群暉科技NAS產品連網,面臨各種勒索軟體的威脅,PSIRT團隊一直持續努力三年,才終於解決這樣的風險。

不過,李宜謙在PSIRT團隊這麼多年來,他認為,在公司資源有限的情況下,成員必須要有足夠的熱情,才能持續這份工作,而該公司也開始思考,怎麼將PSIRT團隊轉成營收單位,可以吸引更多成員有動機加入PSIRT團隊,目前看來,還有很長的一段路要走。

 

相關報導:快速釋疑:CERT、CSIRT和PSIRT到底有什麼不同?


Advertisement

更多 iThome相關內容