慢霧科技在推動區塊鏈世界的安全聯防及對抗日趨嚴峻的地下駭客攻擊工作上做了許多沉澱,本篇安全監測報告,慢霧科技的區塊鏈威脅情報系統(BTI)提供了相關素材支撐,慢霧科技將從幣安(Binance)這個世界頂級的數字貨幣交易所為安全監測物件,簡析下慢霧科技的評估結論。
幣安安全監測分析
慢霧科技於 2018 年 12 月和幣安開始正式對接安全,持續到現在,慢霧科技針對幣安做了許多安全監測的工作,在這,我們正式做些必要的披露以客觀看待幣安當下的安全體系能力。
據慢霧科技的近期安全監測顯示,幣安的生產環境架構、伺服器安全、應用安全、錢包私鑰安全、辦公環境安全等重要安全專案當前處於優質狀態,同時幣安的風控體系完善,配備多項措施保障使用者資產安全。慢霧科技對幣安當前的安全體系建設工作整體評估為:優秀。
在幣安風控體系方案,我們列舉幾項重要的點:
01
前置 WAF(Web Application Firewall),全站 HTTPS
結論:優秀
描述:幣安關鍵業務相關的域名及 IP 都做了全面的 WAF 策略,這個策略可以很好抵禦來自外部針對 Web 服務的直接攻擊,同時全站 HTTPS 策略,可以防止潛在的中間人劫持攻擊風險。這些對於使用者來說,透過 Web 及 App 訪問幣安的服務是安全且隱私的。
02
未明文傳輸關鍵敏感資訊(如密碼)
結論:優秀
描述:透過相關安全工具及人工的審計,幣安使用者在幣安上做的關鍵敏感操作所傳輸的資料做了額外一層安全加密保護。
03
在各類敏感操作上都需要透過 2FA,如 API 的建立與修改,賬戶地址的繫結與修改,資金劃轉等
結論:優秀
描述:2FA 指雙因素認證,這個策略是安全策略裡的最佳安全實踐,幣安針對使用者的敏感操作尤其涉及到資金的操作都做了全面完備的 2FA 策略,可以大大降低使用者被盜號攻擊、撞庫攻擊導致的風險。幣安的 2FA 策略還引入了世界領先的 YubiKey 方案,在 2FA 方面,幣安已經走在了最前沿。
04
找回密碼後 24 小時內不能進行提現操作
結論:優秀
描述:找回密碼是業務正常邏輯,但也可能被惡意利用,許多地下駭客會透過獲取使用者的郵箱等許可權,在目標業務上進行密碼找回達到修改密碼的目的,從而立即發起盜幣攻擊。24 小時策略,平衡了正常業務體驗和這類安全風險,給遭遇這類安全風險的使用者相對多的時間進行彌補防禦。
05
郵件/網站有防釣魚提醒
結論:優秀
描述:許多使用者賬號被盜的原因來自遭遇了釣魚網站的攻擊,幣安的“防釣魚提醒”增強了使用者的安全意識,可以降低使用者被釣魚的概率。
06
首次登入有安全教育
結論:優秀
描述:數字貨幣領域對許多新人來說是個陌生的領域,新人是被攻擊的高危人群,在首次使用幣安的服務時有安全教育機制,對使用者來說是種很好的安全引導。無論是“防釣魚提醒”還是相關“安全教育”,幣安做到了第一。
07
引入安全性較高的第三方連結
結論:優秀
描述:安全體系建設工作中,第三方資源的安全是很容易被忽視的,幣安的業務謹慎引入了第三方資源,大大降低了由於第三方出安全問題間接導致幣安出安全問題的風險。在幣安的業務前端引入的第三方連結是來自 Google 的相關服務,Google 的安全等級在業內被普遍稱道。
08
應急響應速度與全面效能力
結論:優秀
描述:幣安安全團隊對來自第三方安全機構、外部安全威脅的應急響應很及時,且依託自身安全體系沉澱,應急響應能做到全面性覆蓋。幣安的“SAFU 基金”可以很好應對黑天鵝事件下使用者資產安全可能導致損失的賠付工作。
09
資金安全策略
結論:優秀
描述:幣安針對使用者資金的錢包安全架構採用的是冷熱分離設計,並在私鑰的生成、儲存及使用環節嚴格採用了私鑰絕對密文策略,同時在這些環節採用了多層安全風控機制,其中的 KYT 策略能做到對每筆交易的監測與異常發現。
10
完成第三方安全機構審計
結論:優秀
描述:幣安透過了慢霧科技的第一次安全審計,幣安當下安全體系建設工作進展順利。
除了上述這些風控體系相關的審計結論,我們也認為幣安在安全方面的其他工作做了許多努力,其中包括:及時透明的披露態度;自身安全團隊的持續組建工作;與安全社羣的關係維護;面向整個數字貨幣行業的安全分享工作;幣安的去中心化交易所(Binance DEX)上線執行。我們認為幣安是一家以安全為生命線的企業。
透過慢霧科技與幣安近一年的安全互動情況來看,幣安體量巨大,安全體系建設還有不少路要走,雖然核心模組的安全已經做到了優秀,但安全是個整體,也是個持續動態發展的過程,一些安全還存在一定的邊界盲區。有些安全工作是需要內部安全團隊不斷加強,但有些可以和業內知名安全機構合作,其中包括:AML、威脅情報、人員安全教育、滲透測試、紅藍對抗、外部安全監測、相關安全防禦產品等,並加深全球白帽駭客的關係維繫,將安全護城河能力再上一層樓。
