資安借力學的崛起

為何四兩力，可以撥千斤？因為借力！懂得借「駭客之力」，成為不少企業的資安防禦新方法。怎麼做？最夯的作法，莫過於發起漏洞獎勵計畫（Bug Bounty），以獎金來鼓勵全球駭客來找碴，喔，不，來檢視自家網站、產品或服務的漏洞，再透過一定程序通報，協助企業發現問題。企業提供獎金，找到了更多需要解決的漏洞，來改善產品，而駭客不只獲得獎金，還贏得名聲。這是個雙贏策略。

也因此，像Google早在2010年，就開始舉行漏洞獎勵計畫，隔年Facebook也開始實施，而微軟則在2013年發起第一次漏洞獎勵，連蘋果、高通等都在2年前開始跟進。光是Google，7年來累積發出了1,200萬美元（約臺幣3.6億元）的漏洞獎金，提撥給超過1千位貢獻者。

不只科技業者提供漏洞獎勵，連一般企業也轉而採取這個方式，來補強自己的資安防護網。例如Tesla、聯合航空、西聯匯款，以及信用卡公司MasterCard、飛雅特克萊斯勒汽車等，從2015年開始，越來越多企業也紛紛跟進。

不只企業，政府機關也開始採用，如美國國防部在2016年時，就舉辦了美國政府單位第一個漏洞獎勵計畫Hack the Pentagon（駭入五角大廈）。過去，「如何入侵五角大廈」的話題，只能小心翼翼地在封閉的地下論壇中討論，現在卻可以光明正大地說，甚至還可以得到來自五角大廈的獎金。計畫一公布，不只是美國國內高手摩拳擦掌，甚至連全球駭客都來了。

根據負責Hack the Pentagon活動的HackerOne平臺統計，來自全球50個國家，645位駭客參與這次漏洞獎勵計畫，在限定時間內，找到了五角大廈服務2,837個有效漏洞，其中甚至有超過100個重大或高危險級的漏洞，而美國國防部也發出了超過30萬美元的獎金。

美國國防部舉辦了一次還不夠，後來又推出了Hack the Army與Hack the Air Force兩波計畫。連美國陸軍、空軍都想要借駭客之力來幫忙找漏洞。

這股漏洞獎勵浪潮，也吹向亞洲，新加坡國防部年初就舉行了一場MINDEF Bug Bounty Challenge，短短3個禮拜，就收到了35個有效漏洞報告。也因此，最近舉辦的第三屆新加坡國際網路安全周活動中，新加坡副總理兼國家安全協調部長張志賢也公開宣布，年底要舉辦推出政府級漏洞獎勵計畫（Government Bug Bounty Program），擴大實施到各政府部門，邀請全球駭客來參加。

在臺灣，2年前也有少數企業開始採用，如臺灣NAS設備廠商群暉，從2016年就推出了安全性弱點獎勵計畫。

漏洞獎勵計畫多有效？真的會有駭客來幫忙找漏洞嗎？群暉資深安全分析師李宜謙告訴我們，到今年9月初為止，已經收到超過100個有效漏洞，群暉發出了約3萬美元的獎金。通報者來自全球10個國家，一起來幫群暉找漏洞。

資安早就是一場全球性競爭！企業如何對抗來自全球的攻擊者，甚至是國家級的攻擊。借「駭客之力」，可以成為企業資安防禦的新方法。（相關報導請見887期封面故事「化被動為主動，企業開始懸賞抓漏」）