原标题:【Bug Bounty概念席卷全球,台湾也有企业实际应用】群暉跟上全球脚步,推出安全性弱点奖金计划
以漏洞奖励计划,邀请全球各地的资安研究人员帮找安全性弱点,也有台湾企业已经这么,NAS大厂群暉就是一例。他们发出超过3万美元的奖励,参与的研究人员来自超过10个国家。
在企业资安检测上,为了让产品及服务更有保障,越来越多企业运用漏洞回报奖励计划(Bug△Bounty△Program)的方式,希望借助全球研究人员之力,找出企业未知的弱点,减少漏洞发生而造成难以复原的问题,例如,微软、Google、Facebook、LINE等全球业者都成立类似的计划,同时,市场上也出现了专门的漏洞悬赏平台,帮助企业更主动面对漏洞问题。
对于这样的新兴概念,或许大多数台湾企业还是很陌生,不过,其实也已经有企业这么做,NAS设备大厂群暉就是一例。他们期许通过这样的计划,邀请世界各地的资安研究人员,来提升他们的产品安全。
群暉的作法,是成立一个“安全性弱点奖金计划”,主要分成产品、网站服务两个专案,产品面包含旗下DSM、SRM、各式套件与行动装置应用程序,以及Synology网站服务。因此,全球研究人员都可以将他们发现的产品及网站安全性问题,就可以通过专属信箱(bounty#synology.com)回报。
一旦安全性问题经过群暉确认之后,在符合规范与资格之下,该公司将提供奖金给发现潜在漏洞的研究人员。目前,在此公开的奖励计划之下,他们已经收到超过10个国家的研究人员提报,发出了3万美元的奖励。
对于群暉而言,他们借助全球研究人员之力,找出了未知的漏洞问题,可以及早修补,这提高了用户在产品使用上的安全,对于自身的品牌信赖度也获得加分的效果。
曾被勒索软件当成攻击目标,因此更加重视资安对于Bug△Bounty这样新概念,国内几乎没有企业开始这么做,当初群暉为何决定要投入呢?
在群暉软件研发部担任资深安全分析师的李宜谦表示,这要从2014年发生的资安事件开始说起。当时,群暉的网络储存硬盘NAS,成为勒索软件SynoLocker绑架目标,在国内外引发灾情,使得不少用户遭遇档案加密、勒索赎金。这也让该公司更加重视安全的发展,因为重要性已经不言而喻。
在接下来两年,他们也积极参与资安相关的活动。例如,2015年,他们在HITCON社交场设立了摊位,并且举行了小活动,让与会者只要在他们的测试平台上,可以找出任意存取使用者资料等各式安全漏洞,就会得到他们的NAS设备作为奖励。
在2016年,他们也到日本接受美国CERT/CC上课,学习资安事件应变处理的方法,包括像是漏洞通报、漏洞验证、漏洞分类、漏洞修补及漏洞修补发布。李宜谦特别提到,当时上课的老师强调了一个观念,令他印象深刻,在收到漏洞通报时,不要用法律控告你的通报者,应建立正向良好的互动,而Bug△Bounty也是一种方式。
之后他们将这些经验回报给公司的主管及CEO,顺利在公司内获得支持。同年,他们开始成立产品资安事件应变小组(Product△Security△Incident△Response△Team,PSIRT),负责产品安全,以及资安事件应变处理,同时执行了安全性弱点奖金计划(Security△Bug△Bounty△Program)。
图片来源/群暉
在执行漏洞回报奖励计划上,群暉PSIRT团队对于资安事件的处理,已经建立一套标准的作业流程,从通报、验证、分类、修补及发布,都有具体的执行步骤。而在收到奖励计划的通报时,他们也是依此流程来执行。
从邀请制的奖励计划出发,去年开始转成公开形式,开放各界参与对于多数台湾企业而言,面对漏洞回报奖励计划的具体执行方式,可能不容易想像,李宜谦提供了他们的经验。
群暉PSIRT成立之初仅两个成员,Bug△Bounty是他们的主要工作内容之一。规画上,他们先是以以私下的方式进行,也就是采邀请制的模式,找适合的资安研究员,入侵他们开发的产品系统。
他们当时邀请了HITCON与交大Bamboo△Fox的安全研究人员,希望他们趁闲暇之余,协助确认其安全性,而具体实施方式上,包含一连串纸本作业要规画,以及签署NDA保密协议,同时,也要与对方明确的规则,以便对提出改进建议的骇客给予奖励。
最初,他们也是抱持着评估的想法,毕竟没有这样的经验。随着邀请制的漏洞发现悬赏计划持续施行,具体成效也浮现。李宜谦表示,例如,当时就有研究人员回报一个重大等级的漏洞,CVSS△3.0评分高达9.8,是足以促发下一次大规模SynoLocker的重大漏洞。
在历经邀请制阶段后,在2017年5月,他们将计划转成公开的形式,开放各界参与。锁定的目标,也从原本的产品面向,扩及到自家的网站服务。
基本上,对于收到漏洞回报奖励任务后的处理方式,他们也设立了专属电子邮件信箱,并提供PGP金钥等,让通报者将邮件加密。后续流程也如一般漏洞通报流程,经过他们的验证、分类、修补与揭露。
对于群暉而言,这样的奖励计划为公司的资安带来一定程度的帮助。例如,李宜谦表示,像是上述邀请制发现的重大漏洞,他认为,在足够的时间下,他们自己也能找出这些弱点,但在奖励计划下,至少缩短了3年。
更重要的是,李宜谦认为,PSIRT的成员分成两个角色,其中红队是以渗透测试为主,蓝队是以防守为主。在引进奖励计划时,他认为是帮助他们完整的环节,是红队难以建构的事实,因为他们没有人力专门安排一组人去去执行攻击。毕竟,发现问题很重要,但对应的修补跟政策管理也有关系,而在执行此奖励计划之后,他们可以调整人力配置,更专注在蓝队的业务上。当然,面对各种不同状况、层面的漏洞修补,也是很大的一个挑战。
不仅如此,从这些漏洞回报的问题,也可以让他们发现实务上的作法,了解外面如何做渗透测试或攻击一个产品,甚至可以部署一些前瞻性的系统架构。
然而,群暉现今面临的挑战,是人力不足的问题,李宜谦认为,现在资安人才真的不好找,他们也已经从学校开始切入。另外,他也认为现在谈的Security△by△Design,就是不错的作法,在开发初期就要把安全考量进去。现阶段,他们也在争取资源,尽可能在产品出货之前,就能做到更好的安全。
未来更是期望参与全球性的漏洞平台关于企业自己执行奖励计划,还有一些问题需要面对。首先,如何说服老板接受?这与公司是否重视资安有关。还有像是在奖金预算方面,如何订出上限,以及与公司财务的沟通等。 特别的是,在公开奖励计划后,他们也曾经遭遇奖金汇款问题。因为通报者是伊朗的研究人员,当他们将奖金汇款至该国时,受到银行方面的禁止。原来是受制于美国对伊朗的贸易制裁,台湾的银行不得与伊朗有金流有关。
至于奖励计划的执行方式,李宜谦表示,除了公司内部自己执行,他们目前也在争取经费,加入像是HackerOne这类型漏洞通报与悬赏平台,将他们要奖励的任务,发布在更多研究人员合作的平台,期望为公司安全带来更多帮助。
?相关报道??化被动为主动,企业开始悬赏抓漏相关:
脸书惊爆史上最大漏洞攻击,全球高达5,000万名用户个资恐遭骇客窃取
脸书 ( Facebook)在台湾时间9月28日晚上爆出史上最大漏洞攻击,因为更新视频上传功能程式码时出现开采漏洞,导致全球至少5,000万名脸书帐户资讯恐遭骇客窃取。然而,去年7月脸书就存在这个重大安全漏洞,但直到25日
科技业进军台湾自驾车产业首例!宏碁联手裕隆公开首辆国产商用自驾车雏型
科技大厂宏碁 (Acer)今日(9/27)与国内电动车厂裕隆合作,首度发表以Luxgen△S3电动车改造的首辆国产自驾电动车雏型,尽管还无法达到像Waymo商用无人车的自驾应用阶段,但也已经开始从传统先进驾驶辅助(ADAS)跨出
【Bug Bounty正在全球兴起,台湾今年也有平台提供管道】台湾公益漏洞通报平台助企业推动奖励计划
由社团法人台湾骇客协会,建立的公益性质的漏洞通报平台HITCON△ZeroDay,今年3月开始推动漏洞奖励计划,希望企业在面对资安漏洞问题,能有更主动的方式。 随着近年国际漏洞通报风气兴起,已有不少漏洞平台,提供了
眼看5G时代就慢慢来临了,你准备好新机了吗?移动已确认消息,如要使用5G的话,必须要5G手机。在8月份,联想旗下的摩托罗拉在芝加哥发布了一代旗舰手机MotoZ3,这款手机最大的亮点就是首次支持5G外接模块。据悉这将是
全球首条自动驾驶有轨电车 Combino 德国测试展开 | 香港 UNWIRE.HK 玩生活.乐科技
自动驾驶技术除了应用于私家车或货车,也有公司打算将之用于大型集体运输系统。全球首辆自动驾驶电车上星期,于德国东部城市波茨坦测试营运。由 Siemens 负责开发的有轨电车 Combino 成功测试,是国际交通博览会的一