隨著企業資安意識抬頭,近年 Bug Bounty Program 依舊是產業熱烈討論的議題,許多科技公司例如蘋果、Google、微軟、LINE 等大廠都透過這項計畫與白帽駭客合作,給予適當的獎勵與回饋,挖掘企業可能忽略的漏洞,藉此持續精進產品或系統的安全性。
Synology 在 2016 年成立產品安全事件應變團隊(PSIRT),也自 2017 年起推出安全性弱點獎金計畫,截至目前,已經與超過 200 名資安研究員與單位合作,總計發出的獎金超過 25 萬美金。
「開放心態」以及「永續經營思維」,這兩個關鍵詞,可以簡單的總結 Synology 這四年經營資安團隊與計畫的心得。而企業內部若計畫導入 Bug Bounty Program ,普遍會遇到什麼困境?有什麼迷思值得破解?企業又應該抱持著什麼樣的心態去經營這樣的計畫呢?
破除迷思,是建立體制的第一步
「被找到的軟體弱點或是 Bug(軟體臭蟲)越多,代表你的系統越不安全?」軟體弱點,或是更廣義的「Bug」,在一般消費者的印象裡,是較偏向負面的代名詞,仍有許多人會誤解發現 Bug 這件事背後所代表的意義,也讓部分企業因而卻步:找出越多 Bug,會不會給人外界一個系統不安全的印象?
事實上,沒看到問題,不代表問題不存在。而正視問題,是解決問題的第一步。凡是軟體就會有 Bug ,我們應該正常去看待這件事。以軟體工程面來說,越複雜的系統就會有越多的 Bug,今天一旦系統的規模不斷成長,出現 Bug 也是必然。企業除了持續透過內部研發、產品測試(QA/QC)、產品安全等部門找 Bug 、解 Bug 外,透過與外部資安研究人員的合作,建立回報問題的管道,也能協助企業盡早發現問題,在內部啟動修復機制,在產品正式上線、或是第三方平臺發布漏洞前掌握先機,完成修補,打造一套歷久彌新的系統。
這也得回頭談論到企業以及一般消費者對於「駭客」的既定思維。「我能信任外部的人嗎?」過去傳統企業對於駭客的既定印象多半偏負面,因此提到與駭客合作會先產生排斥的態度,「我為什麼要跟別人合作?我要如何確認外部的人是不是具有惡意?」這樣的迷思仍相當常見。
事實上,「駭客」不只有惡意駭客,有絕大多數的駭客是白帽駭客,或者進一步理解成資安研究人員。不是所有的駭客都只想要搞破壞,或者只想要把漏洞轉換成錢(因為若是如此,那麼駭客將企業漏洞轉賣到黑市或是暗網,獲得的報酬其實都遠多於參與漏洞計畫。)許多白帽駭客將尋找漏洞視為技術力的展現方式,甚至他們本身就是企業產品的使用者,並期待能協助讓企業產品變得更好。
因此,企業若有心耕耘資安,要如何轉換成開放的心態,也是相當困難的一件事,除了建立開放與健全的心態外,也無法迴避的要持續進行市場教育,並持續在內部建立完整的應變與修補流程。
謹慎打造信任的基礎
若企業內部有了共識,那麼下一步呢?以 Synology 自己的經驗而言,初期我們花了相當多的時間在擬定計畫整體架構。包括如何建立問題的回報、獎金發放流程,以及漏洞的買斷機制等細節。其中,最值得強調的是,企業必須十分謹慎地規劃漏洞的揭露政策(Disclosure Policy)。
我們觀察到,目前產業中部分執行 Bug Bounty Program 的企業會忽略的一大問題,正是看似順利推出了計畫,卻沒有在初期就擬定好相對應的漏洞揭露政策,導致後續問題不斷。例如,研究者發現了問題,企業卻無法在時間內修補完全,或是還未修補到足夠完整安全的版本就被揭露;甚至是修補了問題,卻沒有建立讓客戶確實接收到更新的機制。
回到 Bug Bounty Program 的核心目標,是要保護客戶,為客戶把關產品安全。因此從發現漏洞,修補漏洞,再到建立讓客戶及時接收到安全性建議的暢通管道,企業都得嚴肅看待。
此外,企業也得積極觀察產業動態,以確保資安情報暢通。以 Synology 為例,就透過與 CNA、FIRST 等國際資安組織接軌,即時監看資安社群揭露的弱點,例如新的 CVE、來自其他廠商與第三方平臺的安全性訊息,以及國際資安新聞監測等,藉此蒐集所有跟 Synology 產品相關的情報,一旦發生資安事件,便能立即進行危機處理。
永續經營的心態
我們也觀察到,不少企業會選擇透過參與或推出短期的 Bug Bounty 競賽,來獲取立即的回饋,這或許是一個好的嘗試,但「速成」、「立即見效」的概念並不適用於打造一個穩定的企業資安架構。企業如果希望有意識且更具系統性的維護產品或系統安全,最好的方式還是在投入資源之初就擬定中長期計畫,確定是否建立專職的人或是團隊,以及要如何與外部資安社群協作等具體計畫。
Synology 從零開始,建立起專職的資安團隊,並順利推動 Bug Bounty Program ,與資安社群培養長期的關係,也協助我們練習從駭客的角度去了解問題、突破盲點。
事實上, Synology 希望秉持的是資安永續經營概念。例如,在軟體開發的設計上,以安全為優先去設計產品,導入 Security by Design 和 Security by Default 的概念,從最初的產品設計環節即落實資安控管;透過長期經營 Bug Bounty Program,改善的問題層級也從個別的產品功能到更為宏觀的系統性架構,這讓我們無論是在產品或組織,都調整到可以長期維運的機制。
除了建立起制度外,在 Synology 經營 Bug Bounty Program 這四年,我們合作的對象也從個人研究員,一步步進展到大型資安研究單位,隨著近兩年有越來越多較具規模的資安組織或資安競賽,例如 Talos、Qihoo、Devcore、pwn2own 等,都將 Synology 列入專門的研究個案後,這意味著我們也得接受更高標準的檢驗,更積極的推動內部在時限內做到安全把關,持續不斷自我成長。
從我們的經驗,我們相當建議企業對於資安意識要有正確的了解,以及長期投資、經營的思維。這世界上沒有百分之百安全的產品或系統,但對於資安的所有投資,都會協助企業做到最完整的風險控管與把關。