LINE資安團隊任務分工首度在臺公開！

現在企業已經越來越重視資安防護，然而，要如何做好企業內部，以及產品與服務的資安防護，臺灣少有大型企業分享實際經驗，與資安團隊建置。在近期舉行的「LINE臺灣開發日」期間，針對企業在資安防護的作法，LINE GrayLab資安研究室的負責人李丞鎮（Lee Seung Jin，網路代號Beist），他特別公布LINE的具體因應作法。

事實上，這幾年來，在日本東京舉辦的「LINE與Intertrust資安高峰會」，他們持續介紹是如何做好資安防護，在12月3日李丞鎮來臺期間，他特別接受媒體採訪，談到更多的資安團隊運作與最新近況，包括建立內部資安教育平臺，以及運用機器學習，於資安防護等面向，讓大家更深入了解到LINE資安團隊的任務與建置。

李丞鎮的背景是什麼？去年LINE併購了他創立的GrayHash資安公司，因此現在成為LINE的一員，領導GrayLab資安團隊，負責程式碼審核、滲透測試與資安顧問等工作。而他過去曾經在美國黑帽大會（Black Hat）等知名資安大會擔任講師，分享最新的技術研究，也是亞洲首位進入DEFCON CTF決賽的搶旗攻防競賽選手。（攝影：洪政偉）

打造企業內建專用的資安教育平臺，可適用於一般員工與工程師

這幾年來，LINE已經從單純的即時通訊，擴大到整合行動支付、購物、新聞、IoT裝置與通訊的平臺，甚至發展到虛擬貨幣交易所與網路銀行，服務範圍相當廣。他們如何做好企業資安這件事？

李丞鎮表示，隨著LINE的公司規模持續擴大，推出的服務也越來越多，資安團隊需要顧及的對象相當廣，包括LINE在全球8千多名的員工，還有自家軟硬體與基礎設施，以及第三方產品與服務，甚至委外承包商等。而在這些面向當中，其實有許多的難題要去面對，像是企業使用的VPN服務，也可能存在弱點，對於供應鏈攻擊手法的防範也相當重要。

若要做好資安，首先LINE從企業產品開發生命週期著手，李丞鎮指出，在他們的資安團隊的運作流程中，主要涵蓋整個服務發布流程，包含訓練、需求、設計、執行、驗證與發布等六大階段，每個階段都有相應的資安工作，雖然主要管理流程，與一般普遍認知的沒有很大差異，但他強調，LINE的資安團隊會從一開始，就與產品團隊共同合作，而且訓練階段也是非常重要的一環。

因此，李丞鎮特別分享了LINE在員工資安訓練的規畫。例如，他們打造了內部的資訊安全教育平臺，稱之為SEP（Security Education Platform），當中包含針對工程師與非工程師的訓練內容，前者著重在自我的安全防護，以及APT攻擊的認知，後者則強調安全程式碼的撰寫。

事實上，對於多數大型公司而言，為了員工的教育訓練，人資部門通常用線上學習系統，提供領域知識，也會放上一些電腦安全課程與測驗。而LINE資安團隊的作法，是自行建立以資安為主的教育平臺。

從李丞鎮所展示的資安教育平臺介面，我們進一步瞭解LINE在訓練內容規畫。舉例來說，對於一般企業員工，SEP平臺提供了8種資安必修課程，包含帳密安全、電腦安全、應用程式安全、資料外洩保護、避免後門、硬碟加密、自動更新與安全密碼等基礎課程；對於網站開發者，這套平臺也有8種網站開發課程，包括XSS、CSRF、Path Traversal、SQL Injection、命令列注入、演算法、資料加密與傳輸加密等。

特別的是，這個SEP平臺也包含駭客遊戲的競賽挑戰，培養人員對於攻防技術的興趣。而在每個競賽題目中，資安人員可檢視挑戰者的記錄，並察看團隊排名。

對於CEP平臺的建立過程，李丞鎮表示，平臺內容都是由資安團隊自行規畫，大約花了3個月時間建立，未來他預計增加更多課程項目，並將在明年開放外部人員參與，希望能從中得到一些回饋。

對於內部員工資安訓練的規畫，LINE資安團隊近期打造了專門的資安教育平臺，提供針對一般員工與開發者設計課程，並且也有資安攻防技術的競賽挑戰。（攝影：羅正漢）

從服務規畫的一開始，就要考量資安

為了產品開發生命週期更安全，在每一個環節，都要確實地執行資安工作，將是重點。

他舉例，對於每次規畫新服務上線LINE資安團隊的工作，就是要讓所有相關的團隊，都要加入一起討論，而風險管理是重點。他們會分配各自的角色與責任，討論攻擊面向與風險管理，並要做到「隱私始於設計（Privacy By Design）。」

在導入與執行階段，資安團隊進行源碼安全檢測（Security Code Check），像是在白箱測試時，以靜態分析找出不安全的程式碼，以及檢視工具與程式庫的安全性，或是檢查是否使用了舊的版本。同時，他們也會限制開發者的環境，針對Alpha、Beta與正式發布版本，採取彼此隔離的措施，且不會在開發模式使用真實的資料。不過，他也提到在此面臨不少挑戰，包括相依性的問題，以及經常使用仍有弱點的函式。

在驗證階段方面，LINE實施了人工程式碼稽核，以及模糊測試來檢測系統漏洞，包含找出注入攻擊的漏洞、無效身分驗證的漏洞，XML外部實體注入（XXE）攻擊的漏洞、不安全的反序列化（Deserialization）漏洞等。他更是強調，所有服務要發布之前，都必須經過資安團隊的審核，必須要等到所有問題都要經過修正，才能釋出。在這個階段中，他指出溝通是相當大的關鍵，他們的資安團隊與開發團隊花了相當多的時間，在這一部分進行討論。

在服務發布之後，李丞鎮指出，資安團隊將要持續監控，畢竟產品之後增加了新功能、改變了程式碼，他們可能不會即時注意到已有異動，因此要有全天候的模糊測試，並且，他們還會測試所有的API，並與之前的結果比較，以分析是否有問題。

另一方面，資安團隊要有安全事件的應變計畫，他提到，LINE具有專門處理的團隊，因應資料外洩、濫用與任何資安事件，而且，資安團隊也將時常與開發團隊保持聯繫。

另外，由於LINE近年提倡DevOps，因此我們也詢問他們對於DevSecOps的看法，他表示，LINE還沒有這麼做，他認為中小企業更容易做，不過未來有機會朝此方向邁進。

試圖將機器學習普遍用於多種防護情境，節省時間將是最大效益

近年機器學習正夯，LINE的資安團隊同樣利用這項技術，強化防禦的各種面向。例如，過去他們導入機器學習技術，以自動化機制，攔阻發送垃圾訊息的帳號，之後也應用於偵測帳號劫持攻擊，並建立濫用行為資料庫以機器學習過濾。

這次，李丞鎮特別說明了他對於機器學習技術的看法。他表示，機器學習用在攻擊面，要比用在防禦面容易，例如，若用在防禦上，只要有1%的錯誤率，可能就沒有效用，不過，他認為，機器學習技術會是相當好的輔助工具，因為可以節省很多的時間，畢竟資安團隊的人力還是有限。

因此，雖然LINE將機器學習用於資安防護面的例子還不算多，處於早期階段，不過未來他們的資安團隊，會盡可能將機器學習技術用於各式場景，並不斷調整以做到精準。

另一個他們團隊花很多心力的部分，是在內部開發工具（In-House Tooling）的安全。李丞鎮指出，他們的任務包括黑箱網站安全的漏洞掃描，以及API模糊測試、異常行為監控，對於第三方雲端服務監控也有必要，需檢視是否有敏感資料上傳，以及檢查版權。

無論如何，資安是每家公司都要面對的挑戰，在有限的資源下，又要面對眾多的服務與快速開發，而彼此之間現在也都更相互連結，又帶來更多風險。李丞鎮指出，他們資安團隊就是要找出這些問題，並以有效率的方式修復，同時，能與其他團隊共同協力來完成，他更是強調，在LINE的資安團隊之中，好的溝通技巧已是相當重要的技能。

LINE資安團隊怎麼分工？

在李丞鎮說明LINE資安團隊的任務之餘，我們也詢問團隊的分工，以及隱私工程方面的作為。李丞鎮表示，現在他們的資安團隊共有80人，而且，LINE在今年5月成立了資安中心，將公司內部的資安人員集合在一個單位。在隱私工程的作法上，LINE臺灣資深資安工程師劉威成補充表示，他們內部有專門的隱私團隊，當中具有法律背景的律師，以及專門隱私工程的專家，也有同時懂法律、資訊與GDPR的成員，以及研究個人隱私權的人。每當產品上線之前，產品都會經過用戶隱私方面的檢查，並有透明化的隱私權聲明。

以LINE的資安團隊而言，劉威成表示，目前旗下公開過的分工項目，包括了隱私工程、應用程式檢查方面，並有資料科學家負責機器學習以分析異常，而傳統資安監控中心（SOC）與緊急應變小組（IR Team），以及CSIRT與PSIRT也都包含在內，較特別的是，還有針對遊戲方面的保護。

持續耕耘社群活動與漏洞獎勵計畫

關於LINE在資安方面的重視，其實從他們近年發起的社群活動與漏洞獎勵計畫，也能看出他們的積極態度。例如，為了讓資安知識能快速交流傳遞，LINE GrayLab在多國舉辦了Becks資安社群聚會。為了增進臺灣民眾對於這項活動的認識，李丞鎮表示，這項活動分享的知識，可讓學生、開發者、資安工程師與非工程師參與，而今年臺灣也已舉行了5場。

另外，漏洞獎勵計畫（Bug Bounty Program）也是他們持續進行的工作項目，透過外界資安專家的力量協助找出資安漏洞，過去LINE也曾在2017年來臺分享他們的執行經驗。這次，李丞鎮更是指出，該計畫從2015年運作至今，他們收到提報並驗證過的漏洞已有超過200個，帶來更多幫助。特別的是，他還透露已有更多獎勵計畫正在籌備中，像是名為Threat Bounty的計畫，具體細節則待後續公布。

LINE在2018年底就宣布，將提供基於FIDO身分驗證的機制，在今年11月20日舉行的2019 LINE DevDay上，我們注意到當中的議程上提到了更多FIDO應用的發展狀況，像是日本已經開始導入，對此，我們也進一步詢問李丞鎮，這項機制是否也將在明年引入臺灣，他表示，希望在明年就能在臺推動，不過詳細情況則有待後續公布。（圖片來源：LINE）