QNAP PSIRT迅速應對弱點通報，資安防護全面有感升級

隨著網路犯罪攻擊日益猖獗，讓多數人備感憂心，生怕其採用的資訊軟硬體產品出現漏洞，因而導致駭客入侵，使重要數據慘遭竊取、破壞或綁架。有鑑於此，許多供應商一方面提供資安通報、教學指南與FAQ，引導使用者正確執行安全設定與啟用保護功能，另一方面設立「產品資安事件應變團隊」（Product Security Incident Response Team；PSIRT），以期在產品面臨安全漏洞之際，能迅速識別、評估與處理相關事件。

在全球儲存、網通與視訊等產品領域位居領導地位的威聯通科技（QNAP），便堪稱PSIRT團隊運作的成功實例。以去年（2024）來說，QNAP PSIRT一舉發佈逾40篇資安通報、指派超過100個CVE IDs，針對安全漏洞獎勵計畫（Bounty Program）發出破百萬元獎金；亦與內部研發部門、外部專家密切合作，確保在接獲高危通報後，在9小時內完成弱點調查、14小時內完成弱點修復、24小時內完成事件回應。展望下一步，QNAP PSIRT將持續加快高風險事件的分析效率，全力協助用戶儘速修復漏洞並保障資料安全。

積極提出安全與備份方案，助用戶抵禦惡意攻擊

威聯通科技軟體研發中心／軟體安全架構部研發經理廖敬表示，深究常見的NAS資安威脅，以往包含被挾持為Botnet、遭受挖礦攻擊。如今Botnet威脅仍在，挖礦威脅示微，另出現殺傷力更強的勒索攻擊。NAS遭遇勒索攻擊有兩種模式，一是直接攻擊，係因NAS對外服務、直接曝露在Internet，成為駭客攻擊標的；二是間接攻擊，駭客攻打某台伺服器，NAS與該伺服器掛載在一起，連帶遭受池魚之殃。

無論針對何種威脅態樣，QNAP都悉心製作教學文件，希望指引使用者深入理解QNAP NAS安全設定與保護機制，有效強化網路與資料防護。例如不少事故起因於系統版本過舊，導致駭客利用Nday漏洞發動攻擊，QNAP希望提醒使用者啟動自動更新功能，且根據使用習慣來調整更新時段，避免影響NAS操作體驗。與此同時QNAP儘可能預載更多作業系統或App層級的安全功能，如AppArmor具權限管控能力，能在NAS遭駭侵時將災損限縮到最小範圍，不會擴及整個系統；或是CGI（Common Gateway Interface）防護，藉由類似WAF的機制，針對外來CGI Request執行檢查。

此外QNAP積極提倡備份概念，協助企業因應勒索攻擊建立最後的資料防線。為此其提供多項備份方案，如Hybrid Backup Center雲端管理平台，可集中管理多台NAS的備份與還原作業。如Airgap+，它是Hybrid Backup Sync資料備份、同步及復原方案當中的隔離備份功能，確保在安全內網環境執行備份；當啟動Airgap+時，須搭配QNAP QHora路由器來進行網路連線和斷線設定，企業另可選擇佈建QNAP ADRA NDR 快篩網路偵測及應變方案，以偵測惡意軟體的橫向擴散，有效阻止資料外洩或加密等惡意攻擊活動。

認真推動Bounty計畫與弱點修復，避免重大資安事件發生

除提出持續精進的NAS安全設定指南、NAS資安解決方案外，QNAP NAS從去年至今在重大資安事件上完美掛零，PSIRT無疑功不可沒。

威聯通科技軟體研發中心／軟體安全架構部研發經理黃士展指出，事實上在QNAP組織架構中的PSIRT部門，是一個基於代表制產生的Committee。以他所屬的軟體安全架構部而言，因擁有一些資安專家，所以包括弱點分析、資安規則與Guideline的制定，通常都由該部門展開Kick-off；至於PSIRT Committee，成員除軟體安全架構部外，其餘像是研發、行銷、客服、法務等眾多部門的主管或代表，皆一起參與討論，共同致力提升QNAP產品安全。

QNAP PSIRT 積極應對各類資安事件，持續強化防護措施，確保用戶資料安全無虞。

談及QNAP PSIRT去年締造的成果，主要圍繞在軟體安全品質的提升，具體作為包括將安全漏洞獎勵計畫（Bounty Program）的合作對象（研究單位或獨立研究員）擴展至100個以上，年度獎金發放也突破百萬元。另針對修復層面，QNAP PSIRT在去年積極發佈40幾篇資安通報，並指派超過百個CVE IDs。關於內部運作，則持續落實DevSecOps，在開發同仁Commit程式碼時，會自動執行安全檢查，以便於及早發現問題與進行修正。

更重要的，QNAP PSIRT與外部資安社群積極合作。去年贊助了趨勢科技的Zero Day Initiative（ZDI）實驗室，且參與該實驗室主辦的Pwn2Own Ireland 2024競賽；當QNAP PSIRT團隊確認由參賽者揭示的產品弱點後，便立刻展開修復作業，並即時發佈NAS作業系統的更新，以利用戶快速補強漏洞。此外QNAP PSIRT於去年受邀參與在中國青島舉辦的矩陣盃競賽，形式類似於Pwn2Own；而QNAP PSIRT同樣在接收到弱點通報後，以最快速度完成修復。QNAP在接受全球白帽駭客的連番考驗後，透過新弱點、新手法的發現，促使安全層級向上提升；考量資安攻防學無止境，今後QNAP將持續積極參與類似活動，且成為活動贊助者，透過不斷自我淬鍊，為用戶提供更安全可靠的產品。

展望今後，QNAP PSIRT將力求加快高危資安通報的應變處理節奏，另為了強化軟體安全，於今年正式導入主動維護軟體物料清單（SBOM），釐清每支程式究竟採用哪些開源套件、以及它的版本與授權方式，便於在特定套件傳出漏洞訊息時，儘速盤點風險影響範圍，從而針對受牽連的產品迅速展開修復或升級。另著眼於GenAI生成代碼趨勢成形，QNAP為兼顧開發速度與資訊安全，已設立Code Review SOP，用以審查GenAI產生的代碼，並嚴格管控防止公司機密外流，多管齊下強化資安體質。