60安全与信息部负责人高雪峰:区块链企业安全不能仅靠安全公司

360爆出EOS“史诗级”漏洞到最近韩国交易所coinrail推文称遭到黑客攻击,频发的安全问题炸醒了区块链行业沉睡的安全意识。为此,金色财经就区块链行业安全问题独家采访了360信息安全部负责人高雪峰

360爆出EOS“史诗级”漏洞到最近韩国交易所coinrail推文称遭到黑客攻击,频发的安全问题炸醒了区块链行业沉睡的安全意识。为此,金色财经就区块链行业安全问题独家采访了360信息安全部负责人高雪峰,高雪峰表示自2017年底360入局区块链安全以来,在钱包、矿池、EOS超级节点、智能合约和交易所五大解决方案下都累积了一些客户,从爆出EOS漏洞至金色财经采访时,这个数字平均上涨了十倍左右。这样闪电速度的背后,可以说是区块链企业对安全的高度重视,但更为根本的,或许是行业整体安全意识的缺失。

60安全与信息部负责人高雪峰:区块链企业安全不能仅靠安全公司

区块链安全问题从何而来

前华为首席区块链专家、CyberVein技术顾问黄连金在日前谈及360发现EOS漏洞时曾有四点表态:1.安全是动态的,不是静态的;2、代码是人写的,没有百分之百的安全;3、智能合约的安全非常重要。它一旦通过共识确立就很难更改,同时智能合约还是锁定资产的;4.安全需要多方面考虑,不能顾此失彼。

毋庸置疑,作为一种技术,区块链代码有漏洞十分正常,而近期一系列安全事件让行业认识到此前安全意识的缺失。“安全意识不高现象不止存在于区块链行业,这与人性中的侥幸心理有关”,高雪峰对金色财经表示,在安全问题上,投入与产出一般不可能成正比,有投入不代表问题能解决,更有可能的是一年投入下来却没有发生安全问题,这样的话从业务角度就有可能产生侥幸心理——这钱不投也可以。“作为一个新兴行业,区块链发展速度可谓日新月异,很多新加入的创业者们对如何保证项目安全并不了解,这也是当下安全问题频发的一个原因。”

意识缺位,安全漏洞成区块链软肋

高雪峰对金色财经披露了一组数据:360对20款全球主流数字钱包进行了安全测试后发现,80%的钱包都存在不同程度的安全问题,可导致助记词、交易密码被黑客获取,攻击者破解用户交易密码等危害;全球目前有1万多家大大小小的交易所,基本没有整体的安全防护策略,交易系统没有经过安全审计、缺少安全加固是常见问题。“主流的大型交易所相对来说安全防护较为完善,而一些还在起步阶段的区块链公司在去全方面投入还不是很多,因此常常变成黑客“照顾”的对象。

从2017年至今,已爆出的交易所遭到攻击事件不下十起,带来BTC价格跌幅最高接近腰斩,“安全是相对的,没有绝对的安全,但如果一点防护措施都不做,那么就降低了攻击成本,被攻击的概率就会增加”,针对近期频发的交易所安全问题,区块链安全公司数字彗星创始人张东谊对金色财经表示,只要做了防护措施就会提升攻击成本,变得相对安全,“企业应该做好边界安全,提升入侵检测和应急响应的能力”。

今年5月,比特黄金遭到51%攻击,这项触及了数字货币根本的危机让整个行业都感受到了威胁。比特黄金在公告中称“我们不会是最后一个被攻击的币种”更是给整个区块链行业敲响了安全警钟。高雪峰对金色财经表示,除了交易所面临的盗币安全风险、钱包系统面临的用户私钥泄漏和丢失外,区块链系统也面临着恶意信息上链的问题。随着区块链的快速发展与智能合约的出现,智能合约成了以太坊时代安全问题多发地,或许会导致恶意转币、造币等危害。

大安全时代,如何保护区块链安全

“安全意识基本都是靠事件驱动”,从另一层面看安全事件会促使整个行业关注到安全问题,在高雪峰看来,近期安全事件频发或许是对行业安全意识的一次集体教育。

区块链企业或者项目该如何保障自身安全?“如果单靠360这类外部安全公司,无法从根本上保护区块链企业的安全,企业需要打造属于自己的安全团队”,高雪峰对金色财经记者表示,区块链行业有自己的特殊性,区块链行业企业的业务相对来说比较深入,想要做好安全就要深入观察业务,但这与企业业务逻辑的保密性之间是有冲突的。“因此区块链企业必须要配备自己的安全团队,只有在项目团队本身具备一定安全能力的基础上,双方配合协作,像360这样的外部安全公司才能更好的协助他们将安全做得更好。”

张东谊对金色财经表示,安全是个非常庞大的系统架构,其中包括系统安全、网络安全、代码安全、通信安全、中间件安全、业务安全等,很多区块链企业并没有意识到这一点,对于区块链企业的安全防护,张东谊建议着重关注使用专业的代码审计服务、熟悉安全编码规范实行严进宽出规则、密码算法的安全性、以及多人代码审核、内部测评小组、外部专家评测,白帽黑客激励机制四个方面。

对于数字资产拥有者的安全防护来说,高雪峰从三个方面给出了建议:一是学会保护自己的私钥,二是学会保存数字资产,冷热钱包以及交易所按照一定比例合理分配,三是提高自己安全意识,防止被钓鱼网站攻击等。

“区块链技术并不是一项新的技术,而是将几项成熟技术巧妙的结合在了一起,360过往十几年在这些方面积累的经验与资源成为了当下进军区块链安全领域的独特优势”,高雪峰表示,“但区块链领域的安全绝对不是360一家就能做好的,目前也看到很多安全方面的初创公司,360正在打造一个安全生态联盟,希望通过业内大大小小公司的参与,共建大安全生态。”

 

生成图片
6

发表评论

60安全与信息部负责人高雪峰:区块链企业安全不能仅靠安全公司

星期六 2018-07-21 10:23:48

360爆出EOS“史诗级”漏洞到最近韩国交易所coinrail推文称遭到黑客攻击,频发的安全问题炸醒了区块链行业沉睡的安全意识。为此,金色财经就区块链行业安全问题独家采访了360信息安全部负责人高雪峰,高雪峰表示自2017年底360入局区块链安全以来,在钱包、矿池、EOS超级节点、智能合约和交易所五大解决方案下都累积了一些客户,从爆出EOS漏洞至金色财经采访时,这个数字平均上涨了十倍左右。这样闪电速度的背后,可以说是区块链企业对安全的高度重视,但更为根本的,或许是行业整体安全意识的缺失。

60安全与信息部负责人高雪峰:区块链企业安全不能仅靠安全公司

区块链安全问题从何而来

前华为首席区块链专家、CyberVein技术顾问黄连金在日前谈及360发现EOS漏洞时曾有四点表态:1.安全是动态的,不是静态的;2、代码是人写的,没有百分之百的安全;3、智能合约的安全非常重要。它一旦通过共识确立就很难更改,同时智能合约还是锁定资产的;4.安全需要多方面考虑,不能顾此失彼。

毋庸置疑,作为一种技术,区块链代码有漏洞十分正常,而近期一系列安全事件让行业认识到此前安全意识的缺失。“安全意识不高现象不止存在于区块链行业,这与人性中的侥幸心理有关”,高雪峰对金色财经表示,在安全问题上,投入与产出一般不可能成正比,有投入不代表问题能解决,更有可能的是一年投入下来却没有发生安全问题,这样的话从业务角度就有可能产生侥幸心理——这钱不投也可以。“作为一个新兴行业,区块链发展速度可谓日新月异,很多新加入的创业者们对如何保证项目安全并不了解,这也是当下安全问题频发的一个原因。”

意识缺位,安全漏洞成区块链软肋

高雪峰对金色财经披露了一组数据:360对20款全球主流数字钱包进行了安全测试后发现,80%的钱包都存在不同程度的安全问题,可导致助记词、交易密码被黑客获取,攻击者破解用户交易密码等危害;全球目前有1万多家大大小小的交易所,基本没有整体的安全防护策略,交易系统没有经过安全审计、缺少安全加固是常见问题。“主流的大型交易所相对来说安全防护较为完善,而一些还在起步阶段的区块链公司在去全方面投入还不是很多,因此常常变成黑客“照顾”的对象。

从2017年至今,已爆出的交易所遭到攻击事件不下十起,带来BTC价格跌幅最高接近腰斩,“安全是相对的,没有绝对的安全,但如果一点防护措施都不做,那么就降低了攻击成本,被攻击的概率就会增加”,针对近期频发的交易所安全问题,区块链安全公司数字彗星创始人张东谊对金色财经表示,只要做了防护措施就会提升攻击成本,变得相对安全,“企业应该做好边界安全,提升入侵检测和应急响应的能力”。

今年5月,比特黄金遭到51%攻击,这项触及了数字货币根本的危机让整个行业都感受到了威胁。比特黄金在公告中称“我们不会是最后一个被攻击的币种”更是给整个区块链行业敲响了安全警钟。高雪峰对金色财经表示,除了交易所面临的盗币安全风险、钱包系统面临的用户私钥泄漏和丢失外,区块链系统也面临着恶意信息上链的问题。随着区块链的快速发展与智能合约的出现,智能合约成了以太坊时代安全问题多发地,或许会导致恶意转币、造币等危害。

大安全时代,如何保护区块链安全

“安全意识基本都是靠事件驱动”,从另一层面看安全事件会促使整个行业关注到安全问题,在高雪峰看来,近期安全事件频发或许是对行业安全意识的一次集体教育。

区块链企业或者项目该如何保障自身安全?“如果单靠360这类外部安全公司,无法从根本上保护区块链企业的安全,企业需要打造属于自己的安全团队”,高雪峰对金色财经记者表示,区块链行业有自己的特殊性,区块链行业企业的业务相对来说比较深入,想要做好安全就要深入观察业务,但这与企业业务逻辑的保密性之间是有冲突的。“因此区块链企业必须要配备自己的安全团队,只有在项目团队本身具备一定安全能力的基础上,双方配合协作,像360这样的外部安全公司才能更好的协助他们将安全做得更好。”

张东谊对金色财经表示,安全是个非常庞大的系统架构,其中包括系统安全、网络安全、代码安全、通信安全、中间件安全、业务安全等,很多区块链企业并没有意识到这一点,对于区块链企业的安全防护,张东谊建议着重关注使用专业的代码审计服务、熟悉安全编码规范实行严进宽出规则、密码算法的安全性、以及多人代码审核、内部测评小组、外部专家评测,白帽黑客激励机制四个方面。

对于数字资产拥有者的安全防护来说,高雪峰从三个方面给出了建议:一是学会保护自己的私钥,二是学会保存数字资产,冷热钱包以及交易所按照一定比例合理分配,三是提高自己安全意识,防止被钓鱼网站攻击等。

“区块链技术并不是一项新的技术,而是将几项成熟技术巧妙的结合在了一起,360过往十几年在这些方面积累的经验与资源成为了当下进军区块链安全领域的独特优势”,高雪峰表示,“但区块链领域的安全绝对不是360一家就能做好的,目前也看到很多安全方面的初创公司,360正在打造一个安全生态联盟,希望通过业内大大小小公司的参与,共建大安全生态。”