【臺灣資安大會直擊】HITCON ZeroDay最新臺灣漏洞通報趨勢大公開，並宣布推出漏洞獎勵計畫

在國際上，鼓勵駭客幫企業找出漏洞，促成正向的資安環境，已經相當常見。在昨日（3月14日）舉行的2018臺灣資安大會現場，HITCON常務理事翁浩正報告他們推動的HITCON ZeroDay漏洞通報計畫現況，並且揭露最新的臺灣年度漏洞通報趨勢，並列舉出企業能夠參考的具體建議與作法。

同時，他們也正式對外宣布推出漏洞獎勵計畫（Bug Bounty Program），與國際態勢接軌，讓企業在鼓勵通報者上，也能透過通報平臺來進行，期望促進整體企業資安環境的發展。

常見漏洞問題多，臺灣企業需努力

基本上，HITCON ZeroDay成立已經兩年，在漏洞通報方式上，早期是以郵件提交，現在則可以在平臺上進行，並提供了專屬企業帳號後臺，方便通報流程的管理與狀態顯示。

從他們在2017年度統計的漏洞通報相關數據來看，目前到HITCON ZeroDay註冊的企業帳號數達250家，通報企業數量則有2,000家，而在漏洞通報數量方面，相較於2016年，2017年的漏洞通報數量更是成長245％。

翁浩正指出，在2017年度所有漏洞通報的類型中，有39％的通報是SQL Injection漏洞，23％是XSS漏洞，15％是資訊洩漏，是漏洞通報中居於前三的分類。顯然，這些漏洞通報的類型，就是臺灣企業該憂心的問題。

不過上述漏洞通報分類占比，也突顯出臺灣企業面臨的困境，那就是同樣的漏洞問題，多年以來仍然存在而無法根除。

為什麼SQL Injection、XSS與資訊洩漏的問題，仍是臺灣企業不斷面臨的漏洞問題？翁浩正表示，現在臺灣很多企業開始重視資安，但大多數企業還是沒有概念，而無法顧及資安問題，亦或是沒有資安人員，又或是知道但卻沒辦法處理。

像是在漏洞通報的狀況中，如網址後面只要加上一個單引號「‘」，這個網站系統就會出問題，就是一個簡單的例子，而這樣的例子還不少。另外，甚至也有1%的漏洞通報狀況是，可以容易地拿到整個主機的權限。

當然，在漏洞通報後，不僅能讓企業瞭解自身的問題，也要做到在一定時間內修補，才能讓通報有所價值。翁浩正表示，2017年度漏洞通報的單位別，一般企業組織佔84％，另外有10%是教育單位，6%是政府單位，而整體漏洞通報修補狀況只有24％。看來，目前國內企業還有不小的進步空間。

即便資安預算不足，企業也該要有做好資安的策略

從漏洞通報現況來看，翁浩正也整理出臺灣企業面臨的幾個問題，像是多數網站沒有安全防護及安全程式碼開發，導致SQL Injection，XSS攻擊，在那麼多年後仍然有效。而在企業在修復漏洞時，若是單純依賴網頁應用程式防火牆（Web Application Firewall，WAF）等設備，並不妥當。他舉例，像是許多WAF設備阻擋了Or 1=1這樣的字串，但對於駭客來說，改成or 2=2就可以繞過，而這樣的觀念其實在十年前就有，他認為不少資安設備商還停在舊的思維，若是企業太過於依賴WAF設備，可能無法正確解決資安的問題，值得留意。

還有很多漏洞通報遇到的狀況是，企業沒有聯繫窗口可以聯絡，因此無法回報修補狀況，以及企業網站是委外開發，但開發團對品質不佳，導致所有專案都有相同的問題。另外，也有大量設備採用預設帳號密碼的例子。

首先，大型網站必須實施滲透測試、紅隊演練，但現實狀況在於臺灣多數公司是沒有預算的中小企業，因此他也特別提到：「即便沒有資安預算，也要有做好資安的策略」。舉例來說，像是低成本的作法中，可安排弱點掃描、網頁安全掃描工具，甚至使用免費工具，先找出影響較大的問題，等到未來企業成長、資源較多時，再深入的處理。但他也提醒，一分錢一分貨，單靠弱點掃描的預算金額，並無法買到滲透測試的品質。

同時，翁浩正也給出5大建議要點：

一、防禦設備並非萬能。雖然可以暫時擋下前幾波攻擊，但要記住的是，攻擊者仍擁有各種繞過防禦偵測的手法。

二、預設密碼一定要修改。從攻擊思維來看，第一步就會嘗試預設密碼登入管理介面，而許多網站的帳密都還是Admin，因此他提醒這些企業。

三、注意委外開發。委外開發是不少企業的選擇，但慎選委外團隊也很重要。為保障企業，建議合約上一定要明訂資安規範，例如請委外團隊提供第三方資安檢測報告，以證明開發的程式夠安全；其次，要訂定資安維護合約，如接到漏洞通報，在多久時間內必需修補完畢；最後，也不要忽略驗收時以及定期進行的安全檢測掃描。

四、企業對於漏洞通報的觀念要健全。像是收到漏洞通報的企業，要搞清楚通報者並不是幫你的網站做到完整的檢測，其他地方可能也有同樣邏輯的漏洞，需要企業自己去留意。

五、建立順暢的通報環境。在許多漏洞通報中，有不少情況是無法聯繫到企業窗口，漏洞也就無從修補。因此建議企業可以在網站上，提供資安窗口或相關聯絡人，並要建立漏洞通報的SOP，同時也要注意網域的註冊人資訊是否正確。

HITCON Zero Day首度正式公布推出漏洞獎勵計畫

在推動HITCON ZeroDay漏洞通報平臺之後，下一步是什麼？翁浩正也在資安大會現場宣布，推出漏洞獎勵計畫，希望臺灣企業能跟上國際的腳步，透過這個計畫，來促進企業與漏洞通報者的溝通與激勵，像是資安人員檢測到問題時，企業可以發給獎金。

在平臺的獎勵方式設計上，企業後臺介面已經提供3種方式，分別是獎金、感謝函與風雲榜。他表示，企業不要小看感謝函與風雲榜，這也是資安人員證明自身價值的紀錄，甚至也有通報者只是站在幫助企業角度，而不想要回饋的例子。此外，透過這樣的計畫，其實也可以更主動尋找到資安的人才。