第十章:bounty program: 風險的預先管理
以前在還沒開交易所之前,我總會好奇,業界的 bounty program 會是給誰玩的。真的會有人玩嗎?
後來在我開交易所之後,簽約的第乙個資安顧問,就建議我要設立 bounty program。
知名的 bounty program 有 hackerone。後來我們公司採用的慢霧的 bounty program。
為什麼要有 bounty program 呢?
理由是:當你的公司很值錢或充滿高風險時,你就得要有 bounty program。
比如說像我開乙個區塊鏈交易所,保管這麼多區塊鏈資產。黑客一定會對這個交易所垂涎三尺。
而只要讓黑客盯上並且成功入侵,就會損失慘重。比如說幣安被入侵一次,掉的就是七千顆 btc。
一般來說,黑客不會向公司,舉報公司的服務有漏洞。因為:
乙個漏洞,被第乙個黑客發現了。要是他不通知你,也不對你作惡。其實也是有風險存在。因為漏洞還是存在。一定會有第二個第三個第四個上門。
到時候你就無法保證後面的人是不是惡意了。
設立獎金制度的好處是:
讓那些職業是白帽黑客的資安研究者,有動力去尋找你系統的漏洞。畢竟乙個系統的漏洞,雖然單筆你要發出去數千美金。但是這些漏洞造成的危害可能就值數百萬美金。
不用直接面對這些資安研究者。乙個漏洞值多少,企業是很難摸準的。給多了不甘心。給少了惹怒對方,反而造成更大的破壞。有一些資安研究者是遊走在個體白帽黑客與勒索者之中。端看企業與他談判時的**與心情。而 bounty program 維護者多半是業界安全諮詢公司的專家。知道如何評估風險程度以及正確估值。企業多半沒有談判的能力,談判者也可能是 ceo,很容易做出錯誤的決定,以及老是被纏在風控事件的處理流程(資安漏洞對於資產損失是重要且緊急。但是對企業整體發展,是緊急但不重要。而這一類的工作,應由專門負責人士去處理)裡面。
及時通報。有一些漏洞是軟體的 0day 或者是第三方軟體的 0day,也就是尚未被揭露的漏洞。很多企業被打穿,其實是因為新聞都已經報導一周某某軟體都有這些漏洞了,有些公司缺乏技術人員以及資安警覺性,被看新聞自動掃瞄的黑客攻擊進入,這也挺讓人哭笑不得的。光是 usdt 假充值漏洞,這麼容易防禦以及修補,還是有很多幣所掉坑搞到破產。
我從事區塊鏈行業,雇用的其中一間資安諮詢公司是區塊鏈界有名的慢霧安全。
慢霧安全在與我們的合作當中提供什麼呢?
區塊鏈的漏洞 0day 第一時間通知與補丁
區塊鏈交易所常用套件(如 trading view)的 0day 通知與補丁
手工灰盒檢測與架構建議
聯盟交易所事件脫敏警示。(其他交易所出事了,我們會知道如何被打進去的。只是不知道是哪間公司被打。我們可以即時公升級防禦)
aml 洗幣防禦。區塊鏈盜幣事件頻傳。有很多區塊鏈位址是髒位址,還有帳號是洗錢帳號。以前我們是手工聯防,現在是自動聯防。
合作方的智慧型合約審計
等等等....
我們這些區塊鏈公司,做的是時間差生意,防禦的也是時間差風險。資訊早拿到與晚拿到,產生的價值與損失,會差異非常多。
而這些都不是光雇用乙個資安程式設計師,就可以辦到的事。
這裡總結一下你現在可以主動做的事,思考一下:
你們對於資安事件有標準處理流程嗎?
你們的資安事件需要 ceo 介入處理嗎?
你們如何與其他交易所共享資安資訊?
你們如何追蹤這些 0day?還是看新聞才知道?
打造網際網路金融企業安全與風控的實戰手冊。以區塊鏈交易所為例。
書中會談及主題:
如何防範使用者資料被盜,並且降低損失
如何設計相對安全的技術架構,阻斷連環損失
如何攔下惡意使用者針對系統的惡意攻擊
當公司管理的錢一大,沒有人能夠防禦變質的人心,如何預防內鬼,並且降低損失。
如何預先建立風控策略,與外部團隊聯手合作。
價目表資安是有價的。有很多人會疑問這裡面的安全設計架構要花多少錢?這裡我列出一些我知道或我有印象的**。
至於安全架構師。無價。挖不到,這類人才都是歷練與人脈。
hackerone:我記得設定費好像是 20k usd/次?
至於 bounty program 若 confirm 屬實,回報者的獎勵是 200usd~6000 usd。
終於到來本書的最後一章。
在網際網路創業中,資安與風控往往是被輕忽的一環。而在初創企業的階段,資安與風控甚至更是直接可以被省略的一環。
除了區塊鏈行業以及少部分網際網路金融行業外,很少行業要在創業的一開始就同時兼顧開發速度+環境變化的挑戰與這麼多惡意的攻防戰爭。
資安不重要嗎?非常重要。
資安成本高嗎?非常非常非常的高
但是你能捨棄資安嗎?不可以。一台汽車如果沒有安全氣囊以及保險桿,開車上路可是會死人的。
但是企業的安全氣囊與保險桿,並不是市場上可以批發購買,而是必須量身訂做的。
在這本書我們**了以下主題:
投入網際網路金融的企業越來越多。網際網路金融行業並不只是網際網路行業,本質上,網際網路金融行業是周邊威脅係數更高的「金融行業」。
我在投入這個行業前,甚至不知道自己要面對的是如此險惡的環境。甚至,即便過去我在網際網路從業超過十年,設計過許多產品與技術架構。但區塊鏈交易所架構的水之深與行業險惡,還是讓我瞠目結舌。只能邊做邊學。
這些安全行業知識在行業裡多半靠熟人相傳或者是師徒相承,有些甚至只能靠自己付上「學費」(惡意行為造成的損失以及相關的安全與法律諮詢費)才能夠習得。
我希望這一本實戰手冊的誕生。能夠保護未來更多的企業,能夠有效的降低其他企業關於網際網路風控的學習曲線,並且降低惡意衝擊的損失。
《構建之法》閱讀筆記第十 十一章
構建之法 第十 十一章主要講述了在軟體設計前期的需求分析問題上的方法和實踐經驗,分為 典型使用者和場景 以及 軟體設計與實現 其中第十章大部分內容和教授上課所講的一樣比如說,使用者的分類 典型使用者可以包括以下內容 1.名字 越自然越好 2.年齡 不同年齡和收入的使用者有不同的需求 3.收入 4.代...
Python快樂程式設計基礎入門,第十十一章物件導向
物件導向 class 類名 類體 類名首字母大寫 類物件與例項物件 類物件 class student school 鹿晗最棒 類屬性 def say self,name 例項方法 self.name name 例項屬性 print 真的 self.name print student.school...
第十一章 物件導向及類與物件
目錄面向過程 物件導向物件程式設計 類和物件 類 class 相當於施工圖紙 blueprint 包括屬性和函式 物件 object 房子 已經建造好的 包括屬性和方法 定義類 注意類中定義變數使用駝峰體 class oldboystudent school oldboy def choose co...