按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

辦理中日工程研討會

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-03-27
  • 點閱次數:182
辦理中日工程研討會

本次研討會邀請松下株式會社產品安全中心林永熙主幹技師,為了讓林先生對TWCERT/CC有初步了解,首先針對TWCERT/CC於國內所負責任務及內部業務進行相關介紹,接著林先生則針對自己過往的經驗、日本資安培育狀況及Panasonic內部PSIRT維運經驗進行分享。Panasonic內部產品除了大家所熟悉的一般家電之外,目前著重開發的產品為車載零組件,大約佔了總產品的80%。

Panasonic也有產品安全相關處置方案,產品出售前會進行威脅分析及黑箱測試,開發人員在完成產品開發後,會進行威脅分析,若發現產品中存在威脅時,會依產品開發程序立即自行處理並解決,而在產品售出後,若使用者或開發人員發現產品漏洞,則相對應的事件處置包括:在第一時間希望可取得確認漏洞的證明(Proof  of Concept, POC),來讓技術人員了解事件狀況,再針對手上擁有的資料進行相對應的分析與問題的修正,並取得第三方的認可後,例如通報事件之相關單位,最後則針對此事件公開解釋,讓民眾能了解事件的真相及處理的結果。林先生也表示:「Panasonic的PSIRT目前僅針對該公司相關產品的安全性進行相對應的確保,但未有漏同獎勵(Bug Bounty)機制,因Panasonic於世界各地之工廠都有自己的產品線,各產品線不一定都會認可Bug Bounty機制。」

此外,日本在NCA(National CSIRT Association)會推廣的這麼順利,且企業也逐漸在成立內部的CSIRT/PSIRT組織,主要是因為日本有許多企業會派遣公司內部資深資安專家,協助NCA的運作,且協助推廣CSIRT/PSIRT等資安事件應變團隊建置,林先生建議:「TWCERT/CC可先從較熟悉的公/協會著手,先向公/協會進行CSIRT建置推廣,並請公/協會協助推廣予底下的企業。」

回頁首