以前在还没开交易所之前,我总会好奇,业界的 Bounty Program 会是给谁玩的。真的会有人玩吗?
后来在我开交易所之后,签约的第一个资安顾问,就建议我要设立 Bounty Program。
知名的 Bounty Program 有 Hackerone。后来我们公司采用的慢雾的 Bounty Program。
为什么要有 Bounty Program 呢?
理由是:当你的公司很值钱或充满高风险时,你就得要有 Bounty Program。
比如说像我开一个区块链交易所,保管这么多区块链资产。黑客一定会对这个交易所垂涎三尺。
而只要让黑客盯上并且成功入侵,就会损失惨重。比如说币安被入侵一次,掉的就是七千颗 BTC。
一般来说,黑客不会向公司,举报公司的服务有漏洞。因为:
- 没有好处,还有可能被白痴公司报警处理
- 将漏洞留著,自己有好处
- 关我屁事
一个漏洞,被第一个黑客发现了。要是他不通知你,也不对你作恶。其实也是有风险存在。因为漏洞还是存在。一定会有第二个第三个第四个上门。
到时候你就无法保证后面的人是不是恶意了。
设立奖金制度的好处是:
- 让那些职业是白帽黑客的资安研究者,有动力去寻找你系统的漏洞。毕竟一个系统的漏洞,虽然单笔你要发出去数千美金。但是这些漏洞造成的危害可能就值数百万美金。
- 不用直接面对这些资安研究者。一个漏洞值多少,企业是很难摸准的。给多了不甘心。给少了惹怒对方,反而造成更大的破坏。有一些资安研究者是游走在个体白帽黑客与勒索者之中。端看企业与他谈判时的价格与心情。而 Bounty Program 维护者多半是业界安全谘询公司的专家。知道如何评估风险程度以及正确估值。企业多半没有谈判的能力,谈判者也可能是 CEO,很容易做出错误的决定,以及老是被缠在风控事件的处理流程(资安漏洞对于资产损失是重要且紧急。但是对企业整体发展,是紧急但不重要。而这一类的工作,应由专门负责人士去处理)里面。
- 及时通报。有一些漏洞是软件的 0day 或者是第三方软件的 0day,也就是尚未被揭露的漏洞。很多企业被打穿,其实是因为新闻都已经报导一周某某软件都有这些漏洞了,有些公司缺乏技术人员以及资安警觉性,被看新闻自动扫描的黑客攻击进入,这也挺让人哭笑不得的。光是 USDT 假充值漏洞,这么容易防御以及修补,还是有很多币所掉坑搞到破产。
我从事区块链行业,雇用的其中一间资安谘询公司是区块链界有名的慢雾安全。
慢雾安全在与我们的合作当中提供什么呢?
- 区块链的漏洞 0day 第一时间通知与补丁
- 区块链交易所常用套件(如 Trading View)的 0day 通知与补丁
- 手工灰盒检测与架构建议
- 联盟交易所事件脱敏警示。(其他交易所出事了,我们会知道如何被打进去的。只是不知道是哪间公司被打。我们可以即时升级防御)
- AML 洗币防御。区块链盗币事件频传。有很多区块链地址是脏地址,还有帐号是洗钱帐号。以前我们是手工联防,现在是自动联防。
- 合作方的智能合约审计
等等等....
我们这些区块链公司,做的是时间差生意,防御的也是时间差风险。信息早拿到与晚拿到,产生的价值与损失,会差异非常多。
而这些都不是光雇用一个资安程序员,就可以办到的事。
这里总结一下你现在可以主动做的事,思考一下:
- 你们对于资安事件有标准处理流程吗?
- 你们的资安事件需要 CEO 介入处理吗?
- 你们如何与其他交易所共享资安信息?
- 你们如何追踪这些 0day?还是看新闻才知道?