运营交易所的安全挑战 Part 2.1.2 — 风控 - 安全顾问

Published on:

经营交易所的本质是

维护几十套技术不稳定之开源软件,以非去中心化的方式维护内部帐簿

所面临的挑战主要有:

  • 恶意黑客日夜钻研窜改链上数据
  • 恶意黑课日夜钻研攻破交易所数据

宏观来说,交易所是被动防守的一方。几乎很难抵御攻击方不断的主动式攻击,或开源社群上的不定时炸弹。加上交易所多为初创型企业。内部缺乏安全人才。

所以我通常会建议,在交易所开业时就雇用专业的安全公司帮忙把关。

专业的安全公司能够提供的协助

雇用专业的资安公司主要可以协助几块:

黑箱检测

资安公司作为白帽黑客。模拟外界黑客,在不知道内部架构的情况下,针对数十项常见的网站 App疏失进行渗透。并给出改进报告。

通常可以扫描到非常多常见架构设计漏失。

参考:慢雾安全的交易所安全审计项

https://www.slowmist.com/service-exchange-security-audit.html

灰箱检测

在资安公司知道部分架构设计的情况下,针对细微的特定操作行为路径与机器群,进行渗透。可以在针对特定流程组件,进行细部的逻辑安全校验。

通常可以抓到思维死角,内部开发之不良习惯。

白箱风控

讨论内部的风控架构,白帽心态模拟内部有心破坏的内鬼在知道架构的情况下攻击。以及如何设计截断防御机制。

让即使最坏的情况下,内部员工有心作恶,内部风控机制还是可以有效阻断大多数行为。

针对区块链场景,专业的安全公司能够提供的协助

黑箱,灰箱,白箱。是一般资安公司都会提供的服务。

但是我认为区块链,雇用资安公司顾问最大的价值,是 0day 防御与联防。

0day

0day漏洞,是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。在一般互联网的领域,被 0day 攻击,可能导致的是伺服器入侵,资料被盗取。

但是在交易所的世界,区块链上的 0day 就代表著假转帐。一旦有假转帐,可能意味著几百万甚至几千万的损失。

而交易所维护著数十种资产,无法也不可能日日夜夜去研究区块链项目上的何种变动会造成高危风险。这时候就得倚赖专业资安公司的 0day 通报。

一般区块链资安公司,通常也是深研区块链社群的安全研究者。如果有 0day,通常可以在漏洞被发现几个小时甚至几十分钟之内就通报到合作交易所上。

特别是 ETH 合约安全事件频出。EOS 主网架构十分不成熟。光是这几十分钟的时间差,就足以阻挡非常大的灾难性事件。

联防

区块链黑客为什么好赚?赚的就是两件事:

  • 0day 时间差攻击
  • 这家交易所有这个洞,别家可能也有。一个漏洞可以获利几十遍

所以一个好的资安公司能带来的价值。就是其服务交易所的联防机制。当服务的其中一间交易所出事,其脱敏过后的事件处理报告,可以为联盟下的交易所带来很大的防御价值,及时修补。

Bug Bounty Program 设计

除了被动防御外,交易所也可以主动作 Bug Bounty Program。提供赏金给发现漏洞的白帽黑客。作为一种鼓励态度,而非防御攻击性态度。

然而,维护 Bug Bounty Program 并不是只有补洞,给奖这么简单。

一般而言,收到 Bug Bounty 的流程如下:

  1. 收到 Bug 或漏洞,判断级别通报反应
  2. 修补漏洞。做出处置
  3. 针对漏洞给奖

这当中的难处就在于:

  1. 如何判断这个漏洞到底紧不紧急,是否要直接提升到风控最高等级
  2. 是否要马上修复,还是可以等一等
  3. 要如何判级给奖与感谢。

每一层都牵扯到需要「人力」去判断,与白帽黑客交涉。而交涉的过程一个不小心,甚至可能会得罪黑客。一般初创企业,实在没有办法负担成立一个专门的安全部门,处理这一类的事件。

所以委托资安公司,代为管理 Bug Bounty 也能省上不少力气。

总结

很多人在开办互联网公司时,很少雇用资安公司做为顾问。资安不是不重要,而是在一般互联网生意,可能不是最重要的一环。

然而,在经营交易所或企业区块链钱包服务时。我认为聘资安公司绝对是「必要性」的一环。

因为交易所世界实在存在太多的未知风险。如果不以主动式的态度,去面对这些潜在的威胁。还未开张赚钱,就先倒赔个几百几千万,恐怕真不是罕见的案例。

运营交易所的安全挑战 系列文目錄