從 VulReport 談漏洞揭露與企業資安漏洞管理

Transcript

1. 從 VulReport 談漏洞揭露 與企業資安漏洞管理 Sylphid@VulReport

2. About Me • 蘇展志 Sylphid • 重要資歷 – Defcon 9

   speaker – HITCON 2012 speaker – 國家資通安全技術服務與防護管理計畫 – Web 應用程式安全參考指引 – 審查委員召集人

3. Security in SDLC Define Design Develop/Test Deploy Maintain Security requirements

   Risk analysis Code Review Dynamic testing Design review Continuous monitoring

4. Google VRP - 1

5. Google VRP - 2

6. Google Project Zero

7. None

8. From: “The Legitimate Vulnerability Market Inside the Secretive World of

   0-day Exploit Sales” - 2007

9. Shopping For Zero-Days: A Price List For Hackers' Secret Software

   Exploits - 2012

10. 『在 6 個月前悄然起步之後，這項服務已經向企業和政府 “ ” 客戶售出了不少 高端的 零日漏洞和黑客工具。 由於暫無補丁，因此客戶可在這段時間裡佔據先機。 Mitnick

    表示，其產品由內部研製和外部黑客合作兩部分組 成，保證獨家且單價不低於 10 萬美元。』
11. None

12. 中國資安團隊 - 360 和 盤古 (keen Team)

13. None
14. None

15. " ” 高超的電腦技術，卻沒有用在正途

16. None

17. 通報案例 - 寬宏售票

18. 通報案例 - 宏碁雲端售票

19. 資安揭露政策  漏洞或資安事件的接收態度  通報窗口  給予提交回報者鼓勵

20. 內部如何進行  依環境狀況制定並公告可受測範圍、提交及 獎勵方式、回應及修補時程、免責條款等  內部應有緊急應變處理小組，依制定的標準 流程作處理  根據接收漏洞型態 調整漏洞管理流程

     若無資源可尋求 VulReport 協助
21. None

22. www.facebook.com/whitehat l 漏洞披露責任政策 l 如果您能給我們一段合理的時間，足以讓我們先對 您的檢舉內容作出回應後，再行公佈任何資訊，而 且您在調查期間能秉持善意，盡力避免侵犯隱私、 造成資料毀損或導致我們的服務中斷或品質下降， 我們將不會對您提出任何訴訟，或要求執法機關對 您進行調查。

    l 為了向安全研究人員致謝，如舉報的安全漏洞符合 資格，將頒發獎金。

23. www.dropbox.com/help/4399

24. www.uber.com/security

25. 阿里巴巴

26. github

27. Security Response Center

28. Alibaba

29. VulReport 未來規劃

30. Happy Hackers 

31. VulReport WEB: https://vulreport.net/ FB: facebook.com/vulreport

32. None