交易所資安大神、白帽駭客都在做什麼？XREX資安長教你如何避免被駭！

Podcast重點精華

Q：頂尖白帽駭客Sun，是如何踏入資安領域？

Sun Huang在資安產業有15年的經歷，從大學開始觸資安領域，由於當時許多網頁都是使用CGI（Common Gateway Interface）開發，所以大部分的網站都是不安全的，只要經過一些簡單的方式，就能夠抓出敏感資訊，例如個資、信用卡等等。

也因此激發Sun內心的小宇宙，覺得網路世界太不安全，想要幫助這個產業並保護無辜的受害者，便開始專注在這個領域生根。

在2008年的時候很多企業其實都還不太重視資訊安全，資安職缺其實非常少，那時剛好找到一家台灣的資安公司阿瑪科技並順利入職，也就是XREX創辦人黃耀文Wayne當時所創辦的資訊安全公司。

Q：Sun過去曾擔任哪些職務？

Sun一路從助理資安工程師、資安顧問，當到弱點掃描產品的PM。

由於Sun一開始擔任pre-sales的角色，會去拜訪客戶介紹公司產品，包含防火牆、掛馬檢測等資安防禦產品，跟著銷售員到處拜訪的緣故，也因此更懂得第一線客戶的需求和使用者痛點。

pre-sales主要會去回覆客戶的諮詢，以及幫他們做POC（Proof of Concept）測試，進而得到分析、解決問題的能力，在替用戶舉辦資安教育訓練之時，也在理論與實作有全面的了解。

而Sun主要專精的技能為「滲透測試」，也就是說他們會模仿成攻擊者，用攻擊思維看待企業，讓企業找出可疑風險，再去解決降低風險。在資安領域不只是需要具備防守力，還要有進攻的能力。

Q：Sun如何從Web2到Web3，養成15年的資安實力？

2013年阿瑪科技被美國上市公司Proofpoint併購，在Proofpoint這5年，Sun負責威脅研究的分析，主要研究各國的駭客團體和國家級的駭客，之前可能都是聚焦在台灣國內的市場，突然放眼到國際上，整個視野便打開了。

Sun和Wayne一起打拼了5年之後，在2018年一起創辦了XREX交易所，一路一起從web2走到了web3。

大概有10年的時間，Sun在下班之餘會花時間去當漏洞賞金獵人，有一些企業會專門提供獎金給找到該企業資訊安全漏洞的人，週末的時候則去打CTF（Capture the Flag），CTF是一種學習攻擊與防禦的駭客競賽。白天上班，周末當獎金獵人、參加比賽，可以算是一輩子都在資安領域待著。

Q：身為一個白帽駭客、資安大神，Sun在XREX交易所的一天在做些什麼事情？

Sun每一天的工作其實就是一樣在做攻防，由於每天會看到很多種攻擊者，因此把攻擊者分成四類。

第一類：腳本小子（script kiddie）

這類的攻擊者通常只會操作網路公開的駭客工具，並沒有太深的技術能力。

第二類：單獨駭客

那他具有這種相當程度技術能力，會開發工具來發動攻擊等等。

第三類：小型駭客團體

這一類的攻擊者，通常組織跟資源都可以有良好的分工，有人負責找目標，有人負責攻擊或是開發攻擊武器，也有人負責善後等等，所以他們的攻擊能力通常蠻強的。

第四類：大型的組織，甚至到國家級的這種駭客團體

這種攻擊團體，資源非常的大，因為背後資金龐大，所以有很多所謂的零時差的攻擊武器。

Ｑ：以交易所角度，如何確保資訊安全？讓資產不會被偷？

資安一直都是一個不公平的遊戲，對於駭客來說，他只要在你的網站平台上找到一個漏洞攻即就夠了，但是站在防守方，必須要在每一個層面都建立好防禦機制，我們是守護者，駭客就是攻擊者，所以我們的主要任務就是要確保每個用戶的資產安全。

所以在資安領域會有一個很重要的觀念，就是安全並不是一個絕對的狀態，而是一種過程，不能期望消除所有的風險，但是可以通過這些持續的努力，來管理降低這些風險，不斷的持續優化、提高攻擊難度。

除了有對應的防禦機制跟系統外，也需要制定有效的資安政策，可以透過ISO 27001的標準去建立管理策略，或者是制定資安的事件的應變、處理流程和營運等等，像是XREX與14家資安公司的結盟，並打造了XREX區域聯盟的網路，建立盟友打造共好的生態圈。

員工的資安意識非常重要，就像大家的電影上看到的，你用你的電腦打開一個網頁，你的電腦被控制了，在真實世界裡是很容易達成，公司的資安其實是需要大家一起來把關的。

有些公司一直把資安的人員、團隊，甚至是工具視為成本，而XREX執行長辦公室資深總監尤芷薇Yoyo表示，XREX很難得的一件事情為在資安的投入非常的大方。

Q: Wayne作為執行長，為什麼會如此重視資安？

當時有信心去創XREX也是因為有Sun跟他的團隊，也表示一開始其實不太懂比特幣，但他知道周邊聰明的人都在研究比特幣，因此那時侯從資安的角度出發，請Sun把所有跟比特幣相關的攻擊研究一遍，就是從那一次完整的研究，了解交易所大概是怎麼被駭，個人錢包怎麼樣被偷等等。

而XREX交易所也成為全台灣第一家，通過最新版本ISO 27001的標準，是檢驗資訊安全管理系統的標準，也是目前使用最廣泛且完整的標準。在台灣，不只是領先交易所、銀行和公家機關，也領先不同領域的公司。

🛎️延伸閱讀： 台灣第一家！交易所XREX取得最新資安認證，有哪些差異與優勢？

Ｑ：一般人該如何去辨識一家交易所安不安全？

Sun從資安的角度，建議以下幾點。

第一點：看這家交易所有沒有自己的資安團隊，以及它的成員背景、專責人員人數

這些資訊好像相對來說比較不透明，但是資安圈子不大，通常都還是可以打聽的到，資安人員一位絕對是不夠的，像金管會在2011年12月了發布資安法規，要求上市櫃公司要去建立專責的資安單位，針對資本額100億以上的公司，要求一定要設定一位資安長、一位資安主管，以及兩位專責人員。

Sun表示對於大公司來說，其實四位專責的資安人員還是不夠，而XREX目前大概約有80位相關人員。

第二點：這家交易所重不重視資安文化

可以去看這家公司有沒有投入資安的資源，有沒有定期去找一些資安廠商去做滲透測試，以及有沒有漏洞賞金平台。

第三點：交易所有無完善的資安治理和目標

關注公司有無完善的資安治理，可以去看一家公司有沒有相關證照，比如說ISO27001等等。

大家不用在一家交易所倒的時候，才終於理解說他不安全，不要隨便輕信任何一個交易所，大家可以去看公司是否有導入merkle tree的技術去驗證自己錢包資產的安全，或是去觀察公司外部稽核等等來判斷是否乾淨、安全。

一家加密貨幣業者，內稽、內控也很重要，一個人不能擁有過多的權限，應該要有一定的流程去把關一個人能夠去接觸到什麼樣的資訊，有什麼樣的權利，甚至是可不可以移動錢包裡面的錢。

Q：如果不是非專業資安人員，一般人如何保護自己不受駭客危害？

第一點：帳戶安全

密碼強度要夠，雙重驗證(2FA)要開啟，也不要用慣用密碼，攻擊者通常會去蒐集被洩漏的資料庫，資料庫可能有十幾億甚至到百億被洩漏過的帳戶密碼，也就是說駭客只要知道你的用戶名稱或電子郵件就可以在資料庫中撈出這個用戶使用的密碼有哪些，就可以嘗試登入。

第二點：先求證，再執行操作

為了避免釣魚攻擊，要去檢查墊子郵件來路不明的連結，通常攻擊者會模仿機構，冒名常見企業，有些高端網站甚至是可以偷到2FA。

第三點：提高資安意識

不斷學習有關資安最新趨勢、最新的網路詐騙手法，透過這些提高資安意識來保護個人資產。加密貨幣給了我們金融自主權，擁有自己的錢包，但這樣的自主權，一定要搭配高程度的資安技術。