攝影/余至浩
資安及個資隱私安全保護,不僅僅是資安團隊、管理階層的責任, 更是企業內每個人的責任 。 然而,要將資安內化成組織文化的一環, 並不是件容易的事。最近,Line資安團隊首度揭露了,3年來從三面向推動研發部門建立資安文化的經驗。
早幾年前,Line就意識到既有縱深防禦機制的不足,因此重新擬定了新的資安策略,聚焦於建立資安的數位韌性,不再一味依賴防禦措施。2020年,Line更進一步提出了名為全方位資安的新數位資安架構,以技術、文化、人作為主軸,制訂出10項資安戰略。
Line臺灣資安長劉威成表示,新架構推行一段時間後,Line內部更加強調文化的形塑,「 只有當每個人都把資訊安全納入日常工作和思考過程,才能降低彼此在資安的投入成本,也才不會將資安視為一項額外成本。」
在發生資安事件時,關鍵是要能夠在最短時間內迅速復原,並限制攻擊所造成的範圍,以降低可能產生的深遠影響,從這個角度來看,劉威成指出,資訊安全不應該變成是開發部門的負擔,而要減少因處理資安事件產生的不必要成本,使他們能夠專注於產品的開發,為公司創造產值。
如何避免資安成為負擔? 劉威成指出,關鍵在於建立文化,讓組織內的成員都能相互受益,發揮各自專業領域的價值。
協助開發部門培養資安文化,首先需要改變舊有的工作思維
在各部門取得共識之後,Line資安團隊不只展開流程的改善,更重新定位自己的角色,擔任工作團隊的協力者,幫助他們發展其稱之為高效且精實的團隊(Lean & Mean Teams),進一步培養資安文化。
但要打造這個團隊之前,需要改變舊有的工作思維。因此, 他們從三個面向改變開始著手, 包括建立開放溝通與垂直決策 、確保團隊成員資訊保持同步,以及凝聚彼此共識迎接挑戰。
首先,為了強化開放透明的溝通和決策,Line臺灣資安團隊在Security by Design的管理流程中設立一個架構審查小組,由資安部門、產品研發部門、QA等部門所組成,負責維護和建立一份系統實作指引( System Implementation
Guideline)的文件,記載工程師在系統設計時需要遵循的基本要求。這些基本要求參考了多方來源,包含NIST/ ISO資安標準、資安事件、漏洞回報,還有工程師實踐經驗等。
劉威成表示,在開發過程中,會有相應的組態基準必須遵循,確保開發安全一致性,以帳號系統開發為例,在開發的組態文件中,除了明確定義出一般使用者、管理者的角色,還要求必須設置日誌審查者(Log Auditor),以便在資安事件發生時,可以由Log Auditor進一步查看和搜尋Log日誌進行後續調查與分析。對於Log資料應包含哪些用戶行為或活動,都要事先定義清楚。
Line臺灣資安長劉威成表示,Line的資安策略核心,就是創造資安文化,讓資訊安全可以為工程師帶來價值,而非增加他們的負擔,並使其免於被迫從事不想做的事。
一旦建立組態基準以後,研發工程師開發到對應的功能時可以根據文件上需遵循的安全要求來執行。他表示,這樣的做法,不僅能夠讓工程師在產品設計過程中落實資安要求,也能減輕了資安部門的負擔,只要確認工程師是否按照要求執行。
或像是加解密設計,資安團隊也會制定出相關標準,例如若涉及敏感性的資料,需要採用哪種加密防護機制,包含金鑰交換方式、演算法都要有清楚說明,研發工程師才能夠有明確依循的指引,避免發生誤用的情形。
不僅如此,資安團隊還會將這些程式撰寫相關的資安要求轉變成對應的程式碼範例,使研發工程師可以根據參考範例將相關資安設計要求整合到其程式碼中,避免直接使用其他不明來源的程式碼,從而減少資安風險。「與工程師進行溝通時,使用程式碼是最快速且有效的方式」他說。
另外,資安團隊針對開發者常用的程式語言提供相關參考指引,讓他們可以學習使用更安全的程式碼進行開發,舉例來說,對於Java工程師會指出不應該使用的函數如Java.utaL. Random(),並建議改用Java,security.SecureRandom函數,以此提高程式碼的安全性。
維持各團隊間的資訊同步是協助研發部門培養資安文化的另一個重要面向。過去,Line研發團隊專注於產品開發,缺少與外界接觸的經驗,因此難以快速從使用者回饋中改善產品設計,遇到不斷推陳出新的駭客攻擊手法,他們很難快速反應,來降低遭駭的風險。
為了克服這個挑戰,自2017年起,Line內部不僅定期舉辦研討會,找來工程、客服、公關部門參與,共同討論如何在產品面上落實當前所需關注的資安議題或法規相關要求,同時,還透過每年舉辦BECKS.IO資安技術講座,增加與資安研究者當面交流的機會,透過這樣的方式,工程師能夠不斷學習和更新資安知識,並將其應用於產品開發中。
另外,Line也透過專案,如BUG LINE專案,來處理一些程式開發過程中容易出現的安全漏洞,並在工程師面前完整重現攻擊流程,讓他們能夠更好地理解其嚴重性並逐一修正這樣的問題,避免類似的問題再發生。
最後,為了凝聚所有人共識並共同應對資安挑戰,Line推出了資安小學堂計畫,每月都會選擇一個日常資安相關的主題,與所有員工分享正確的觀念。為了吸引大家注意,還搭配有趣的文案,增加閱讀的趣味性,藉由提高員工對於資安議題的認識,促使他們在日常工作中更加重視和遵守相關的資安要求。
Line資安文化的未來發展
劉威成表示:「Line的資安策略核心,就是創造資安文化,讓資訊安全可以為工程師帶來價值,而非增加他們的負擔,並使其免於被迫從事不想做的事。」
他提到說,Line資安文化的未來發展,除了將資訊安全內化到每個員工的自我察覺中,也要確保這些資訊都能夠被廣泛傳播並輕易取得,同時資安設計也應該要更加易於實踐。
2023/5/26 更正啟事:內文提及劉威成的職稱為「Line臺灣資深資安工程師」有誤,正確職稱應為「Line臺灣資安長」。內文已更正。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26