資安即國安,不論是政府還是企業都相當重視,但要建立分工細而且各司其職的資安團隊,無法一步可及。台灣面臨資安人才缺口,即便有需求要找到合適的人也很困難。在 HITCON Pacific 第二天的議程,Ken Lee 訴說 Synology 用有限資源,建立產品安全應變小組(Product Security Incident Response Team, PSIRT),輔以外部資安專家找漏洞的模式,充當紅隊角色找出產品可能的漏洞。
花錢弄起 PSIRT 事小,但是說服高層花一番功夫
Ken 談到當初建立 PSIRT 的構想,是從美國上課,講師談到要跟駭客社群有良好的正向互動,而不是敵對的關係。回去報告高層之後,能夠接受請人找出產品的漏洞,花些錢是能接受的。
畢竟資安對公司產品、服務有相當重要性,發出賞金相比被找出漏洞攻擊而造成的營業損失,真的微不足道,更別提如有後續的賠償,動搖整個公司也是有可能。但花錢之外還要給發現漏洞的駭客名聲,進而挑戰公司的想法。
確定要做 PSIRT 之後,駭客與公司如何達成雙贏的機制,就需要特別設計了。從成本來說給獎金合理,但是要給駭客名聲則衝擊到公司原本固有的想法。有不少駭客其實沒有想靠發現漏洞發大財,假若公司把他們逼到絕境,對駭客採對抗態度,可能他們就真的在黑市販售漏洞維生。
Synology 從 2016 年開始 bounty hunting,在資安大會期間,用自己伺服器舉行 bounty program,徵求要與會高手找漏同,總計給出四萬多美元的獎金,那次但都抓到比較明顯的臭蟲,由於只有幾天時間,效果有限。消費者使用公司產品,需要的是時時的保護,要持續不斷的抓臭蟲。
Synology 決定將 bounty program變成長期執行且不設截止日期。只要有外部資安高手找到漏洞,就給出獎金,2016 之後總共花超過 4 萬美元,給出豐厚獎金事小,得到駭客完整的漏洞分析報告,Synology 資安人員依據報告內容要修補產品得花上一些時間,是相當值得的投入。
為了確保產品的安全,Synology 跟發現漏洞的駭客達成協議,先不要公布被發現的漏泂,而是寫報告回報給公司,等到公司修補完畢之後,再公布漏洞的細節。公司得到漏洞更少的產品,而駭客則獲得名聲和發現漏洞得到的獎金。
資安人才難找而且挑戰公司管理體制
以上花些錢獎勵外部資安專家找自身公司的漏洞,看來是一小步,但在 Synology 內部還是要花些時間說服管理層的支持。進一步擴充資安團隊,確保公司產品設計在不同層面都加進資安考量,則是公司更大一步的挑戰。但這是必須做的一步,而且需要內部的資安專家來做才是長久之計。
Ken 指駭客自由自在慣了,要打卡上下班則會不習慣,而且不一定能沉住氣願意一直找漏洞打漏洞,常提高辦公室管理成本。即便有用人需求的企業拿得出高額薪資,願意坐在辦公桌的駭客,也早有好的工作了,薪水夠高換工作意願不高。以短期的階段來說,Synology 將紅隊外包,由外部高手當紅隊的作法,得到報告修正產品各項資安漏洞,已經相當足夠了。
在資訊領域,常看到如 IBM、微軟等大科技公司的資安團隊規模相當大。Ken 提到只要老闆願意支援,有資源有人一定可以做好。但現況是 Synology 的資安團隊,除了他之外,只有另外 3 位成員,光是產品設計階段的 security by default 就忙不完了,更別提有另一組紅軍,找出自家產品漏洞攻擊。如果養不起紅軍,那麼求助外援是合理的方式。
資安人才訓練有改進但仍有大量補充的需求
談到資安人才缺口,Ken 認為數量跟不上是相當大的問題,無法顧基本的產品資訊安全要求。目前大學中有資訊安全的課程,但受到的訓練仍不夠,學生畢業投入業界,實際從事資安產業時仍得花大把時間訓練,才有辦法真的應對真實資安威脅。資工系學生也許在暑假時間上 AIS3 (Advanced Information Security Summer School) ,儘管有教育有興趣往資安領域發展的人,但演練的內容大半是理想狀態,比較制式的課程,無法完整反應真實資安威脅。
物物聯網的時代,增加資安人才的出路,也同時加劇資安人才的缺口。Ken 引述前輩說 IoT 就是 IT 加 OT,IT 和 OT 界線越來越模糊了,公司只要聯網,網路帶來方便,就有一定的風險存在。只要聯網就要有保護措施。物聯網帶來方便,但聯網有風險,同時是資安人才的機會。
(首圖來源:Synology)
