本文出自

腦力激盪進階三部曲

腦力激盪進階三部曲

2018年4月號

臉書駭客任務三大目的

How Facebook's Annual “Hacktober” Campaign Promotes Cybersecurity to Employees
貝西.貝維拉奎 Betsy Bevilacqua
瀏覽人數:3783
  • "臉書駭客任務三大目的"

  • 字放大
  • 授課文章購買
    購買〈臉書駭客任務三大目的〉文章
  • 個人收藏購買
    購買〈臉書駭客任務三大目的〉PDF檔
    下載點數 10
這個長達一個月的活動,有安全競賽、遊戲與T恤。

雖然「網路安全」這個詞,可能讓人聯想到極為複雜的攻擊,需要用到昂貴的運算設備與技巧熟練的駭客,但其實大部分攻擊(尤其是在企業環境中的攻擊)都是採用比較簡單的策略,仰賴一件事:利用人的行為。

大多數公司都在努力建立更能好好保護自家公司和自家的使用者或顧客的技術。但是技術就只能做到這個程度而已。任何公司的網路安全策略中,人都是最重要的因素,而投資於「員工參與安全事務」(security engagement),很有助於企業降低遭到破壞的可能性。

臉書(Facebook)全年無休地執行安全事務參與計畫,但我們彈藥庫中最重要的工具是Hacktober。這是行之有年的活動,每年10月舉辦,為期一個月,設計目的是要建立及維持安全意識文化。這是我們公司版本的全國網路安全意識月(National Cyber Security Awareness Month)。這項活動的主旨,是要讓人們參與網路安全事務,盡一己之力,讓網際網路對每個人都變得更安全、更有保障。

Hacktober有許多不同的元素,從網路釣魚測試和行銷活動,到競賽、研討會和專家會談都有。公司並不強制員工參與,但我們發現,大約三分之一的員工在這一個月活動期間內,至少參加一項活動。每一件事都是設計來提醒我們的員工,如何保護他們自己、我們的公司,以及每天使用臉書的數百萬人。

安全意識可以是有趣的,並不可怕,也不會更糟到變得無聊。如果我們以安全為核心,創造一個互動和有趣的環境,人們就會學到重要的安全教訓,並且保有那些心得一整年。

我們臉書公司對於安全意識採用「駭客」(hacker)方法,因為這個精神是我們文化的核心部分,也就是說,它會和我們的員工產生共鳴。「奪旗」競賽(Capture the Flag, CTF),是這方面的最佳例子之一。

CTF是以電腦為基礎的比賽,讓員工練習保護機器的安全,抵禦模擬的網路安全攻擊。我們知道許多員工樂於在競爭的環境中,解決複雜的問題,而CTF提供我們一種方式,可以為安全教育創造那種有趣、競爭的氛圍。今年,我們發展出兩個版本:一種是危害式CTF,可以透過進行研究來解決這方面的挑戰。另一種是攻防式CTF,在現實世界中進行攻擊和漏洞防堵。CTF在我們的開放原始碼平台上運行,CTF挑戰則是由跨職能的安全工程師團隊設計,他們各有專精(行動應用安全、Windows安全等等),以確保有完整的CTF體驗。

為了要讓這些事情有趣和吸引人,我們也提供一連串比較輕鬆的事件,反映我們的駭客文化,例如動手解鎖課程。而為了讓我們的所有活動引起矚目討論,以及吸引員工感興趣,我們提供Hacktober品牌的「戰利品」,包括T恤、帽子、貼紙和磁鐵,以我們過去七年所建立的「駭客南瓜燈」(Hack-o-lantern)品牌塑造方法去設計。

應該要讓所有員工都覺得可以放心談論安全議題。每個人都應該毫不遲疑地提出關切事項,即使他們的職務內容並不明顯保括維持公司的網路安全。

我們認為,所有員工都必須參與,以維持臉書是網際網路上的一塊安全樂土。在Hacktober期間,我們進行一連串的「駭客行動」,例如釣魚電子郵件和強推流氓式認證,以協助我們評估員工對這些模擬攻擊的反應。我們也和一些著名演講人進行非正式談話,像是美國前國務卿和著名的地緣政治風險專家康朵麗莎.萊斯(Condoleezza Rice)。她和臉書安全長亞歷克斯.史塔莫斯(Alex Stamos)的談話,讓人們有機會聽聽由民族國家支持發動網路攻擊的演變情形。

為了緩和人為錯誤的風險,企業必須擴大對「安全」的定義。Hacktober不只是談「網路」安全,也涵蓋人身安全和我們員工的安全。我們和人身安全的同仁合作,提供訓練課程給員工,例如針對女性員工開辦旅行安全課程,以及利用臉書分享有關緊緊跟車威脅的訓練影片。

員工應該認識在我們安全團隊中工作的人。而且,他們應該了解自己在保護臉書人員方面扮演的角色。

臉書已經成長了許多年,這表示找到安全團隊成員、與他們溝通的過程,是個挑戰。我們設法簡化這件事,做法是在公司內部網路上,建置一個安全協助表格,以及提供我們的全球安全營運中心(Global Security Operations Center)導覽。我們也透過大規模的宣導活動,推廣我們的安全工作:我們建立一個專門的微網站,讓人們到這裡學習不同的活動,並且用Hacktober的海報、資源卡和咖啡杯套來推廣它。我們也建立一個內部Hacktober臉書小組,員工可以張貼問題、反映意見、合作進行CTF挑戰,或者只是張貼他們對目前安全主題或關切事項的想法。

Hacktober也是安全團隊很棒的學習機會。前述微網站成為我們的資料來源,可從中發現人們最感興趣的主題,但我們仍不斷追蹤一些指標,協助我們改善各項計畫,而且,我們試著即時運用其中的一些心得。舉例來說,當資料顯示人們點擊釣魚連結的次數顯著下降,以及向安全團隊舉報釣魚詐騙的人數增加,我們在月中就暫停了今年的網路釣魚活動。基本上,我們已經達成改變員工行為的目標,因此決定將資源分配到其他地方會比較好。

像Hacktober這樣的活動,可以有效評估社會工程風險,並了解自家公司或組織最容易受到哪些類型的人類行為破壞,而且這類活動是最有效的評估方法之一。最大問題是網路釣魚活動嗎?密碼太弱?人身安全?你的團隊可以運用什麼工具或戰術,來處理這些威脅?

我們對Hacktober的設計,是要配合臉書的文化與安全需求,但是其他公司也可以應用其中許多原則。只要記住:任何成功的活動,都需要資深領導階層的支持、與公司文化的方向一致,以及排除談論安全議題時的一些疑懼。安全教育不是要羞辱人們的不良習慣,而是要獎勵正向的行為,以及讓你最重要的資源(也就是人員)培養安全意識文化。

你們公司可以用下列方式來創造自家的Hacktober:

● 排定組織和品牌塑造的優先順序。臉書以獨特的「駭客燈籠」設計海報,來裝飾牆壁,並且運用內部小組,分享張貼和Hacktober有關的事務。為提高意識的行動設計獨特的識別系統,有助於人們注意到這項活動,並且設法參與。

● 與第三方組織結成伙伴關係。全國網路安全聯盟(National Cyber Security Alliance)是安全意識行動的極佳伙伴,可以提供各種構想和內容。

● 表彰和獎勵投入。T恤和貼紙等Hacktober紀念品,在臉書內部廣受歡迎。臉書員工如果舉報可疑的活動,或者發現我們的駭客行動,就會得到這些令人艷羨的獎品,這有助於加強意識和激勵他人參與。

● 在真實世界進行安全測試。簡單的測試可以有很大效果,提醒人們保持警覺。我們用人們在一般的工作日裡會遇到的事物來做測試:發送魚叉式網路釣魚電子郵件(spear-phishing email;這些惡意電子郵件,看起來好像來自可靠的來源),或者將裝有假冒惡意軟體的隨身碟亂丟在辦公室裡,這麼做可教導員工在把未知的裝置插入電腦之前,務必先好好考慮一下。

● 把人們聚在一起。讓你的安全團隊提供安全課程、主辦互動式研討會,以及舉辦競賽活動。你甚至可以使用臉書的開放原始碼CTF平台,來進行你自己的CTF。

● 保持趣味。安全議題不見得一定會讓人害怕。臉書邀請一些家庭到它的總部,觀賞以安全為主題的電影,並在晚上舉辦雕刻南瓜的活動。這些和其他的實做活動,有助於在有趣、輕鬆的環境中教育人們。

(羅耀宗譯)



貝西.貝維拉奎 Betsy Bevilacqua

臉書的資訊安全計畫與營運(Information Security Programs and Operations)主管,負責推動跨職能的策略專案、行動方案,以及業務營運活動。貝西在安全產業工作超過十二年,工作內容包括事件應變、安全架構,以及法規遵循和風險管理等。在進入臉書工作之前,是eBay的安全風險經理,協助擴展安全風險計畫到eBay的子公司。


本篇文章主題安全與隱私