今年Line提出名為Omnidirectional Cyber Security的資安戰略,他們不只是看重技術,也將文化與人員視為主軸,同時歸納10大資安作為,藉此建立負責任的企業資安態度,要能讓用戶對他們產生更大的信任。

近年來,Line的版圖不斷擴增,不僅是整合行動支付、購物、新聞與通訊的平臺,到去年又聚焦在AI應用與Line Bank等的發展,而該公司的資安策略也同樣持續擴張,今年提出更全面的新戰略,目的是要建立用戶對他們的信任。

事實上,過去Line就已經時常公布其資安作為,例如,內部重視安全軟體開發生命週期(SSDLC),近年並將機器學習用於防護情境,還有像是揭露BITBOX加密貨幣交易所的資安架構等,在在說明了他們是如何做好企業內部防護,以及產品與服務的資安防護。

特別的是,今年他們提出了全新的資安戰略Omnidirectional cyber security(暫譯為全面向資安),該公司資安團隊資深經理市原尚久指出,這是以技術、文化與人為核心主軸,可歸納他們在資安作為上的10個重點,舉例來說,當中包括:技術面的安全開發、Security by Design、主動式防禦與自動化協作;文化面的快速安全、外部溝通、開放性與資安品牌推廣;以及人員面的資安技能開發與研究。

為何新的資安策略要這樣畫分?市原尚久解釋,為了讓用戶能放心使用他們提供的服務,贏得用戶的信任是關鍵,但由於Line漸成為社會上重要的基礎設施服務,因此,他們需要建立多個全面向的資安,他並認為要嘗試挑戰所有可能性,才能實現到此一目標。

顯然,這10大項目,不只是突顯了他們所專注發展的資安層面,他們並期望在這樣的防護策略下,可以讓他們的資安防護作為,帶給用戶更多信任。

強化用戶登入安全持續成為Line技術重點,明年FIDO登入場景更多

除了提出全新的資安策略規畫,Line在資安布局上有何新動作?首先,強化網路服務登入安全,是他們在今年開發者大會強調的一大重點。

在市原尚久說明他們的安全開發(Security Development)時,不僅特別提到此事,事實上,今年大會上有不少主題演講,都是圍繞於這個議題。

在安全開發的推動上,Line資安團隊的具體作為,市原尚久指出四個重點,包括防堵帳號濫用與全程加密(E2EE),改善登入、隱私控管,這兩者過去他們已經經常提及,今年,他們強調了兩項新的重點,分別是關於密碼方面的FIDO登入機制的正式登場,以及用戶端行動安全的新進展。

以Line在登入機制的發展而言,他們先前就有不少著墨,包括符合OAuth規範,以及Open ID驗證規範,後續也發展無密碼Passwordless登入──包括在PC上使用QRCode登入,以及在Line內建瀏覽器開啟Line Store等網頁可自動登入的機制。

而為了全力強化身分安全,支援FIDO應用是他們最新的成果,現在他們已經成功踏出第一步。在今年11月,他們的FIDO生物識別正式推出,成為新的無密碼登入方式,跟上國際潮流,他們首先開放的是iPad版Line的登入支援,讓用戶可將手機當作認證器,利用手機上的生物辨識以驗證登入,明年應用將會更擴大,像是提供於Mac與Windows版的登入情境。

然而,在安全開發需要關注的技術並不僅於此,另一位資深工程師安相煥點出3個技術焦點,分別是加密、FIDO2與HSM的應用,其中,加密模組包含了可信賴執行環境(TEE)與白箱加密法(WBC)。他表示,儘管多數智慧型手機內含TEE,包括像是Arm的Trustzone、Android硬體支援的密鑰庫,以及Apple的Secure Enclave,但兩大作業系統平臺的種種差異,讓他們在跨平臺行動安全的發展,遇到很多挑戰。

因此,他們也同時關注白箱加密技術,而對於行動裝置上的生物識別應用,他們也提到實作上應該盡可能遵守安全標準,而FIDO就是關鍵,他們也已經導入。另外,他並提到需要某種密鑰證明機制,也就是要確保密鑰是由合法客戶端的TEE產生。

此外,本次開發者大會還有兩場主題演講,其中之一,是專門介紹Line的生物識別啟用流程,另一場則是以Line登入平臺過去存在4個安全弱點的經驗,說明開發上的錯誤將面臨何種威脅,並提供安全開發的建議。

顯然,在登入相關的安全開發,是今年大會在技術面特別聚焦的主軸,而他們的FIDO應用也已經有了初步的成果,他們目前仍在持續建置,明年將能適用於更多情境,提供用戶新的安全登入方式。

在今年開發者大會上,Line在資安上的焦點特別著重在登入機制的強化,尤其是他們建置FIDO後在今年正式開始應用,提供更安全簡便的無密碼登入方式,明年還會有更多登入場景能夠支援FIDO。

要將快速制定決策變成一種文化,才能讓資安應變夠即時

要做好資安不只是從技術面著手,為了強化Line的資安,市原尚久指出,若能建立文化,將可為資安創造價值,而今年他提到一個不同於以往的觀點,就是要建立快速且安全的文化。

過去Line舉辦了Becks資安社群聚會,以及Line與Intertrust資安高峰會,其實可以看出他們想要將資安帶動到外界成為一股潮流,但這次提出的快速與安全,目標則是對內的資安決策過程。

市原尚久指出,Line除了追求安全性,但同時也專注於速度,這是他們真正關注的文化之一,例如,當發現漏洞或事件發生後,他們會迅速進行調查以修復錯誤,若是大型系統,則會花較長時間才能決定發布修補版本。

他並以今年兩起Line發生的實際案例,來說明資安決策過程要快的重要性。在今年9月,Line發現他們在7月到9月間,偵測到有7萬4千個Line帳號,有未經授權存取的狀況,這起事件他們在9月9日發現異常,經過3天的調查,確認影響範圍後,他們在9月12日就針對受影響用戶進行密碼重設。

但其實,他們在9月10日,就已經開始討論重置密碼的利弊,當下他們幾乎就做出了強制重置密碼的決定,因此才能在調查一完成,就採取緊急行動來強制重置密碼。

另一起事件,是在今年2月初武漢肺炎疫情影響全球之時,他們很快就決定要遠端工作,並在2月14日就向員工宣布,而他們在接下來的12天期間建立零信任的VPN環境。

因此,快速決定為資安應變帶來的優勢,是Line所相當看重的一環,而他們更將此視為內部的資安文化。

將資安技能深化到每個員工,正式提供專用的線上學習平臺

強化資安還能怎麼做?人也是不可忽略的重要因素,因此,在Line的資安策略當中,今年他們提到另一個新擴展的重點,就是在資安技能開發一項。

Line在去年分享資安經驗時,透露他們在2019年下半,打造企業內專用的SEP資安教育平臺,在這次大會上,市原尚久公開宣布了他們的企業資安線上學習平臺上線,名為Line Class。

這個平臺有何特殊之處?市原尚久表示,這是由Line資安部門工程師自行開發,期望透過專屬的電子學習系統,以及線上課程,提升自家資安工程師與所有軟體開發人員的資安技能。而這麼做的好處,就是希望要盡早發現資安漏洞問題,減少在開發周期的後段才發現的狀況,避免在驗證階段耗費過多人力,甚至可能影響服務無法準時上線。

為了強化資安,Line今年打造了新的企業資安線上學習平臺Line Class,當中提供了針對開發人員設計的各式課程與測驗,並且也有關於基礎架構安全方面的實作訓練。

市原尚久指出,Line Class平臺可讓他們的開發人員,能夠定期學習資安並參加考試與課程。在他們規畫的課程中,並設有自修室,當開發人員不了解某些主題時,就可利用從中了解技術與漏洞並測試。同時,他也提到,平臺上也提供了一般員工適用的資安培訓課程與測驗。

而從市原尚久展示的Line Class介面,我們可以看到該平臺的課程類別畫分,包含資訊安全、網頁安全、App安全、演算法與進階威脅意識,而以網頁安全的線上課程為例,當中包含SQL Injection、Path Traversal等8個初級課程,以及XSS、CSRF等3個中級課程,以及SSRF的進階課程。

而且,Line的資安培訓內容還深入基礎架構安全的主題,他們提供了這方面的實作訓練,內容包括虛擬私有雲、網路存取控制清單,還有像是Kubernetes Cluster、ELK等。市原尚久指出,新到職的基礎設施安全工程師,將可從他們提供的專屬課程內容動手學習,以獲取基本的基礎設施安全技能,而這些資訊隨時都可以使用,如同線上課程學習一樣。

他認為,要做好企業資安,工程師的資安技能開發也是重要一環,而Line在今年也正式推出Line Class這樣的自助式學習平臺。因此,他們不只是像過去強調要在設計階段考量安全、Security by Design,現在他們更是從人的面向著手,讓一般開發人員對於資安技能都要有所提升。據了解,這個訓練平臺未來也將提供中文版內容。

從上述Line的資安策略來看,他們希望將資安深入更多面向與細節,最終目的,就是希望要讓用戶能夠信任他們的服務。尤其是他們將資安的文化與人員,看得如同技術一般重要。

此外,在其他安全作為上,Line也有新進展值得關注,例如,在主動式防禦的部分,他們針對混合多雲環境設計安全架構,以及建構安全可靠的SSL憑證管理,特別的是,在主機安全強化上,他們過去已有採用入侵偵測系統HIDS,今年,他們則針對日本地區的主機進行大規模布署,安裝規模是去年3.5倍。

 相關報導  Line 2021技術新戰略


熱門新聞

Advertisement