曾是群暉科技的安全應變小組經理,現為獨立產品安全顧問李宜謙,在資安大會上分享了企業設立弱點獎金計畫的經驗。群暉在2014年的時候,產品NAS出現嚴重的勒索軟體攻擊事件,從那時起,群暉痛定思痛花了許多心力在改進產品安全上,除了2016年設立產品安全事件應變團隊(PSIRT)之外,還於2017年推出安全性弱點獎金計畫(Bug Bounty Program),4年過去,群暉已經與超過200位安全研究人員合作,發出25萬美元獎金。

不只是群暉,各大科技公司包括Google、Apple和微軟等,皆有自家的弱點獎金計畫,「組織安全,駭客有錢,發大財」李宜謙以這11個字說明了弱點獎金計畫的目標,他解釋,弱點獎金計畫不只是給漏洞研究者的報酬,也是企業對資安漏洞的回應管道,能夠在漏洞公開揭露之前進行控制並修補,同時也能避免研究人員將漏洞賣給不利的第三方。

李宜謙特別提到,在臺灣,弱點獎金計畫常會被誤解為滲透測試或是安全競賽。畢竟這兩個都是較短期的活動,像是安全競賽時間為2天,最多1周,如果研究人員可以發現重大的安全漏洞,通常是已經做足了許多準備,要不然就是安全性太差,李宜謙坦言,研究人員要發現有價值的漏洞,通常需要很長一段時間。

優點1:尋找軟體漏洞更經濟有效的作法

企業為什麼需要弱點獎金計畫?李宜謙提到,無非是想要取經於專業安全研究人員,企業中的資安人員數量已經不多,更別說是要設置專門進行滲透測試的人力,透過弱點獎金計畫邀請外部的研究人員提供弱點研究,是更有效率的方法。

而且以成本考量來說,發出獎金邀請外部研究人員尋找軟體漏洞,是更為經濟的作法,根據群暉釋出的數據,從2017年成立弱點獎金計畫以來,經過4年,共與200位資安研究人員和單位合作,總計發出獎金為25萬美元。李宜謙提到,要計算弱點獎金計畫發出去的錢是多還少,企業有兩種評估方式,一種是評估當企業漏洞被駭客開採,所需要付出的損失,第二種評估方式,則是計算要能研究出相同數量的漏洞,企業要培養多少個資安人員,並以付出資安人員的費用來計算。

優點2:企業可控制弱點揭露時間

對企業來說,弱點獎金計畫還有另一個好處,是能夠控制漏洞揭露的時程,一般來說,當資安研究人員向企業回報漏洞,則企業擁有90天的修補時間,以及2星期的延後揭露時間,因此企業可以最多擁有104天的時間,能安心地進行修補。

其實弱點獎金計畫不只對企業資安有助益,對資安研究人員也有許多優點。回報企業的漏洞,除了資安研究人員能夠獲得一些研究獎金,還能夠獲得企業官方認證,甚至在企業的漏洞網頁掛上研究人員的名字,同時也,資安研究人員也可以發表CVE(Common Vulnerabilities and Exposures)漏洞資訊,在公開漏洞資訊的同時,獲得一些名聲。不過,約定的事情總有一些意外,李宜謙提到,比較常見的爭議,是企業漏洞獎金發放延遲,也可能造成糾紛。

企業建立弱點獎金計畫,能夠強化自家系統與產品的安全性,李宜謙提醒,信任難以建立,卻很容易失去,企業語研究人員雙方應該在維持信任的基礎下,謹慎的執行每一步嚴格遵守承諾。

熱門新聞


Advertisement