【漏洞奖励计划成为企业安全新战略】借骇客之力找出安全盲点,漏洞奖励风潮吹向台湾
2018-09-29 09:59:14 | 来源:ithome | 投稿:莹莹 | 编辑:dations

原标题:【漏洞奖励计划成为企业安全新战略】借骇客之力找出安全盲点,漏洞奖励风潮吹向台湾

美国联合航空鼓励骇客或安全研究人员,替他们公司的网站、行动程式,以及第三方程式寻找安全漏洞,而他们的奖励也很特别,是提供飞行里程数。(图片来源/United△Airlines)

关于漏洞奖励(Bug△Bounty)计划,大家应该不会觉得陌生,近年不时听闻全球大型企业,发布Bug△Bounty、Vulnerability△Reward这类型悬赏专案,期望借助全球骇客或研究人员的力量,来帮助自己改善系统安全,并提供奖金等作为回报。

举例来说,自从Google在2010年开始举行漏洞奖励计划,Facebook是在2011年,微软是在2013年,而苹果、高通也在2016年开始跟进。光是Google一家,7年来发出了1,200万美元(约台币3.6亿元)的漏洞奖金,提拨给超过1千位贡献者,最高一次就给了11.25万美元(台币约337万元)。

为了加强网络安全,漏洞奖励计划的精神,就是运用更广泛的外力来提供帮助,减少思维上的盲点。像是Google、Facebook与微软等大型科技公司的作法,就是,鼓励骇客攻击他们的系统,找出漏洞与入侵管道,让这些漏洞在被公开之前,自己就能及早发现并对应修补。另一方面,骇客也可以利用找出重大的安全问题,换取奖金与名声。

值得注意的是,不只有科技大厂提供漏洞奖励,像在2015年,开始有汽车、航空与金融业者响应这股潮流,例如Tesla、联合航空、西联,等不同领域业者。之后还有金融圈MasterCard、网络影音界Pornhub、网络电商jet.com、汽车商飞雅特克莱斯勒(FCA),以及OWASP、Dropbox、Uber等。

甚至,国家安全机构也开始看重这样的方式,例如,美国国防部在2016年时,祭出美国政府史上首宗漏洞奖励计划Hack△the△Pentagon。在今年初,新加坡国防部也跟进,举办了MINDEF△Bug△Bounty△Challenge。

同时,随着漏洞揭露的风气崛起,为避免这些漏洞遭不当利用、转售,市场上也浮现出不少漏洞平台成立,像是HackerOne、Bugcrowd等,提供漏洞通报与奖励的环境与服务,并聚集一群擅长漏洞挖掘的研究员,成为企业另一可应用的资源与管道。

图片来源/Google

Google作为全球最大的网络公司,他们在2010年就开始在安全方面,引进漏洞奖励计划的概念。今年初,他们公布的2017年安全奖励方案推行成果,共发出了290万美元的奖金,有270位研究人员参与并领赏,而8年以来,他们已经发出超过1200万美元的奖金(约3.6亿元)。

不只科技大厂,一般企业与政府单位也积极拥抱Bug△Bounty

越来越多一般企业或政府组织积极采用漏洞奖励计划,而且奖励规模越来越大。举例来说,美国联合航空公司祭出的漏洞奖励计划,是航空业的首例。他们鼓励骇客或安全研究人员,替他们公司的网站、行动程式与第三方程式,寻找安全漏洞,特别的是,他们的奖励是飞行里程数。

当时,该公司旗下拥有5个网站与1个行动程式,他们以漏洞严重程度来制订奖赏计划,例如,找到远端程式码执行的漏洞,最大奖赏是100万哩里程数;对于认证可被规避、暴力破解攻击、个资外泄可能的漏洞,奖励是25万哩;而跨站指令码、跨站伪造请求,以及影响公司的第三方安全漏洞,则是5万哩。

这样奖励计划,也带来不少成效,联合航空公司透露,该公司在两个月内向两名安全研究人员,各自支付了100万哩飞行里程,而当时参与研究人员共发现公司营运中的14个独立漏洞。现在,他们的奖励计划也持续对外进行中。

对于政府单位而言,漏洞奖励竞赛带来的效果也很显着。例如,美国国防部举行的Hack△the△Pentagon,提供了骇客可以合法揭露他们系统漏洞的管道,当时收到138个有效漏洞,甚至第一个漏洞在13分钟内就被发现。最后,贡献者领走了约75,000美元的奖金。

而根据承办该计划的HackerOne最新统计,在去年11月公布的Hack△the△Pentagon数据,总共挖掘出2,837个有效漏洞,其中有超过100个是重大或高危险级别,奖励金额则是超过30万美元,而参与计划的骇客超过645位,是来自全球50个不同国家。

美国国防部也因第一次漏洞奖励计划成效不错,接连又推出了Hack△the△Army与Hack△the△Air△Force两波计划。

不只美国,今年1月,新加坡国防部也举行了漏洞奖励计划,他们在期间内收到35个有效的漏洞报告,其中有两个是高风险的漏洞,并向17位参与人员发放了14,750美元的奖金。最近,9月中旬,该国政府更是决定将这样的作法,扩大到其他政府部门,要在年底推出政府漏洞奖励计划。

显然,对于这些企业与政府单位而言,他们已经意识到,不可能全靠自己来挖掘漏洞,也不可能聘用全世界的骇客,而通过奖励计划,化被动为主动,是可以帮助自己找出安全上的盲点。

图片来源/MINDEF

【连国家安全机构都靠漏洞奖励强化自己的安全防御】国家安全机构也借助全球骇客之力,帮助抓漏。在美国国防部以外,今年1月,新加坡国防部也这么做,他们收到了35个有效的漏洞报告,其中有两个是高风险,并发放了14,750美元的奖金。最近,该国政府还决定要在年底推出政府漏洞奖励计划。

图片来源/United△Airlines

【不只科技业,一般企业也祭出漏洞奖励】航空业也祭出漏洞奖励计划的案例,像是美国联合航空,他们鼓励骇客或安全研究人员,替他们公司的网站、行动程式,以及第三方程式寻找安全漏洞,而他们的奖励也很特别,是提供飞行里程数。

关于奖励抓漏的观念,已经在这两年被引进台湾

Bug△Bounty的概念,不只在国际间发酵,近两年来,这股浪潮也进了台湾。

例如,在2016年底,美国五角大厦奖励计划的关键推手Katie△Moussouris,应台湾骇客协会邀请,来台倡谈她的经验。不只五角大厦,微软首个漏洞奖励计划,也是她担任微软首席安全策略长时所推动的成果。当时,她也向台湾企业呼吁,漏洞奖励及漏洞揭露机制的目的,在于弥补企业能力所不及之处,并非要取代传统的资安测试。

在2017年,社交软件公司也来台分享他们执行Bug△Bounty的经验。另外,日本漏洞奖励平台BugBounty.jp,也在台提倡漏洞奖励,并寻找有兴趣合作的企业。

最近,今年8月,趋势科技ZDI资安计划经理Shannon△Sabens来台,则是报告了整体漏洞趋势。例如,ZDI认为今年应特别注意工控系统、虚拟化软件与浏览器等层面的漏洞问题。

ZDI本身也举办两项年度白帽骇客竞赛,其中之一就是全球知名Pwn2Own奖励竞赛,是鼓励研究人员挖掘常用软件漏洞,为供应商与用户提供零时差的防护情报,另外ZDI在8月新推针对性的奖励计划,鼓励骇客挖掘,Joomla、Drupal等6大常见的网站平台的漏洞。去年,HackerOne也有推出帮符合资格的开源码专案抓漏的专案,目的是希望开放源码能够更加安全。

已经有台湾企业开始采取行动

台湾也有企业,早在漏洞奖励风潮吹进台湾前就开始这做了。例如,台湾NAS设备厂商群暉,早从2016年就开始推出安全性弱点奖励计划,是少数率先采取行动的台湾企业。另外,台湾资安社交也开始跟进,像是HITCON△ZeroDay漏洞通报平台,在今年3月也开始在平台上推动奖励计划的制度。

台湾企业要了解漏洞奖励的流程,可先从执行方式来看, 具体作法有两种,第一种是靠企业内部团队独立执行,另一种是采用漏洞悬赏平台的服务,例如知名的平台有Hackerone、Bugcrowd与Synack等。而不论何种执行方式,都可以画分成封闭邀请制与公开申请制。

以群暉的作法而言,他们是采内部团队独立执行的形式,早期仅允许受邀者找出他们NAS产品的安全漏洞,去年他们则转成公开制,开放各界人士参与,并将锁定目标扩及到自家的网站服务。

在成效上,该公司资深安全分析师李宜谦表示,在第一阶段封闭邀请制时,就收到不少漏洞通报,甚至有一个是重大等级的漏洞,而在计划转成公开后,到今年9月初为止,他们收到超过100个有效漏洞,并发出约3万美元的奖励,而参与通报的对象遍及全球,有超过10个国家研究员,一起来帮群暉找漏洞。

但李宜谦认为,漏洞奖励只靠自己做不够,要争取更多外部资源,可以借助像HackerOne漏洞通报与悬赏平台。李宜谦解释,在这类国际型平台有很多活跃的研究人员积极参与通报,平台上也公开了这些通报者的生涯成就系统,让企业更了解通报者的实力,平台也可以协助处理跨国奖金发放与税务的处理,减少自己作业人力。

但相较于自行执行专案,租用商业平台的成本较高。例如,发布奖励任务需要负担基本费用,悬赏奖金也会被平台抽成,所以企业需投入更多的经费。

不过,HackerOne平台目前也不再提供单纯的奖励任务发布,而是改为整套式漏洞奖励服务,涵盖漏洞审查、验证等。李宜谦认为,对自有资安小组的企业来说,自行审核通报内容虽然比较慢,但准确度会更好,毕竟自己应比他人更了解自家产品与网站服务的问题。

在投入漏洞奖励计划前,企业须尽力找出漏洞,并有资安小组应变

尽管执行漏洞奖励计划,可为企业挖掘更多安全漏洞,好处不少,但有一些前提企业必须注意。

HITCON常务理事翁浩正表示,并非每间企业一定要推动漏洞奖励计划。他认为,开放漏洞奖励之前,企业内部应先尽力排除漏洞。不只要落实基本的弱点扫描,他建议,还可采用渗透测试、红队演练等作法。

若企业没有人力自行排除漏洞,也可委外,如渗透测试委外是企业常见作法,不过,为了要得到不同角度的安全报告回馈,翁浩正建议,可每一季委外给不同的厂商,以消除厂商间的盲点。同时他也提醒,弱点扫描与渗透测试的差异,企业必须有所分辨。

在漏洞奖励计划实施之后,企业也需有专责资安事件应变团队,在一定时间内对搜集到的漏洞,尽快完成修补。

李宜谦补充,通常资安应变团队可分成两个角色,以渗透测试为主的红队,以及防守为主的蓝队。在漏洞奖励机制中,通报者类似是红队攻击者的角色,企业中负责修补通报漏洞的人员就是蓝队角色。不过,企业想要红队人才往往很难,李宜谦观察,现在连参加骇客竞赛的选手都成了抢手的资源,企业想要在既有制度、架构下,招募这群骇客高手是一大挑战。因此,这正是为何越来越多公司祭出漏洞奖励计划,去年的黑帽大会与一些大型资安会议中,也有越来越多的漏洞奖励议程,就是希望建立一套良好的沟通方式与限制,让这群骇客高手也可以为企业所用,帮企业找漏洞,而骇客们不用进入企业任职也能获得奖金,各取所需。

企业对于漏洞通报的观念必须正面

在实施漏洞奖励计划之前,还有一点非常重要,就是企业必须改变对于漏洞通报的负面态度。

不少些企业会认为,一旦有人通报漏洞,就是一种名誉受损,或是出现了想要来攻击你的人。其实,现在有越来越多热情的研究人员,愿意在发现企业漏洞问题时,通知企业尽快处理,不过,他们往往可能找不到企业联络窗口,或是通报后续无人处理,这些漏洞也就无得到修补。因此,企业也应该采取开放且正面看待漏洞通报的态度,先接受别人提供协助,来帮忙找出漏洞问题。

一旦企业能够正面看待漏洞问题之后,下一步就是要建立通畅的通报管道。李宜谦提到,在漏洞揭露与处理的国际标准ISO△29147,就有提到要建立标准联络窗口,例如专属信箱Security△#公司名称.com,并且要有人负责,公司官网上也要说明。尽管这是已知通用的老方法,但大部分台湾没有执行。此外,一间公司也要拥有专属的PGP加密金钥,以便有人有意时可用来加密,但,台湾少有企业做到这一步。

李宜谦建议,企业就算无意采取主动的漏洞奖励计划,也该有建立一个被动的漏洞揭露管道,至少在收到漏洞通报讯息时,有负责处理的人员。“当然,更积极的方式还是奖励帮你找到漏洞的人。”他说。

此外,翁浩正观察,从知名漏洞悬赏计划的总奖金越来越高,就反映出,越来越多企业愿意加入,漏洞奖励将是越来越热门的资安趋势。

国内企业不能再无动于衷,看到全球大型企业不断加码的抓漏奖金,却不觉得跟自己有关系。

反过来思考,企业愿意推出漏洞奖励计划,也代表了,企业对自身网站或系统的安全,有一定的自信,鼓励外界来检视,更能彰显企业对于资安的重视,才敢以开放的态度,让全球研究人员来挖掘潜藏漏洞,希望精益求精,借助全球骇客之力,让自己的资安做得更好。

?

2018年全球漏洞奖励新作法

?2018年2月15日?

Intel为硬件安全提高漏洞奖金

Intel在去年3月开始推出漏洞发现奖励计划,奖金最低从500美元到3万美元。今年1月,他们被安全研究人员揭露Meltdown及Spectre两项开采漏洞手法,硬件安全问题备受注目。

2月开始,他们将奖励计划从邀请制改为开放,并且新增旁路攻击漏洞项目,奖金最高25万美元,其他各类别漏洞奖金最高则是10万美元。

?

?2018年3月22日?

Netflix影音平台将抓漏奖励计划改为公开形式

Netflix在2013年,就在他们官网上公开表扬,协助揭露漏洞的通报者,近期他们将原本限定邀请制的奖励计划,转为公开形式,主要借由Bugcrowd平台进行,目标是自家网站与手机程式。依照漏洞严重等级,奖金从100美元到1.5万美元不等。

其他像是Pornhub、YouPorn等成人影音网站,也都在前两年于HackerOne平台,发布各自的漏洞奖励计划。

?

?2018年7月17日?

微软新增身份服务相关漏洞奖励计划

微软在Windows相关的漏洞发现奖励计划之外,今年最新的专案是关于微软身份验证服务,最高奖励10万美元,范围涵盖旗下约10种登入工具,希望补强身份验证的安全性。在今年3月,他们也曾推出推测性执行旁路奖励(Speculative△Execution△Side△Channel△Bounty)的限时专案,最高奖励是25万美元。

?

?2018年7月31日?

HP祭出全球首个印表机抓漏专案

在IoT的议题之下,随着连网设备安全的问题不断被重视,企业也开始重视自己的产品安全,像是在今年8月,印表机大厂HP也为了自家列印设备的安全性,祭出漏洞奖励计划。

他们与Bugcrowd合作,采邀请制进行,期望安全研究人员能够协助寻找这些印表机的韧体安全漏洞,如远端指令码攻击、网站请求伪造,或跨站指令码攻击等。

?

?2018年9月17日?

Facebook漏洞奖励扩大到第三方App漏洞

脸书扩大抓漏奖励计划,为了提升整体平台的安全,他们将第三方App纳入漏洞奖励计划范围。一如脸书自有服务的抓漏奖励,针对平台上第三方App的每款漏洞,将颁发最低500美元的奖金。

为提升用户个资安全,他们今年4月也发布了资料滥用奖励计划,鼓励外界举报App搜集用户资料并转售第三方使用的滥用情形。

?

?2018年9月19日?

新加坡政府将在年底推出政府漏洞奖励计划

新加坡国防部在今年初举行了漏洞奖励计划,该国政府也在9月中决定,于年底推出Government△Bug△Bounty△Program。

近期新加坡举办第三届网络安全周,他们宣布将邀请国际和本地的白帽骇客,针对特定、网络的政府系统找漏洞,希望借助这些全球骇客的能力,协助找出他们看不见的盲点,并希望能对于相关防御技术,进行评鉴测试,同时打造创新资安生态。

资料来源:iThome整理,2018年9月

?相关报道? 化被动为主动,企业开始悬赏抓漏

tags:

上一篇  下一篇

相关:

【Bug Bounty概念席卷全球,台湾也有企业实际应用】群暉跟上全球脚步,推出安全性弱点奖金计划

以漏洞奖励计划,邀请全球各地的资安研究人员帮找安全性弱点,也有台湾企业已经这么,NAS大厂群暉就是一例。他们发出超过3万美元的奖励,参与的研究人员来自超过10个国家。 在企业资安检测上,为了让产品及服务更有

脸书惊爆史上最大漏洞攻击,全球高达5,000万名用户个资恐遭骇客窃取

脸书 ( Facebook)在台湾时间9月28日晚上爆出史上最大漏洞攻击,因为更新视频上传功能程式码时出现开采漏洞,导致全球至少5,000万名脸书帐户资讯恐遭骇客窃取。然而,去年7月脸书就存在这个重大安全漏洞,但直到25日

科技业进军台湾自驾车产业首例!宏碁联手裕隆公开首辆国产商用自驾车雏型

科技大厂宏碁 (Acer)今日(9/27)与国内电动车厂裕隆合作,首度发表以Luxgen△S3电动车改造的首辆国产自驾电动车雏型,尽管还无法达到像Waymo商用无人车的自驾应用阶段,但也已经开始从传统先进驾驶辅助(ADAS)跨出

【Bug Bounty正在全球兴起,台湾今年也有平台提供管道】台湾公益漏洞通报平台助企业推动奖励计划

由社团法人台湾骇客协会,建立的公益性质的漏洞通报平台HITCON△ZeroDay,今年3月开始推动漏洞奖励计划,希望企业在面对资安漏洞问题,能有更主动的方式。 随着近年国际漏洞通报风气兴起,已有不少漏洞平台,提供了

7 岁小孩发现 iOS 12 Screen Time 功能漏洞 | 香港 UNWIRE.HK 玩生活.乐科技

iOS 12 的“屏幕使用时间”有多种功能,例如让用户了解自己的 iPhone 和 iPad 使用习惯,花了多少时间在个别软件、游戏或功能上,同时“屏幕使用时间”也让家长监控子女,了解和控制他们使用 iOS 装置的时间。不过孩

站长推荐: