今日的網路環境已經是我們商務與生活的一部分,許多犯罪集團勾結惡意駭客在網路上竊取資料或犯罪,層出不窮的災情與巨額損失都與駭客入侵息息相關,想要確保便捷的網路環境更加安全,首先要了解駭客的入侵手段與犯罪行為,再根據這些技術強化資安環境,才能讓大家在網路互動交流時更加安心。

師法頂尖駭客的行動思維,健全數位平台的安全機制

知己知彼,想要了解駭客的思維,就必須化身駭客來研究網路環境中潛在的弱點與威脅,為了充分提升整體網路安全性,全球政府機關與大型企業均有設立資安部門研究安全攻防,並投入許多資源培養駭客人才,而這些頂尖的駭客也大幅改善網路服務的安全性。

來自韓國,目前擔任LINE GrayLab資安研究室的負責人Beist (李丞鎮),是亞洲首位進入世界駭客大賽DEFCON CTF決賽的選手,也在韓國駭客競賽中獲得多次優勝。年紀輕輕就創立資安公司GrayHash,同時也在韓國政府機關與許多大型企業擔任資安顧問,在人才培訓與交流方面,除了參與許多韓國資安人才培訓計畫外,Beist也在韓國主辦多場資訊安全競賽與研討會,如:SECUINSIDE以及CODEGATE,透過知識分享與人才培育的方式提升整體資安水準。

資安防護大挑戰:不對稱壓力與文化差異

身為國際級頂尖駭客之一,Beist認為在資安攻防的戰場上,防禦方面臨駭客威脅可說是場非常艱辛的不對稱戰爭:「站在服務提供者(防禦方)的角度來看,日常營運的資訊系統中有許多環節都可能是駭客滲透的目標,包含基礎系統、網路連線、程式語法,或是使用者的操作習慣等都是需要留意的,反觀惡意駭客僅需專注找出一個突破點,以LINE這樣提供眾多服務的平台為例,企業要留心的部分可說數以萬計,這就好比城堡守軍有很多區域需要留心,而入侵端只要專心找出防守最薄弱之處即可,雙方需投入的資源差異非常大,要打造夠安全的數位環境是很大的挑戰。」

安全防護的難題,也出現在各國不同的文化差異與國情背景上,Beist分享自身在國際交流的經驗,指出不同文化背景讓大家的思考方式也有所差異,這時就容易發生駭客找到突破點,但防禦方卻不一定能從中領略反制之道,加上資安專家對外文能力的瓶頸,倘若在北歐發現新型態的攻擊並透過網際網路影響到亞洲時,語言的隔閡會影響資訊交流,讓亞洲的資安工作者未能把握時間,導致災情快速擴散而更加棘手。

頂尖駭客跨國交流,發揮團隊精神鞏固數位安全

「充分交流,是彼此強化資訊安全的好方法。」Beist認為資安防護是要集結眾人之力,讓團隊間彼此交流、學習彼此在駭客攻防的技巧與方法,是克服前述不對稱戰爭,且能讓安全防護知識快速傳遞的好方法,因此LINE GrayLab特別構思出Becks (資安社群聚會),以定期巡迴的方式與各地的駭客們交流最頂尖的防護技術,全球首場Becks (資安社群聚會)於日本舉辦,會中有來自韓國GrayLab的病毒分析與漏洞挖掘專家jz,他曾先後於韓國軍方的資訊安全部隊、微軟以及Grayhash擔任病毒與漏洞研究專家,他在會中分享如何從反程式碼混淆到重組資訊傳遞路徑,一步步拆解針對日本大型企業精心打造的APT攻擊病毒。

Becks (資安社群聚會)從今年三月開始也定期在台灣舉辦,邀請各路好手分享研究心得,除了傳遞知識外,也助彼此找到志同道合的研究夥伴,碰撞出更有趣或更深入的研究。提到讓人印象深刻的聚會,Beist提到有次他現場示範一個正在研究的作業系統漏洞,並分享相關測試程式碼,全場參與的研究者立即打開筆記型電腦開啟相關除錯工具進行測試,引起熱烈討論,當下所有人的討論環繞著漏洞程式碼的結構與可能的修補方式,這代表Becks (資安社群聚會)除了分享安全訊息,也是討論如何應對安全風險的平台。

交流成果轉化資安系統,打造安全基礎滿分的平台

當一群頂尖好手聚集起來集思廣益,防護成果也會如漣漪般迅速向外擴散,不但讓參與者獲得相關資訊應用到各行各業,LINE也能藉此提升平台的安全性與可靠度。為了讓服務平台有令人信賴的資安環境,LINE自身亦開發各種資安系統,例如程式碼安全性偵錯的掃瞄工具,能自動掃瞄新服務程式碼,檢核出潛在安全風險的內容片段,即時提醒開發人員予以修正。

Beist提到,LINE也針對目前最新的資安技術開發出模擬入侵的測試系統,藉此檢測LINE眾多服務受到影響的程度,幫助工程師調整系統至最佳狀態;測試系統也能測試內部員工的工作環境,例如模擬釣魚郵件發送給受測使用者,統計出員工們在資安防護上的疏漏並分享提醒內部員工,提升同仁的安全意識,由內而外鞏固資安環境,這樣嚴密的資安訓練與敏銳度是LINE的資安基礎,也是所有服務共同的目標。

要積蓄龐大的資安能量,Beist認為單靠少數人是不夠的,必須要團隊合作才能發揮效益,因此他也邀請更多資安高手能參與Becks (資安社群聚會)一起精進學習,Beist也歡迎對資安有熱情的工程師加入LINE的大家庭,共同為安全的網路環境努力。


Advertisement

更多 iThome相關內容