Synology 借助外部資安專家，建立 PSIRT 團隊防護產品和服務

資安即國安，不論是政府還是企業都相當重視，但要建立分工細而且各司其職的資安團隊，無法一步可及。台灣面臨資安人才缺口，即便有需求要找到合適的人也很困難。在 HITCON Pacific 第二天的議程，Ken Lee 訴說 Synology 用有限資源，建立產品安全應變小組（Product Security Incident Response Team, PSIRT），輔以外部資安專家找漏洞的模式，充當紅隊角色找出產品可能的漏洞。

花錢弄起 PSIRT 事小，但是說服高層花一番功夫

Ken 談到當初建立 PSIRT 的構想，是從美國上課，講師談到要跟駭客社群有良好的正向互動，而不是敵對的關係。回去報告高層之後，能夠接受請人找出產品的漏洞，花些錢是能接受的。

畢竟資安對公司產品、服務有相當重要性，發出賞金相比被找出漏洞攻擊而造成的營業損失，真的微不足道，更別提如有後續的賠償，動搖整個公司也是有可能。但花錢之外還要給發現漏洞的駭客名聲，進而挑戰公司的想法。

確定要做 PSIRT 之後，駭客與公司如何達成雙贏的機制，就需要特別設計了。從成本來說給獎金合理，但是要給駭客名聲則衝擊到公司原本固有的想法。有不少駭客其實沒有想靠發現漏洞發大財，假若公司把他們逼到絕境，對駭客採對抗態度，可能他們就真的在黑市販售漏洞維生。

Synology 從 2016 年開始 bounty hunting，在資安大會期間，用自己伺服器舉行 bounty program，徵求要與會高手找漏同，總計給出四萬多美元的獎金，那次但都抓到比較明顯的臭蟲，由於只有幾天時間，效果有限。消費者使用公司產品，需要的是時時的保護，要持續不斷的抓臭蟲。

Synology 決定將 bounty program變成長期執行且不設截止日期。只要有外部資安高手找到漏洞，就給出獎金，2016 之後總共花上 3、4 萬美元，給出豐厚將金事小，得到駭客完整的漏洞分析報告，Synology 資安人員依據報告內容要修補產品得花上一些時間。

為了確保產品的安全，Synology 跟發現漏洞的駭客達成協議，先不要公布被發現的漏泂，而是寫報告回報給公司，等到公司修補完畢之後，再公布漏洞的細節。公司得到漏洞更少的產品，而駭客則獲得名聲和發現漏洞得到的獎金。

資安人才難找而且挑戰公司管理體制

以上花些錢獎勵外部資安專家找自身公司的漏洞，看來是一小步，但在 Synology 內部還是要花些時間說服管理層的支持。進一步擴充資安團隊，確保公司產品設計在不同層面都加進資安考量，則是公司更大一步的挑戰。但這是必須做的一步，而且需要內部的資安專家來做才是長久之計。

Ken 指駭客自由自在慣了，要打卡上下班則會不習慣，而且不一定能沉住氣願意一直找漏洞打漏洞，常提高辦公室管理成本。即便有用人需求的企業拿得出高額薪資，願意坐在辦公桌的駭客，也早有好的工作了，薪水夠高換工作意願不高。以短期的階段來說，Synology 將紅隊外包，由外部高手當紅隊的作法，得到報告修正產品各項資安漏洞，已經相當足夠了。

在資訊領域，常看到如 IBM、微軟等大科技公司的資安團隊規模相當大。Ken 提到只要老闆願意支援，有資源有人一定可以做好。但現況是 Synology 的資安團隊，除了他之外，只有另外 3 位成員，光是產品設計階段的 security by default 就忙不完了，更別提有另一組紅軍，找出自家產品漏洞攻擊。如果養不起紅軍，那麼求助外援是合理的方式。

資安人才訓練有改進但仍有大量補充的需求

談到資安人才缺口，Ken 認為數量跟不上是相當大的問題，無法顧基本的產品資訊安全要求。目前大學中有資訊安全的課程，但受到的訓練仍不夠，學生畢業投入業界，實際從事資安產業時仍得花大把時間訓練，才有辦法真的應對真實資安威脅。資工系學生也許在暑假時間上 AIS3 (Advanced Information Security Summer School) ，儘管有教育有興趣往資安領域發展的人，但演練的內容大半是理想狀態，比較制式的課程，無法完整反應真實資安威脅。

物物聯網的時代，增加資安人才的出路，也同時加劇資安人才的缺口。Ken 引述前輩說 IoT 就是 IT 加 OT，IT 和 OT 界線越來越模糊了，公司只要聯網，網路帶來方便，就有一定的風險存在。只要聯網就要有保護措施。物聯網帶來方便，但聯網有風險，同時是資安人才的機會。

(首圖來源：Synology)