蔡松廷 蘇展志

蔡松廷 蘇展志

圖片來源: 

iThome提供

在4月1日舉辦的2015臺灣資安大會中,HITCON(臺灣駭客年會)總召蔡松廷與VulReport 漏洞回報公益平臺營運經理蘇展志,相繼大力宣導要先瞭解你的敵人是誰,並教導臺灣企業該用正確態度來面對系統漏洞和正面看待自家系統的弱點。針對這些重要問題,蔡松廷說:「資安的攻防關鍵在於“漏洞與弱點的掌握”。」另外,蘇展志也坦言,若臺灣企業要把資安做好,以下三點是我的良善建議:1.一定要敞開心胸接收資安漏洞或資安事件 2.設置漏洞通報窗口 3.給予提交回報者鼓勵。

蔡松廷表示,臺灣企業對於資安漏洞都有著負面心態,大家都不願意接受自家系統有漏洞的事實,但實際上,並沒有哪一個系統敢掛保證完全沒有漏洞,因此漏動很可能是人思緒上的漏洞,也可能是技術上的漏洞。企業唯獨掌握漏洞,方能設計出一套良好的攻防計畫。現在的駭客犯罪類型有三類,其一是與金錢有關的犯罪,其二是與資訊有關的犯罪,例如竊取資料,其三是宣告型的犯罪模式,此類的駭客不管成功與否,都會先撂下狂言以達到威嚇目的。蔡松廷強調,要先懂得入侵手法,才能把防守做到位,言下之意即要先認識你有哪些對手,先把敵人摸透,在這基礎之下,防守才會真正有效。

關於臺灣企業對於系統的多數作法,蘇展志說:「建議企業應當要在系統正式上線前先進行測試,不要上線後再實行系統測試,這在程序上是有問題的。」根據VulReport漏洞回報記錄,臺灣企業非正確心態面對自家系統漏洞的公開例子數量不少,然而蘇展志期望臺灣的一些大廠商能在收到漏洞通報後,給予一些回應,且很多駭客是白帽駭客,他們並無惡意,反倒可以真正幫助企業。

另外關於揪資安漏洞獎賞方面,現在已有許多國外企業願意付高額獎金給揭示漏洞者,諸如Google、twitter、Slack、Apple等,例如Apple的獎勵金額約在新臺幣100,000~250,000之間。蘇展志指出,目前我在臺灣還沒看見哪一個企業有在提供高額獎金歡迎駭客來找漏洞的,臺灣企業的現況走向還是處於家醜不外揚的情勢,且更甚者是有問題也不解決的心態,嚴重一點的企業作法還會要提告,我希望大家能擁有一個正確的心態來看待駭客,其實很多駭客都是存好心在做事的,期望臺灣的企業能夠多鼓勵漏洞揭發這件事,並達到正能量循環的資安風氣。

最後蘇展志也對於企業內部的資安管理提出處理建議:首先要依環境狀況制定一些條款,諸如提交及獎勵方式、回應及修補行程、免費條款等,並公告可受測範圍,且內部應有緊急應變處理小組,需依制定的標準流程作業處理,再者,需根據接收漏洞型態,調整漏洞管理流程,最後,若無資源,可尋求VulReport的協助。並呼籲若要做到良好資安維護,必須要有三項要素相配合:1.掌握弱點技術 2.瞭解駭客與駭客技術 3.找尋發掘駭客人才。

熱門新聞

Advertisement