為何四兩力,可以撥千斤?因為借力!懂得借「駭客之力」,成為不少企業的資安防禦新方法。怎麼做?最夯的作法,莫過於發起漏洞獎勵計畫(Bug Bounty),以獎金來鼓勵全球駭客來找碴,喔,不,來檢視自家網站、產品或服務的漏洞,再透過一定程序通報,協助企業發現問題。企業提供獎金,找到了更多需要解決的漏洞,來改善產品,而駭客不只獲得獎金,還贏得名聲。這是個雙贏策略。

也因此,像Google早在2010年,就開始舉行漏洞獎勵計畫,隔年Facebook也開始實施,而微軟則在2013年發起第一次漏洞獎勵,連蘋果、高通等都在2年前開始跟進。光是Google,7年來累積發出了1,200萬美元(約臺幣3.6億元)的漏洞獎金,提撥給超過1千位貢獻者。

不只科技業者提供漏洞獎勵,連一般企業也轉而採取這個方式,來補強自己的資安防護網。例如Tesla、聯合航空、西聯匯款,以及信用卡公司MasterCard、飛雅特克萊斯勒汽車等,從2015年開始,越來越多企業也紛紛跟進。

不只企業,政府機關也開始採用,如美國國防部在2016年時,就舉辦了美國政府單位第一個漏洞獎勵計畫Hack the Pentagon(駭入五角大廈)。過去,「如何入侵五角大廈」的話題,只能小心翼翼地在封閉的地下論壇中討論,現在卻可以光明正大地說,甚至還可以得到來自五角大廈的獎金。計畫一公布,不只是美國國內高手摩拳擦掌,甚至連全球駭客都來了。

根據負責Hack the Pentagon活動的HackerOne平臺統計,來自全球50個國家,645位駭客參與這次漏洞獎勵計畫,在限定時間內,找到了五角大廈服務2,837個有效漏洞,其中甚至有超過100個重大或高危險級的漏洞,而美國國防部也發出了超過30萬美元的獎金。

美國國防部舉辦了一次還不夠,後來又推出了Hack the Army與Hack the Air Force兩波計畫。連美國陸軍、空軍都想要借駭客之力來幫忙找漏洞。

這股漏洞獎勵浪潮,也吹向亞洲,新加坡國防部年初就舉行了一場MINDEF Bug Bounty Challenge,短短3個禮拜,就收到了35個有效漏洞報告。也因此,最近舉辦的第三屆新加坡國際網路安全周活動中,新加坡副總理兼國家安全協調部長張志賢也公開宣布,年底要舉辦推出政府級漏洞獎勵計畫(Government Bug Bounty Program),擴大實施到各政府部門,邀請全球駭客來參加。

在臺灣,2年前也有少數企業開始採用,如臺灣NAS設備廠商群暉,從2016年就推出了安全性弱點獎勵計畫。

漏洞獎勵計畫多有效?真的會有駭客來幫忙找漏洞嗎?群暉資深安全分析師李宜謙告訴我們,到今年9月初為止,已經收到超過100個有效漏洞,群暉發出了約3萬美元的獎金。通報者來自全球10個國家,一起來幫群暉找漏洞。

資安早就是一場全球性競爭!企業如何對抗來自全球的攻擊者,甚至是國家級的攻擊。借「駭客之力」,可以成為企業資安防禦的新方法。(相關報導請見887期封面故事「化被動為主動,企業開始懸賞抓漏」)

作者簡介


Advertisement

更多 iThome相關內容