資安院首次辦理漏洞獵捕活動,協助企業發現並修補產品資安漏洞。資安院長林盈達今天表示,這次匯聚研華、華碩、兆勤等11家台廠,針對20組關鍵產品進行實測,協助提升台灣電子產品安全信任度,希望明年能爭取經費建立測試實驗室,執行標準化測試。
國家資通安全研究院今天舉辦記者會,說明資安漏洞獵捕活動自12月1日起至明年1月31日,結合11家廠商與超過150名研究員共同投入,從被動防禦轉向主動檢測,加速產品弱點發掘與修補。
數發部資安署長蔡福隆致詞表示,漏洞獵捕活動是台灣產品資安計畫重要一環,未來將持續透過公私協力模式推動產品資安,將這項活動常態化舉辦,讓更多國內廠商參與,從Made in Taiwan邁向Make It Trusted,讓台灣製造代表品質保證,也代表安全可信,成為全球供應鏈中重要價值標誌。
資安院副院長龔化中簡報指出,產品資安已成為全球重視議題,多國陸續制定相關法案。為協助因應國際法規,資安院透過與本土資安研究員合作,為產品資安抓漏,提升國內廠商國際競爭力。
龔化中表示,這次漏洞獵捕活動,匯聚研華科技、亞旭電腦、華碩科技、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、群暉科技、兆勤科技與勤晁科技等11家台廠,針對網通設備、網路附加儲存裝置(NAS)等20組關鍵產品進行實測。
龔化中說,目前已吸引超過150名本土資安研究員投入,參與廠商投入新台幣720萬元獎金。活動自12月1日開跑,統計截至12月5日,已收到3件初步通報案件,顯示活動初期成效。
龔化中指出,資安院負責搭建平台、制定驗證標準及擔任公正裁判,這次活動採用國際通用的「紅(攻擊)-藍(防守)-紫(裁判)」協作模式,由本土資安研究員挖掘潛在漏洞,企業快速修補發布安全更新,而資安院為「紫隊」角色,負責制定漏洞驗證規則、審查漏洞有效性並進行爭議仲裁。他強調,希望建立「研究員挖、企業修、第三方驗證」正向循環。
林盈達表示,為鼓勵頂尖好手並接軌國際,獎金發放將依循國際通用的漏洞風險分級標準,針對高風險情境,如竊取機密資料或奪取系統控制權設有加碼獎金。經資安院驗證有效的漏洞,將協助廠商提交常見漏洞與暴露(CVE)申請。
林盈達強調,希望明年能爭取經費建立測試實驗室,執行標準化測試;未來在標準制定上,也將參考歐盟、美國等國際規範,協助台灣廠商加速與國際接軌。
新聞
