资安即国安,不论是政府还是企业都相当重视,但要建立分工细而且各司其职的资安团队,无法一步可及。台湾面临资安人才缺口,即便有需求要找到合适的人也很困难。在 HITCON Pacific 第二天的议程,Ken Lee 诉说 Synology 用有限资源,建立产品安全应变小组(Product Security Incident Response Team, PSIRT),辅以外部资安专家找漏洞的模式,充当红队角色找出产品可能的漏洞。
花钱弄起 PSIRT 事小,但是说服高层花一番功夫
Ken 谈到当初建立 PSIRT 的构想,是从美国上课,讲师谈到要跟骇客社群有良好的正向互动,而不是敌对的关系。回去报告高层之后,能够接受请人找出产品的漏洞,花些钱是能接受的。
毕竟资安对公司产品、服务有相当重要性,发出赏金相比被找出漏洞攻击而造成的营业损失,真的微不足道,更别提如有后续的赔偿,动摇整个公司也是有可能。但花钱之外还要给发现漏洞的骇客名声,进而挑战公司的想法。
确定要做 PSIRT 之后,骇客与公司如何达成双赢的机制,就需要特别设计了。从成本来说给奖金合理,但是要给骇客名声则冲击到公司原本固有的想法。有不少骇客其实没有想靠发现漏洞发大财,假若公司把他们逼到绝境,对骇客采对抗态度,可能他们就真的在黑市贩售漏洞维生。
Synology 从 2016 年开始 bounty hunting,在资安大会期间,用自己服务器举行 bounty program,征求要与会高手找漏同,总计给出四万多美元的奖金,那次但都抓到比较明显的臭虫,由于只有几天时间,效果有限。消费者使用公司产品,需要的是时时的保护,要持续不断的抓臭虫。
Synology 决定将 bounty program变成长期执行且不设截止日期。只要有外部资安高手找到漏洞,就给出奖金,2016 之后总共花超过 4 万美元,给出丰厚奖金事小,得到骇客完整的漏洞分析报告,Synology 资安人员依据报告内容要修补产品得花上一些时间,是相当值得的投入。
为了确保产品的安全,Synology 跟发现漏洞的骇客达成协议,先不要公布被发现的漏泂,而是写报告回报给公司,等到公司修补完毕之后,再公布漏洞的细节。公司得到漏洞更少的产品,而骇客则获得名声和发现漏洞得到的奖金。
资安人才难找而且挑战公司管理体制
以上花些钱奖励外部资安专家找自身公司的漏洞,看来是一小步,但在 Synology 内部还是要花些时间说服管理层的支持。进一步扩充资安团队,确保公司产品设计在不同层面都加进资安考量,则是公司更大一步的挑战。但这是必须做的一步,而且需要内部的资安专家来做才是长久之计。
Ken 指骇客自由自在惯了,要打卡上下班则会不习惯,而且不一定能沉住气愿意一直找漏洞打漏洞,常提高办公室管理成本。即便有用人需求的企业拿得出高额薪资,愿意坐在办公桌的骇客,也早有好的工作了,薪水够高换工作意愿不高。以短期的阶段来说,Synology 将红队外包,由外部高手当红队的作法,得到报告修正产品各项资安漏洞,已经相当足够了。
在资讯领域,常看到如 IBM、微软等大科技公司的资安团队规模相当大。Ken 提到只要老板愿意支援,有资源有人一定可以做好。但现况是 Synology 的资安团队,除了他之外,只有另外 3 位成员,光是产品设计阶段的 security by default 就忙不完了,更别提有另一组红军,找出自家产品漏洞攻击。如果养不起红军,那么求助外援是合理的方式。
资安人才训练有改进但仍有大量补充的需求
谈到资安人才缺口,Ken 认为数量跟不上是相当大的问题,无法顾基本的产品资讯安全要求。目前大学中有资讯安全的课程,但受到的训练仍不够,学生毕业投入业界,实际从事资安产业时仍得花大把时间训练,才有办法真的应对真实资安威胁。资工系学生也许在暑假时间上 AIS3 (Advanced Information Security Summer School) ,尽管有教育有兴趣往资安领域发展的人,但演练的内容大半是理想状态,比较制式的课程,无法完整反应真实资安威胁。
物物联网的时代,增加资安人才的出路,也同时加剧资安人才的缺口。Ken 引述前辈说 IoT 就是 IT 加 OT,IT 和 OT 界线越来越模糊了,公司只要联网,网络带来方便,就有一定的风险存在。只要联网就要有保护措施。物联网带来方便,但联网有风险,同时是资安人才的机会。
(首图来源:Synology)
