為何需要漏洞挖掘評測服務
由全球需求趨勢來看,不論是金融服務、智慧製造、政府資安、關鍵基礎設施保護,都不是傳統IT資安解決方案可以完整解決的,透過駭客社群能量,發掘網通產品、物聯設備、雲端服務與各式應用程式之弱點威脅,以實證確認我國產品之安全強度,同時檢視物聯網設備及應用系統之資訊安全等級和防護能力。
對臺灣企業而言,雖然很多企業開始重視資安,但都還有很大的進步空間,因此本計畫推動常態性漏洞挖掘評測服務,以駭客思維找出各種潛在的漏洞,並透過資安攻防場域進行滲透測試,檢視物聯網設備、應用系統之資訊安全等級和防護能力,以強化廠商轄屬產品/系統/設備之安全性。本服務將以賞金獵人(Bug Bounty) 的方式,在漏洞被犯罪份子利用之前先行發現漏洞,借重資安社群白帽駭客技術能力,透過資安攻防場域進行滲透測試,檢視物聯網設備、應用系統之資訊安全等級和防護能力,不僅可以強化產品安全,同時也讓選手有實際練兵的場域,進而培育產品漏洞檢測人才。
漏洞挖掘評測服務執行流程
1. 系統/服務整合與服務串聯
- 此漏洞挖掘評測服務可檢測 (1)網通設備、 (2)網頁服務、 (3)應用程式、(4) 物聯網設備 等可透過網路服務串聯之項目,相關產品若合符上述項目則可納入此此漏洞挖掘評測競賽服務中。若廠商欲測試之項目若為實體設備,則可透過:
- 於競賽活動開始前將設備寄送至計畫承辦單位並提供相關操作文件 (假如需要時須提供必要諮詢)
- 將實體設備進行連網設定,可透過公用網路進行連線,或是提供可連入私有網路方式 (如VPN)
- 若廠商欲測試之項目若為軟體項目,則可透過:
-
- 提供系統安裝檔與相關安裝及服務啟動說明文件,承辦單位會負責進行系統安裝,若待測系統須建構多組環境進行串聯,則分項計畫須提供串聯方式 (假如需要時須提供必要諮詢)
- 提供映像檔及服務啟動說明文件,承辦單位會負責進行系統部署,若待測系統須建構多組環境進行串聯,則分項計畫須提供串聯方式 (假如需要時須提供必要諮詢)
- 將系統服務部署於分項計畫環境中,並提供連線方式,可透過公用網路進行連線,或是提供可連入私有網路方式 (如VPN)
- 將系統服務部署於第三方環境中,並提供連線方式,可透過公用網路進行連線,或是提供可連入私有網路方式 (如VPN)
2. 參賽團隊邀請
- 本項工作將推動廠商產品或場域情境,由資安社群、資安服務商或公益團體進行漏洞挖掘評測,以銜接臺灣藏富於民的資安社群力量進入民生公共物聯網中,實質提升未來應用場域的安全性。因此,活動採公開報名與參賽資格審查制,建議符合下列資格者優先參與本活動:
- 曾經參與政府資安計畫輔導之資安業者。
- 曾經參與國內外資安競賽(如DEFCON、HITCOC CTF等)獲獎之團隊。
- 曾經參與政府資安計畫之資安或公益社群。
- 其他(如學校老師推薦之校園資安實驗室)。
- 主辦單位將會建置封閉網域環境,以各隊伍獨立測試環境讓團隊進行施測,主辦單位將提供每隊伍VPN登入用帳號及密碼,於競賽開始時開放隊伍連入測試場域使用,各隊伍須準備各自連線設備透過VPN連入後連結至受測系統/產品/服務,並且各隊伍所連線之測試環境不會互相影響。
- 本項工作將推動廠商產品或場域情境,由資安社群、資安服務商或公益團體進行漏洞挖掘評測,以銜接臺灣藏富於民的資安社群力量進入民生公共物聯網中,實質提升未來應用場域的安全性。因此,活動採公開報名與參賽資格審查制,建議符合下列資格者優先參與本活動:
3. 系統/服務監控維持
於服務活動期間,針對建構於主辦單位之計畫受測系統/產品/服務,主辦單位將會負責進行監控與服務維持,當檢測過程或是其它因素導致系統/產品/服務中斷連線時,所部署之場域環境將會於30分鐘內重啟服務 (若因硬體毀損或是其他不可抗力因素不在此限),主辦單位亦會監控所有測試流量,避免針對競賽環境的攻擊行為。若計畫將轄屬設備或是系統服務部署於計畫各自或是第三方的環境時,需要自行維持受測系統/產品/服務的連線正常。
4. 民生公共物聯網系統/服務資安評測
- 隊伍於發現漏洞時需將說明(詳細攻擊手法, 若需要可額外上傳其他佐證說明)透過漏洞通報平台回報主辦單位與各廠品負責窗口,當弱點通報完成後平台將會自動發信通知各產品負責人或是指定之評測人員。評測人員可依以下項目進行漏洞判定:
- 是否對於系統運行流程造成影響
- 是否對於系統使用者造成影響
- 是否可檢視權限外資訊
- 其他影響系統正常運行狀況
- 結合國內資安社群成第三方公正評審團建立漏洞等級與給分
- 各隊伍將確實提供漏洞相關資訊以協助各產品評測人員重現攻擊手法 (包含 POC 與使用步驟),各產品評測人員須於符合計畫進程之規定時間內完成評測並提供相關說明(不論是否通過與否)。
實績案例
2020 IDB X HITCON BBC 競賽 相關新聞報導
