承襲過去與外部資安人員合作的經驗與精神,威聯通正式公開安全獎勵計畫,資安研究員踴躍參與,已發出2萬美元獎金
資安攻防是駭客與企業之間一場矛與盾戰爭,駭客不停發展攻擊手法和挖掘新弱點,而企業則必須持續加固企業防禦,以保護其資產與客戶資料不受侵犯,不過,由於駭客總是躲在暗處伺機而動,企業常落入被動的角色處處挨打,面對這樣的處境,臺灣網路儲存和監控設備領導廠商威聯通(QNAP)採取積極的作為,尋求各種能夠提升產品安全性的方法。
除了在產品開發中應用最佳安全實踐,聘請專業第三方進行查核之外,現在還擴展安全獎勵計畫(Security Bounty Program),威聯通與外部的安全人員合作行之有年,此次透過制定並公開正式的獎勵計畫,希望進一步增強系統安全性。
從口耳相傳到正式公開
2022年11月威聯通正式公開安全獎勵計畫,3個月來積極與資安社群及研究員合作,分析並揭露數個重要修正,目前已經發出2萬美元的獎金。安全獎勵計畫是一項由企業、組織或是軟體開發者發起,針對外部資安人員的互惠計畫,只要外部資安人員能夠按照計畫執行辦法提交報告,便能夠獲得獎金以及名聲。
威聯通PSIRT資深經理黃士展提到,他們在正式發布安全獎勵計畫之前,曾進行內部代碼安全性審查,並委請第三方資安專家執行外部滲透測試。現今透過獎勵計劃,能夠增加弱點掃描的廣度並消除內部視角盲點,搭配威聯通資安團隊快速執行修補更新,協助威聯通更進一步提升系統安全性,而這正是安全獎勵計畫的價值所在。
威聯通於2017年成立產品資安事件回應小組(PSIRT),以加速產品安全性的回應速度,並於2020年開始推行安全獎勵計畫,只不過當時主要是透過邀請制的方式進行,向外部資安研究人員徵求安全研究報告,外部資安人員間也會口耳相傳,分享威聯通獎勵計畫。經過3年的運作,PSIRT有了想把安全獎勵計畫公開的想法,先前與外部研究人員的合作經驗,也讓計畫公開後運作更順暢。
威聯通在收到安全報告後,會經過4階段處理,分別是通報,分析,修復和揭露,PSIRT團隊會由有經驗的人員,對報告進行初步的處理和分類,像是評斷通用評分系統CVSS V3的分數,並於每周的PSIRT會議中提出,徵求產品經理、產品應用工程師以及客服人員的意見,黃士展強調,在威聯通,資安不是只有研發人員的事,與產品相關的人員都會參與。
與外部資安人員溝通「眉角」多
雖然計畫方式是固定的,但是執行層面卻有許多需要注意的地方,像是威聯通內部定義的「功能」,可能會被外部資安人員認為是「弱點」,這類案例提供威聯通研發團隊更多不同觀照的視角。此外,當內外部資安研究人員對於弱點嚴重程度認知不一致時,也需要更多的溝通。黃士展提到,與報告提交者的溝通,是安全獎勵計畫執行上很重要的一環,而他們從過去與外部資安人員的合作中,已經找到能夠有效率溝通的方式。
計畫的正式發布,讓執行辦法更清楚,雖然只要收到通報,威聯通的資安團隊都會審查,但是在正式的計畫中,他們將範疇鎖定在威聯通所開發的作業系統、應用程式和雲端系統。威聯通希望與外部資安人員培養長期關係,而這也是威聯通安全獎勵計畫的特色,因此發獎金除了鼓勵外部資安人員發現更多之外,從培養長期關係這個角度出發,在評估獎金發放上,就有更多的考量空間。
與外部資安人員建立合作長期關係,可以讓雙方在合作上更有默契,減少溝通成本,黃士展提到,不只是資安人員準備的文件書寫,以及檔案準備上可以更符合他們的需求,在細節的溝通上也會更有效率。
更快速的反應能力:社群、PSIRT、客戶之間的三元合作
結合內部代碼審查機制、外部專業資安團隊滲透測試、資安獎勵計劃回報等三種力量掃描產品安全,還需要搭配快速的應變能力及修補更新才能真正禦敵於未然。威聯通 PSIRT 團隊已建制了嚴苛的回應標準工作流程,接獲重大弱點通報後,資安團隊必須於 9 小時內完成弱點調查,14 小時內完成弱點修復,並於 24 小時內發動更新。2022 年曾有過 12 小時內完成弱點更新的高效回應案例。
然而,縱使威聯通釋出修補更新非常快速,如客戶端未能及時執行更新動作也是枉然。因此,威聯通於 NAS 產品上推行軟體安全性自動更新功能,可協助客戶立即接收並執行作業系統或應用的安全性更新。惡意軟體掃描工具 Malware Remover 也能每日自動執行更新掃描,極小化駭客發動攻擊的有效時間,保全客戶的檔案安全。
社群的廣泛貢獻,結合 PSIRT 的敏捷政策,再搭配客戶的即時更新響應,三者的合作將形成資安防護網。黃士展表示,唯有「弱點掃描夠全面、弱點修補夠敏捷、執行更新夠及時」三個面向上都達標,才能有效地遏止惡意軟體造成的傷害。威聯通過去幾年累積了不少寶貴的經驗,這些經驗都將化為有效的產品安全性發展策略。
持續擴大計畫,讓 QNAP NAS 更臻完善
黃士展也提到獎勵計畫正式化後帶來的挑戰,由於之前僅與有限的資安人員合作,在回報數量不多的情況下,處理的流程並沒有遭遇太大的問題。自獎勵計畫正式化及公開後,資安社群與研究員踴躍參與弱點回報,為了盡快回應資安人員及加速漏洞修補,威聯通增加了資安團隊人員積極應對, 確保 QNAP 產品安全性,對產品系統及資料安全確實把關。
不過,也並非所有的報告都有效,回報量增加也使得報告品質落差更大,部分回報可能僅有簡短的敘述語句,或是在修補完畢準備公開前夕,收到大量重複的回報,也有部分資安人員很心急,想要馬上獲得回應。黃士展提到,收到報告後,他們會盡速和提交者聯繫,不過他們主要還是會依照回報的嚴重程度,優先處理較為嚴重的。
威聯通在公開安全獎勵計畫之後,弱點修補的數量有感提升,也增加了系統的安全性。站在服務客戶的立場,威聯通會視執行的狀況擴大安全獎勵計畫的涵蓋範圍,持續改進產品提升安全性。
QNAP 安全獎勵計畫:https://qnap.to/4rdt48
熱門新聞
2024-11-12
2024-11-18
2024-11-15
2024-11-15
2024-11-18
2024-11-19