慢霧科技在推動區(qū)塊鏈世界的安全聯(lián)防及對抗日趨嚴峻的地下黑客攻擊工作上做了許多沉淀,本篇安全監(jiān)測報告,慢霧科技的區(qū)塊鏈威脅情報系統(tǒng)(B
慢霧科技在推動區(qū)塊鏈世界的安全聯(lián)防及對抗日趨嚴峻的地下黑客攻擊工作上做了許多沉淀,本篇安全監(jiān)測報告,慢霧科技的區(qū)塊鏈威脅情報系統(tǒng)(BTI)提供了相關(guān)素材支撐,慢霧科技將從幣安(Binance)這個世界頂級的數(shù)字貨幣交易所為安全監(jiān)測對象,簡析下慢霧科技的評估結(jié)論。
幣安安全監(jiān)測分析
慢霧科技于 2018 年 12 月和幣安開始正式對接安全,持續(xù)到現(xiàn)在,慢霧科技針對幣安做了許多安全監(jiān)測的工作,在這,我們正式做些必要的披露以客觀看待幣安當下的安全體系能力。
據(jù)慢霧科技的近期安全監(jiān)測顯示,幣安的生產(chǎn)環(huán)境架構(gòu)、服務(wù)器安全、應(yīng)用安全、錢包私鑰安全、辦公環(huán)境安全等重要安全項目當前處于優(yōu)質(zhì)狀態(tài),同時幣安的風控體系完善,配備多項措施保障用戶資產(chǎn)安全。慢霧科技對幣安當前的安全體系建設(shè)工作整體評估為:優(yōu)秀。
在幣安風控體系方案,我們列舉幾項重要的點:
1. 前置 WAF(Web Application Firewall),全站 HTTPS
結(jié)論:優(yōu)秀
描述:幣安關(guān)鍵業(yè)務(wù)相關(guān)的域名及 IP 都做了全面的 WAF 策略,這個策略可以很好抵御來自外部針對 Web 服務(wù)的直接攻擊,同時全站 HTTPS 策略,可以防止?jié)撛诘闹虚g人劫持攻擊風險。這些對于用戶來說,通過 Web 及 App 訪問幣安的服務(wù)是安全且隱私的。
2. 未明文傳輸關(guān)鍵敏感信息(如密碼)
結(jié)論:優(yōu)秀
描述:通過相關(guān)安全工具及人工的審計,幣安用戶在幣安上做的關(guān)鍵敏感操作所傳輸?shù)臄?shù)據(jù)做了額外一層安全加密保護。
3. 在各類敏感操作上都需要通過 2FA,如 API 的創(chuàng)建與修改,賬戶地址的綁定與修改,資金劃轉(zhuǎn)等
結(jié)論:優(yōu)秀
描述:2FA 指雙因素認證,這個策略是安全策略里的最佳安全實踐,幣安針對用戶的敏感操作尤其涉及到資金的操作都做了全面完備的 2FA 策略,可以大大降低用戶被盜號攻擊、撞庫攻擊導致的風險。幣安的 2FA 策略還引入了世界領(lǐng)先的 YubiKey 方案,在 2FA 方面,幣安已經(jīng)走在了最前沿。
4. 找回密碼后 24 小時內(nèi)不能進行提現(xiàn)操作
結(jié)論:優(yōu)秀
描述:找回密碼是業(yè)務(wù)正常邏輯,但也可能被惡意利用,許多地下黑客會通過獲取用戶的郵箱等權(quán)限,在目標業(yè)務(wù)上進行密碼找回達到修改密碼的目的,從而立即發(fā)起盜幣攻擊。24 小時策略,平衡了正常業(yè)務(wù)體驗和這類安全風險,給遭遇這類安全風險的用戶相對多的時間進行彌補防御。
5. 郵件/網(wǎng)站有防釣魚提醒
結(jié)論:優(yōu)秀
描述:許多用戶賬號被盜的原因來自遭遇了釣魚網(wǎng)站的攻擊,幣安的“防釣魚提醒”增強了用戶的安全意識,可以降低用戶被釣魚的概率。
6. 首次登錄有安全教育
結(jié)論:優(yōu)秀
描述:數(shù)字貨幣領(lǐng)域?qū)υS多新人來說是個陌生的領(lǐng)域,新人是被攻擊的高危人群,在首次使用幣安的服務(wù)時有安全教育機制,對用戶來說是種很好的安全引導。無論是“防釣魚提醒”還是相關(guān)“安全教育”,幣安做到了第一。
7. 引入安全性較高的第三方鏈接
結(jié)論:優(yōu)秀
描述:安全體系建設(shè)工作中,第三方資源的安全是很容易被忽視的,幣安的業(yè)務(wù)謹慎引入了第三方資源,大大降低了由于第三方出安全問題間接導致幣安出安全問題的風險。在幣安的業(yè)務(wù)前端引入的第三方鏈接是來自 Google 的相關(guān)服務(wù),Google 的安全等級在業(yè)內(nèi)被普遍稱道。
8. 應(yīng)急響應(yīng)速度與全面性能力
結(jié)論:優(yōu)秀
描述:幣安安全團隊對來自第三方安全機構(gòu)、外部安全威脅的應(yīng)急響應(yīng)很及時,且依托自身安全體系沉淀,應(yīng)急響應(yīng)能做到全面性覆蓋。幣安的“SAFU 基金”可以很好應(yīng)對黑天鵝事件下用戶資產(chǎn)安全可能導致?lián)p失的賠付工作。
9. 資金安全策略
結(jié)論:優(yōu)秀
描述:幣安針對用戶資金的錢包安全架構(gòu)采用的是冷熱分離設(shè)計,并在私鑰的生成、存儲及使用環(huán)節(jié)嚴格采用了私鑰絕對密文策略,同時在這些環(huán)節(jié)采用了多層安全風控機制,其中的 KYT 策略能做到對每筆交易的監(jiān)測與異常發(fā)現(xiàn)。
10. 完成第三方安全機構(gòu)審計
結(jié)論:優(yōu)秀
描述:幣安通過了慢霧科技的第一次安全審計,幣安當下安全體系建設(shè)工作進展順利。
除了上述這些風控體系相關(guān)的審計結(jié)論,我們也認為幣安在安全方面的其他工作做了許多努力,其中包括:及時透明的披露態(tài)度;自身安全團隊的持續(xù)組建工作;與安全社區(qū)的關(guān)系維護;面向整個數(shù)字貨幣行業(yè)的安全分享工作;幣安的去中心化交易所(Binance DEX)上線運行。我們認為幣安是一家以安全為生命線的企業(yè)。
通過慢霧科技與幣安近一年的安全互動情況來看,幣安體量巨大,安全體系建設(shè)還有不少路要走,雖然核心模塊的安全已經(jīng)做到了優(yōu)秀,但安全是個整體,也是個持續(xù)動態(tài)發(fā)展的過程,一些安全還存在一定的邊界盲區(qū)。有些安全工作是需要內(nèi)部安全團隊不斷加強,但有些可以和業(yè)內(nèi)知名安全機構(gòu)合作,其中包括:AML、威脅情報、人員安全教育、滲透測試、紅藍對抗、外部安全監(jiān)測、相關(guān)安全防御產(chǎn)品等,并加深全球白帽黑客的關(guān)系維系,將安全護城河能力再上一層樓。
關(guān)于安全監(jiān)測報告
慢霧科技力求以最客觀最職業(yè)的第三方安全機構(gòu)視角,在獲得幣安書面授權(quán)情況下,針對幣安目標業(yè)務(wù)進行全面的安全體系建設(shè)工作的持續(xù)安全監(jiān)測并輔以場內(nèi)確認,最終根據(jù)雙方意愿客觀披露階段性的安全監(jiān)測結(jié)果。(慢霧安全團隊)