在手機和網路世代的爆炸成長背景下,安全漏洞問題不斷,如何快速應變就是關鍵,像是企業內部會成立資安事件快速應變小組, IT產品廠商對於所推出的產品與服務,同樣需要達到快速反應,因此,許多公司紛紛成立產品資安事件應變小組(Product Security Incident Response Team,PSIRT),來幫助解決產品安全性問題。
十月二十七日,由行政院資通安全處、國家通訊傳播委員會指導,TWNIC、TWCERT/CC主辦的「2020年台灣資安通報應變年會」,國家資通安全會報技術服務中心主任吳啟文主持「企業產品資安PSIRT」座談會,邀請合勤、威聯通、群暉分享建置PSIRT的緣由、挑戰、建置後的效應以及建置PSIRT的成功要素等幾個面向的經驗分享。
合勤: 客戶前端的漏洞反饋是最關鍵的資訊
合勤資安長游政卿解釋當初會有PSIRT是合勤重要客戶德國電信曾在2016遭受殭屍病毒Mirai攻擊, 固網用戶中使用特定路由器的90萬名遭受到了影響,駭客企圖攻擊路由器的遠端管理介面,造成路由器無法連網,同時波及相關的網路與電視服務。他說: 「Zyxel正是在經歷如此慘痛的修補作業後,深深體會 PSIRT的重要性,進而開啟建立PSIRT的契機。」
PSIRT的價值和實質效應在於客戶的信任與認同, 因此在產品的設計驗證階段就需要將資安程序考量進去,達到超前佈署與預防的效果。游政卿說: 「如此一來才能夠減少更多產品在上市前後階段所會面臨的資安問題, 對於風險事件發生時的事後修補效果和狀況排除才能達到最佳的效果。」
他補充道:「PSIRT建置最大的挑戰來自於人與人的溝通, 也就是和客戶層面的溝通, 對於客戶前端的漏洞反饋是最關鍵的資訊, 藉由漏洞的反饋才能進一步回到團隊中進行風險威脅的評鑑、分析和驗證修補漏洞的正確性和方向性。」
威聯通: 最大的困難點來自於客戶端產品的自動和手動更新方式取捨
威聯通公司屬性為NAS網路儲存的產品,技術長龔化中說:「此類型的產品受的攻擊威脅更多,更廣, 為了保護客戶在網路儲存資料的安全性, 因此公司較早發覺成立PSIRT的重要性。」
他認為建置PSIRT最大的困難點來自於客戶端產品的自動和手動更新的方式取捨,如何在廣大的客戶群當中制訂出規則要點, 進而找出程式碼或是在設定上面更新法則, 再將這些經驗法則匯整為工程師的教育訓練。
他說: 「團隊對於漏洞的修補和產品的修正建議對整個PSIRT的成功運行非常關鍵, 高階主管需要格外重視團隊工程師意見採納, 讓R&D工程師感受到被重視認同, 將會是能長久運行成功必要因素之一。」
國家資通安全會報技術服務中心主任吳啟文、合勤資安長游政卿、威聯通技術長龔化中、群暉李宜謙經理
群暉:PSIRT的挑戰不完全來自於技術
群暉是在2016年3月成立PSIRT,李宜謙經理說:「原因是群暉之前曾被駭客鎖定,導致不少用戶遭勒索軟體SynoLocker綁架,進而組織調查,並開始重視提供用戶更安全的使用環境,期許要在最短時間內,告知用戶能先採取的措施,以及發布更新修補。」
他表示PSIRT的挑戰不完全來自於技術, 而是來自於團隊的建置,以及人才的管理。如何將團隊的工程師的角色從原先程式編碼的角色, 轉化思維到資訊的情蒐,提早發現問題解決風險, 進而轉變成公司的助力。
他補充:「團隊主事領導者的熱情很重要,透過積極的情蒐,出差等自學後的經驗分享,將會是團隊日後成功的主要要素之一。」