團隊臥虎藏龍!專訪 LINE 全球資安中心

頂尖白帽駭客、超年輕資安研究員,LINE 今年重整各國資安團隊,成立跨國資安中心。
評論
▲ LINE 資安中心成員
評論

從訊息 app 到生活平台,LINE 一向將資安視為開發過程中的重點,規劃、研發、測試,以及上線後的修補,資安團隊成員從產品設計初期就參與每一步流程。

資安中心經理市原尚久(Ichihara Naohisa)分享,隨著合作關係與服務領域擴張、公司組織與市場全球化,以及 AI、區塊鏈、物聯網等新技術的導入,LINE 今年五月整合了各國辦公室的資安團隊成員,成立資安中心。從資訊安全法規、應用安全技術、安全策略。資安中心尤其在漏洞獎勵計劃與競賽加強開發者關係,還有聚焦今年資安高峰會(LINE X Intertrust Security Summit)主題「數位身份與信任」的防止帳號濫用,更是用到大量 AI 機器學習與資料分析技術來揪出詐欺者。

團隊成員大有來頭

LINE 資安團隊從 3 年多前僅有約 20 人的規模,到今年 70 多人的跨國資安中心,規模仍持續成長。現在的資安中心成員更是廣攬資安研究與白帽駭客界知名人才,包括年紀才 20 出頭,獲得 WCTF 2018 世界第一的資安工程師 Ryota Shiga (garyo),在破解系統上面能力驚人。曾經坐在 LINE 合作提供的藍牙販賣機用一台筆電找到溝通協定的漏洞,尤其在 IoT 這種比較新的領域或者創新應用方面,有許多資深工程師無法靠經驗解決的問題,特別需要借重 Shiga 的能力。

還有韓國知名白帽駭客李丞鎮 SeungJin Lee(Beist) 也來到現場,他是亞洲進入 Def Con CTF 決賽第一人,之前有在政府機關數位調查與網站司令部工作 10 年的資歷,後來開了資安公司 GrayHash 被 LINE 收購並改名 GrayLab。與台灣 HITCON 團隊成員,以及各地開發者有緊密連結。另外 LINE 台灣每兩個月會辦一場資安主題 meetup,下一次的場次他也會出席。

數據風險分析師 Kim Seonmin 則是用 AI 機器學習以及數據來解決問題。最常見阻擋支付攻擊、濫用帳號,因為這類濫用者經常改變手法,需要利用機器學習行為數據來揪出可疑使用者,也加快系統防範更新速度。

數位身份:怎麼確定你是你?

▲由左至右分別為 LINE GrayLab 資安研究室負責人李丞鎮 (SeungJin Lee)、LINE 資安中心負責人長林萬基(Mangi Leem),Line 資安中心信任與安全團隊及資安策略團隊主管市原尚久(Naohisa Ichihara)

談到 LINE 今年高峰會與公司的資安焦點「數位身份與信任」,市原先生提到除了防範虛假、盜用帳號造成的詐欺問題,一些金融相關的服務更是特別需要真實身份認證。去年日本剛通過 eKYC 相關法規,就是讓傳統金融服務身份認證必須的臨櫃或郵寄照片、身份證明資料的手續,可以透過數位方法使其更加快速方便,比如拍攝照片或影片來比對臉部來認證支付與加密貨幣等服務。

儘管前述 eKYC 的例子還與傳統金融所需提供資料相去不遠,然而說到實名制、說到資料搜集與身份認證,加上科技發展如 IoT 裝置愈發普及,或者 LINE 將推出基於使用者行為數據的信用分數 LINE score,處處留下數據足跡的關頭,個人隱私數據受到濫用疑慮也是前所未有的大。

那麼使用者隱私與數據搜集又該如拿捏?

市原先生認為,這是個好問題,也是個困難的問題,畢竟現在各家科技巨頭也正在學習而未見一個標準答案。

以 LINE 觀察普遍的做法來說,一個方式就是合法合規,盡量配合各地政府的規範,某種程度也代表當地使用者可接受的準則。再來就是蒐集資料的行為要盡量透明化,讓使用者理解並自己能夠選擇要不要提供資料,來換取更方便的服務。此外更透明的資訊也要與產業公司、學術界、政府、大眾溝通,去了解隱私的定義與界線,不是獨自研究就能找出答案的。

他認為就像網路發展早期碰到的爭議,現在更多的隱私數據湧現,在凝聚共識這條路上仍屬非常早期。

而歐盟 GDPR 法規,帶起不少地區規範賦予使用者要求刪除自己資訊的權利,對於仰賴數據量與機器學習提供的服務會有什麼影響? 這裡 SeungJin Lee 解釋,在設計上許多數據本就去名化,只要斷絕數據與使用者身份的關聯性,就不會追溯到使用者身上,這樣一來可以去除與使用者相關的部分,卻又不必刪掉所有資料。

而面對未來 2020 東京奧運在即,LINE 有沒有對此準備好哪些服務,又要如何面對大量各國觀光客湧入可能造成的帳號濫用問題?市原先生雖然無法透露 2020 的計畫內容,不過倒是做足了準備,對於現有問題都有充分的應對方法。不過他也知道永遠不能小看濫用者的創意,在奧會期間 LINE 會額外加強監控,提高臨時反應能力。

延伸閱讀:





洞見機會,創新未來──新創如何用雲端打出一手好牌:AWS Startup Day 7 月 15 日線上重磅回歸

AWS Startup Day 即將於 7 月 15 日重磅回歸,此次不只聚焦新創趨勢與數位應用,更聯合 AWS 創投新創媒合會,提供參與者豐富的資源,所有與新創生態系相關的夥伴都不容錯過。
評論
Photo Credit:AWS
評論

隨著 Web3.0 去中心化的趨勢開展與現在進行式的產業數位轉型浪潮,雲端技術早已成為許多早期新創發展產品或服務的關鍵金鑰,甚至為其奠定高速發展的穩健根基。而台灣雲端服務供應龍頭 AWS(亞馬遜網路服務公司)更自 Web2.0 時代開始就從未缺席,始終在技術新知、應用實務等方方面面致力支持新創,其中最具代表性的免費論壇活動──AWS Startup Day 也即將於今年 7 月 15 日重磅回歸,在線上和參與者相會!

今年度 AWS Startup Day 持續聚焦新創趨勢與數位應用,精心規劃八場新創專題演說,非常適合長期關注新創生態系統的相關人士,或是正要起步、成長的新創夥伴報名參加。

立即報名 2022 AWS Startup Day!

五大特色議程安排,給你滿滿新創觀點與技術乾貨

Photo Credit:AWS

「新創如何運用雲端科技打出一手好牌,投注資源延續未來業務?」這是今年 AWS Startup Day 欲探討的核心議題之一。為解答雲端科技之於新創企業的珍貴價值,AWS 以「國際市場」、「創投趨勢」、「多元創業」、「雲端技術」、「焦點產業」等五大特色精心規劃講座內容,完整收錄新創趨勢脈動、雲端技術實務、佈局策略觀點與創投媒合等新創事業歷程的重要節點。為此,AWS 不只力邀 Web3.0、電商、串流、B2B 解決方案等不同領域的新創合作夥伴,分享選擇 AWS 開展新創事業的策略考量,更毫不藏私地解析雲端技術如何快速又穩定的開拓事業。

Photo Credit:AWS

無論新創還是育成,想要洞見機會就不能錯過 AWS Startup Day

Photo Credit:AWS

任何產業或技術的發展,不單要前人的引領,也需要後繼者無窮盡的創新思維與打破框架的勇氣,缺乏其中一個環節,生態系都無法平衡永續。所以無論是天使創投、孵化器,還是剛起步或處於早期新創的企業,只要你身為新創生態系統中的一份子,渴望尋求創意突破或開展新興業務,AWS Startup Day 都是你絕對不能錯過的最佳活動。

填單取得 2022 AWS Startup Day 免費入場券!

尋找下一個新創獨角獸──同場加映 AWS 年度創投新創媒合會

本次 AWS Startup Day 除新創及創投相關講座外,AWS 更直接邀請多家國際及台灣知名創投公司,與 AWS Startup Day 同場舉辦今年度唯一的線上「新創創投媒合會」,欲透過串聯本地深具潛力的新創與創投,幫助台灣新創企業獲得更豐富的資源,孕育下一個獨角獸。

根據 AWS 釋出的消息,媒合會將以早期天使輪或 Pre-A 輪融資為主,重點關注 AI/ML工具和平台、智能零售、MarTech、Web3.0、媒體和娛樂等產業,並以快速輪流的形式替新創獲得最大的曝光。

立即報名 2022 AWS Startup Day,共構台灣新創生態系統!