安全狗风险警告：区块链面临着严峻的网络安全风险

• 区块链
• 安全狗

区块链是当下最火热的技术话题之一,作为它的一个应用,加密货币在过去一年里也受到了空前的追捧。

巨大的收益带了了巨大的风险,如果不会评估和控制风险,可能真的会死得很惨:

The DAO事件

2016 年6 月18日,黑客利用 THE DAO的程序漏洞,成功盗取了 360 万枚以太币,价值超过 5000 万美元。

CoinDash ICO攻击

2017年初,支付与运输创业公司CoinDash启动了一次ICO,但是很快就因为其用于筹款的ETH地址被黑客攻击而项目终止。

Parity钱包漏洞

2017年7月份,英国创业公司加密货币钱包提供商Parity在其钱包软件1.5版本中发现了一个漏洞,导致至少150,000ETH被盗。

Parity钱包冻结

2017年11月份,一位Parity用户无意间在Parity钱包中发现了一个软件代码bug,冻结了超过2.75亿美元的ETH。

区块链所具备的优势,让它在证券市场、支付系统、票据与供应链金融、客户征信与反欺诈等应用场景有很大的前景,甚至享有了“互联网之后最具颠覆性的创新技术”的名声——这句话形同于一个flag,从反面理解就是,如果不注意背后的安全问题,影响也是“最具颠覆性”的。

互联网发展的极高速度,让包括各类货币交易所在内的机构不敢忽视颠覆性技术的发展,同时更加不敢承担忽视背后安全风险的责任,通过专业的安全管理和防护策略来保护每一笔交易安全,对区块链技术的应用至关重要。

区块链是什么

区块链技术是金融科技(Fintech)领域的一项重要技术创新,是一种通过去中心化和去信任的方式集体维护一个可靠数据库(账本)的解决方案。

狭义来讲,区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构, 并以密码学方式保证的不可篡改和不可伪造的分布式账本。

区块链的安全如何保证?

对于交易所等区块链技术应用的机构而言,自身程序和代码中存在的漏洞和问题,是导致被攻击的关键因素。如果在项目上线之前,或者虽然上线但尚未遭受攻击,就通过技术手段发现了潜藏的问题,则在面对激烈的攻防对抗时,占据了极大的主动权。而掌握主动权的方式,则是引入渗透测试、代码审计等高级安全服务,先于攻击者发现漏洞和安全隐患并排除。

通过代码审计、渗透测试等安全服务,企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险,特别是在进行安全项目之前进行的渗透测试,可以对信息系统的安全性得到深刻的感性认知,有助于进一步健全安全建设体系;审计完毕后,也可以帮助用户更好地验证经过安全保护后的网络是否真实的达到了预期安全目标、遵循了相关安全策略、符合安全合规的要求。

什么类型的风险需要高级安全服务?

1、项目存在机密资料外泄、用户资料外泄的担忧

2、用户开发完毕的新系统平台需要上线

3、开发过程中系统需要进行局部安全测试

4、业务系统存在交易业务逻辑问题(如金融类系统)

安全狗如何进行高级安全服务?

安全狗将在客户授权许可的前提下,由资深安全专家通过模拟黑客攻击的方式,在没有网站代码和服务器权限的情况下,对企业的在线平台进行全方位渗透入侵测试,由此评估企业业务平台和服务器系统的安全性。

服务形式将采用国际标准的预攻击、攻击和后攻击三个阶段:

预攻击阶段:主要指一些信息收集和漏洞扫描的过程

攻击过程:主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵

后攻击:是指在获得攻击目标的一定权限后,对权限的提升、后门安装和痕迹清除等后续工作

为什么选择安全狗?

安全狗的高级安全服务,由安全行业从业十五年以上的顶尖安全专家团队提供,具备强大的漏洞研究与挖掘的技术实力,具备良好的职业操守,严格遵循专业化测试流程。他们曾为数百家企业提供过渗透测试服务,帮助企业客户检测出多达上万个系统漏洞及安全风险,通过出具专业的服务报告及可靠的修复方案,为企业客户防患于未然,避免了由安全风险带来的巨大损失。