Categories
隨著網路攻擊與勒索軟體日益猖獗,資訊安全已成為企業與個人用戶的首要關切。QNAP 深知資安對於用戶信任與產品穩定性的關鍵性,透過產品資安事件應變小組(PSIRT)持續強化資安治理機制,於漏洞應對、風險管控與全球協作面向均展現卓越成果。
與全球資安社群攜手,強化資安韌性
QNAP 積極參與國際資安生態系,與資安研究機構及白帽社群建立緊密合作關係。近年來持續贊助趨勢科技的 Zero Day Initiative(ZDI),並參與 Pwn2Own Ireland、矩陣盃等國際知名資安競賽,藉由實戰演練精進漏洞處理能力。而競賽期間,QNAP 專責團隊也會於第一時間對被揭露的漏洞進行分析與修補,並同步發佈作業系統更新通知給用戶。
與此同時,QNAP 亦與全球超過百位資安研究員推動漏洞揭露與修補協作機制,涵蓋網頁介面、後端服務、韌體漏洞等多個層面。法國資安專家 Thomas Fady 亦讚許我們的努力:「過去兩年來,QNAP 一直與我們密切合作,積極掌握安全動態,並迅速且有效地回應。我們清楚看到他們在資安上的重視程度持續提升,並且取得了實質的進展。」
2024 年 QNAP PSIRT 執行成果概覽
在過去一年中,QNAP PSIRT 在事件通報與應變處置方面展現高度效率與透明度,具體成果如下:
- 發佈超過 40 篇資安公告,涵蓋漏洞修復、緊急指引與安全建議
- 指派逾 100 個 CVE(Common Vulnerabilities and Exposures)ID,貢獻於全球資安資料庫
- 安全漏洞獎勵計畫發出獎金累計逾新台幣百萬元,涵蓋內部與外部揭露渠道
針對高風險漏洞的處置時效亦反映迅速:
- 平均 9 小時內完成弱點分析
- 14 小時內釋出修補程式
- 24 小時內完成事件通報與用戶指引
跨部門整合,實現主動式安全開發
QNAP PSIRT 採用 Committee 架構,由研發、安全、法務、客服與行銷等部門共同參與資安治理,並全面導入 DevSecOps 開發流程,在程式碼提交階段即自動進行靜態與動態安全分析,讓安全檢查成為日常開發的一環,並持續整合自動化掃描工具以提升弱點偵測準確度。
建構多層防線:備份策略與異常偵測同步部署
因應日益複雜的勒索攻擊場景,QNAP 提供從資料備份到異常流量偵測的全方位解決方案給用戶。Hybrid Backup Center 提供集中化的多 NAS 備份與還原管理;Airgap+ 功能則結合 QHora 路由器,在備份作業期間實施自動網路隔離,有效降低資料暴露風險;另配合 ADRA NDR(Network Detection and Response)主動式內網偵測防禦方案,可快速辨識病毒於內網的橫向移動與異常連線行為,進一步強化內部網路防禦。
在教育推廣方面,QNAP 每季定期發布安全設定指南、操作影片與最佳實踐案例,協助用戶建立主動防禦觀念,同步改善 App Armor 權限管制、CGI 防護等內建機制,以提升整體資安防禦層級。
邁向軟體供應鏈透明化與 AI 安全治理
QNAP 於 2025 年正式導入 SBOM(Software Bill of Materials)制度,確保所有產品中使用的第三方開源元件具備完整清單與授權資訊,當相關元件被揭露有安全漏洞時,可迅速進行風險盤點與補救。同時,因應 AI 開發興起,QNAP 已建立 GenAI 程式碼審查標準作業流程,從開發初期即強化程式碼品質控管與資安防護,防止潛在漏洞與機敏資訊外洩,多管齊下強化資安體質。
資安治理永無止境,QNAP 持續前行
從資安事件應變、預防性開發、社群合作到制度創新,QNAP 始終秉持透明、快速與合作的原則深化資安治理。 QNAP 將持續以行動落實資安承諾,強化內外部風險辨識與控制機制,為全球用戶打造更加安全、穩定且值得信賴的數位儲存與網路應用環境。
