團隊臥虎藏龍!專訪 LINE 全球資安中心

頂尖白帽駭客、超年輕資安研究員,LINE 今年重整各國資安團隊,成立跨國資安中心。
評論
▲ LINE 資安中心成員
▲ LINE 資安中心成員
評論

從訊息 app 到生活平台,LINE 一向將資安視為開發過程中的重點,規劃、研發、測試,以及上線後的修補,資安團隊成員從產品設計初期就參與每一步流程。

資安中心經理市原尚久(Ichihara Naohisa)分享,隨著合作關係與服務領域擴張、公司組織與市場全球化,以及 AI、區塊鏈、物聯網等新技術的導入,LINE 今年五月整合了各國辦公室的資安團隊成員,成立資安中心。從資訊安全法規、應用安全技術、安全策略。資安中心尤其在漏洞獎勵計劃與競賽加強開發者關係,還有聚焦今年資安高峰會(LINE X Intertrust Security Summit)主題「數位身份與信任」的防止帳號濫用,更是用到大量 AI 機器學習與資料分析技術來揪出詐欺者。

團隊成員大有來頭

LINE 資安團隊從 3 年多前僅有約 20 人的規模,到今年 70 多人的跨國資安中心,規模仍持續成長。現在的資安中心成員更是廣攬資安研究與白帽駭客界知名人才,包括年紀才 20 出頭,獲得 WCTF 2018 世界第一的資安工程師 Ryota Shiga (garyo),在破解系統上面能力驚人。曾經坐在 LINE 合作提供的藍牙販賣機用一台筆電找到溝通協定的漏洞,尤其在 IoT 這種比較新的領域或者創新應用方面,有許多資深工程師無法靠經驗解決的問題,特別需要借重 Shiga 的能力。

還有韓國知名白帽駭客李丞鎮 SeungJin Lee(Beist) 也來到現場,他是亞洲進入 Def Con CTF 決賽第一人,之前有在政府機關數位調查與網站司令部工作 10 年的資歷,後來開了資安公司 GrayHash 被 LINE 收購並改名 GrayLab。與台灣 HITCON 團隊成員,以及各地開發者有緊密連結。另外 LINE 台灣每兩個月會辦一場資安主題 meetup,下一次的場次他也會出席。

數據風險分析師 Kim Seonmin 則是用 AI 機器學習以及數據來解決問題。最常見阻擋支付攻擊、濫用帳號,因為這類濫用者經常改變手法,需要利用機器學習行為數據來揪出可疑使用者,也加快系統防範更新速度。

數位身份:怎麼確定你是你?

LINE security center
▲由左至右分別為 LINE GrayLab 資安研究室負責人李丞鎮 (SeungJin Lee)、LINE 資安中心負責人長林萬基(Mangi Leem),Line 資安中心信任與安全團隊及資安策略團隊主管市原尚久(Naohisa Ichihara)

談到 LINE 今年高峰會與公司的資安焦點「數位身份與信任」,市原先生提到除了防範虛假、盜用帳號造成的詐欺問題,一些金融相關的服務更是特別需要真實身份認證。去年日本剛通過 eKYC 相關法規,就是讓傳統金融服務身份認證必須的臨櫃或郵寄照片、身份證明資料的手續,可以透過數位方法使其更加快速方便,比如拍攝照片或影片來比對臉部來認證支付與加密貨幣等服務。

儘管前述 eKYC 的例子還與傳統金融所需提供資料相去不遠,然而說到實名制、說到資料搜集與身份認證,加上科技發展如 IoT 裝置愈發普及,或者 LINE 將推出基於使用者行為數據的信用分數 LINE score,處處留下數據足跡的關頭,個人隱私數據受到濫用疑慮也是前所未有的大。

那麼使用者隱私與數據搜集又該如拿捏?

市原先生認為,這是個好問題,也是個困難的問題,畢竟現在各家科技巨頭也正在學習而未見一個標準答案。

以 LINE 觀察普遍的做法來說,一個方式就是合法合規,盡量配合各地政府的規範,某種程度也代表當地使用者可接受的準則。再來就是蒐集資料的行為要盡量透明化,讓使用者理解並自己能夠選擇要不要提供資料,來換取更方便的服務。此外更透明的資訊也要與產業公司、學術界、政府、大眾溝通,去了解隱私的定義與界線,不是獨自研究就能找出答案的。

他認為就像網路發展早期碰到的爭議,現在更多的隱私數據湧現,在凝聚共識這條路上仍屬非常早期。

而歐盟 GDPR 法規,帶起不少地區規範賦予使用者要求刪除自己資訊的權利,對於仰賴數據量與機器學習提供的服務會有什麼影響? 這裡 SeungJin Lee 解釋,在設計上許多數據本就去名化,只要斷絕數據與使用者身份的關聯性,就不會追溯到使用者身上,這樣一來可以去除與使用者相關的部分,卻又不必刪掉所有資料。

而面對未來 2020 東京奧運在即,LINE 有沒有對此準備好哪些服務,又要如何面對大量各國觀光客湧入可能造成的帳號濫用問題?市原先生雖然無法透露 2020 的計畫內容,不過倒是做足了準備,對於現有問題都有充分的應對方法。不過他也知道永遠不能小看濫用者的創意,在奧會期間 LINE 會額外加強監控,提高臨時反應能力。

延伸閱讀:





精選熱門好工作

PopDaily 視覺設計師–【設計部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$15,000

高階平台開發者 / Sr. Platform Developer

奔騰網路科技有限公司
臺北市.台灣

獎勵 NT$15,000

高階 SRE 專家 / Sr. SRE

奔騰網路科技有限公司
臺北市.台灣

獎勵 NT$15,000

評論