軟體漏洞可說是駭客最常利用的入侵方式,舉凡攻擊超過 18,000 個公司的 SolarWinds,到影響全球 48.3% 組織的 Log4j 漏洞,屢次證明資安防線已是企業維持組織營運的必要措施。這使得企業評估系統供應商時,其安全風險管理能力的高低,成為極為關鍵的衡量標準。
受到全球數十萬客戶信任、作為資料管理首選解決方案的 Synology,早在 2016 年就成立了安全事件回應小組(Security Incident Response Team, SIRT),承諾在 24 小時內修復關鍵漏洞,領先行業平均值 60 天,將客戶安全性置於首要位置。
光是這樣還不夠,Synology 安全事件應變組經理林涵恩指出,SIRT 團隊為了更進一步強化產品安全性,透過實踐安全開發生命周期(Software Development Lifecycle, SDL)──在開發階段時,即優先考慮軟體安全性,降低漏洞事件發生的機率──期待做到最小化風險並確保符合法規要求,幫助開發人員從頭到尾、以標準化方式建立一個高度安全的產品。以下將分享 Synology 如何落實、追求更完整的產品安全性:
以安全性為依歸,四階段把關產品不同面向
1.設計階段:安全設計
當一個新的 Synology 產品或功能準備推出時,便會啟動產品安全保障(Product Security Assurance, PSA)計劃。SIRT 會與開發團隊合作,檢查安全基礎功能和設計,提供具體改進建議。例如為了遵循最小權限原則,DSM 7.0 中刪除了 Root 權限,僅授予用戶最低必要權限,以降低安全風險。這種方法可從一開始打造堅實的安全框架,盡可能預防潛在問題。
2.開發階段:標準化和自動化測試
確認完產品規格後會正式進入開發階段。為了保證程式碼從最初就品質良好,開發團隊會執行靜態應用程式安全測試(static application security testing),搭配自動化工具篩選潛在的漏洞和缺陷,避免使用不安全或禁止的程式碼。隨著開發持續進展,還會同步進行動態分析安全測試(dynamic application security testing)以檢測程式碼在運行階段時,是否出現非預期的錯誤,全面測試應用程式上所有功能,從而減少安全威脅。
3.驗證階段:攻擊者的思維方式
林涵恩提到,Synology 發布任何產品前都得經過徹底測試和驗證,但只以供應商單向的角度檢視,難免會出現盲點。為此我們主動通過各種計劃積極與駭客社群合作,像是參加 Pwn2Own 和 TienFu Cup 等知名活動。自 2017 年以來,Synology 也每年舉辦「安全漏洞回報獎勵計畫」,邀請外部研究人員協助發現安全漏洞。迄今為止,已超過 200 名研究人員參加了獎勵計畫、提供的獎勵金額超過新台幣 8,000,000 元。
除此之外,Synology 更在 2022 年初、於組織內自行成立紅隊(Red Team)。紅隊是由豐富駭客比賽經驗的內部駭客組成的優秀團隊,他們同樣以攻擊者的角度,並在得以更加理解產品的條件之下,檢查其是否存有可利用的漏洞。該團隊正式運行的短短 6 個月內,已取得了顯著成效,當年度有超過 21% 的漏洞,正是由該團隊發現,相其漏洞總價值相當於新台幣 300 萬元。
透過內外兼具的攻擊者思維與驗證方式,我們能夠模擬現實世界的攻擊,從而提高產品應對實際危機的準備,確保客戶能更加信任 Synology 的安全性和可靠性。
4.發布階段:業界領先的反應時間
紅隊積極尋找漏洞,反之負責防守的則是藍隊,需要警惕地監控安全威脅。因此,SDL 的最後一步是當收到漏洞報告後,需建置評估、了解影響範圍,並作出判斷與反應的流程。
超前部署 SBoM,迅速掌握受漏洞影響軟體與版本
完整執行整套 SDL 流程之後,將能替產品帶來更高規格的安全性。而其中 Synology 最為自豪的是釋出階段的速度:SIRT 團隊會在 8 小時內作出判斷,一旦被識別為重要問題,會在 24 小時內及時修復漏洞。面對零時差攻擊時,Synology 之所以能大大超越同業的修復時間(Mean Time to Remediate, MTTR),林涵恩說明關鍵之一,是能夠在龐大的產品數量中,迅速找出受到該漏洞影響的服務。
延伸了解 | Synology 視用戶的安全性為首要之務
由於開發應用程式時,通常會用到大量的開源軟體,例如每個 Synology DSM 版本就包含超過 1,600個開源軟體。但假設發現了特定軟體漏洞,想要在茫茫應用程式海中搜尋受到影響者,幾乎是不可能的事情,所以 Synology 早在 2020 年建立了軟體物料清單 (Software Bill of Materials,SBoM) 。
SBoM 可以類比為食物的營養成分表,一個應用程式究竟是由哪些開源軟體、分別是哪些版本組成,都會詳實記錄在此清單當中,這可以幫助 SIRT 快速確定哪些 Synology 產品,有用到存在漏洞的開源軟體。尤其供應鏈攻擊在近年來變得更加普遍,SBoM 可以大大提高事件發生的處理效率。
最後, Synology 透過落實 SDL 以及建置 SBoM 清單,可以有效在事前降低漏洞出現、事後快速修復,力求提供企業更加完善的資料管理解決方案,也建議企業挑選供應商時,應將供應商是否具備完整安全開發機制,列為必備的篩選條件,再來本身可定期進行安全評估和建立全面的備份策略,才可能真正落實資料安全。